Сенаторите и от двете партии нарекоха липсата на мултифакторно удостоверяване от страна на Комисията по ценните книжа и фондовите борси „непростима“ и поискаха разследване на пропуските в киберсигурността на регулатора.
След компрометирането на акаунта в X, известен преди като Twitter, на Комисията по ценните книжа и фондовите борси, на 9 януари двама сенатори излязоха с изявление, в което наричат хакерската атака „непростима“ и призовават генералния инспектор на Комисията по ценните книжа и фондовите борси на САЩ (SEC) да разследва дали регулаторът е въвел основни защити за многофакторна автентификация (MFA).
„Освен това хакерската атака, която води до публикуването на съществена за инвеститорите информация, може да окаже значително въздействие върху стабилността на финансовата система и доверието в публичните пазари, включително потенциална манипулация на пазара“, се казва в изявлението на сенаторите Рон Уайдън, окръг Оре, и Синтия Лумис, окръг Уайо. „Призоваваме ви да проучите практиките на агенцията, свързани с използването на MFA, и по-специално MFA, устойчиви на фишинг, за да установите всички останали пропуски в сигурността, които трябва да бъдат отстранени.“
От март 2020 г. политиката на Twitter се промени и предлага двуфакторна автентикация, базирана на текст, само на премиум абонатите. Други организации, включително екипът за киберсигурност на Google Mandiant, както и автомобилната компания Hyundai, станаха жертва на криптохакери, добре запознати с новата политика на Twitter.
От офиса на сенатор Уайдън съобщават на Dark Reading, че конкретната загриженост е защо SEC не е въвела алтернативен процес за MFA като приложение за удостоверяване от трета страна или ключ за сигурност, след като политиката на X се е променила през март 2023 г.
В случая с нарушението на профила на SEC в X телефонният номер, свързан с профила, е бил компрометиран от криптохакерите и използван за пускане на погрешни съобщения с цел манипулиране на пазара на биткойни.
„Агенцията не само е трябвало да активира MFA, но и да защити акаунтите си с устойчиви на фишинг хардуерни токени, известни като ключове за сигурност, които са златният стандарт за киберсигурност на акаунти“, се казва в писмото до главния инспектор на SEC, като се добавя, че агенцията е била предупредена през 2023 г. за своята „слаба киберсигурност“.
В писмото се добавя атака към все по-строгия надзор на регулатора върху киберсигурността на предприятията.
„Неуспехът на SEC да следва най-добрите практики за киберсигурност е непростим, особено като се имат предвид новите изисквания на агенцията за оповестяване на киберсигурността“, пишат сенаторите.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.