Gary Gensler, chủ tịch Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC), đã trả lời các nhà lập pháp về việc vi phạm tài khoản X của SEC. Vào ngày 9 tháng 1, một kẻ vô danh đã thực hiện một cuộc tấn công SIM-swap vào tài khoản X của SEC, sau đó xuất bản một thông báo sai nói rằng SEC đã phê duyệt nhiều quỹ Spot Bitcoin ETF khác nhau. Mặc dù cuối cùng SEC đã phê duyệt số tiền đó vào ngày 10 tháng 1, nhưng thông báo sớm nhất là không xác thực.
Gensler nói với các nhà lập pháp trong một báo cáo:
“Tôi đảm bảo với bạn rằng SEC thực hiện nghiêm túc các nghĩa vụ an ninh mạng của mình. Tôi hiểu rằng Văn phòng Lập pháp và Liên chính phủ của SEC đã sắp xếp một cuộc họp ngắn vào ngày 17 tháng 1 cho nhân viên của bạn về sự cố X và giải quyết các câu hỏi nêu trong thư của bạn”.
Báo cáo của Gensler gửi đến các thành viên Hạ viện Patrick McHenry, Bill Huizenga, French Hill và Ann Wagner.
Ngoài việc bình luận riêng lẻ, các thành viên Hạ viện đó đã viết một lá thư vào ngày 10 tháng 1 yêu cầu SEC tuân thủ các tiêu chuẩn công bố thông tin bảo mật mà cơ quan này áp đặt cho các công ty.
Các thành viên Hạ viện đã yêu cầu Ủy ban Chứng khoán và Giao dịch phản hồi yêu cầu của họ trước ngày 17 tháng 1 – thời hạn mà SEC có vẻ hài lòng, vì Gensler đã báo cáo một cuộc họp ngắn vào ngày đó.
Trong một lá thư riêng ngày 11 tháng 1, Thượng nghị sĩ Ron Wyden và Cynthia Lummis đã yêu cầu SEC bắt đầu cuộc điều tra về xác thực đa yếu tố và mã thông báo phần cứng (hoặc khóa bảo mật) chống lừa đảo và thu hẹp mọi lỗ hổng bảo mật.
Mặc dù bản cập nhật về vấn đề đó sẽ đến vào hôm nay, ngày 12 tháng 2, nhưng bức thư mới nhất không đề cập đến các thượng nghị sĩ và không có phản hồi nào khác được báo cáo.
Ông nói rằng cơ quan thực thi pháp luật hiện đang điều tra cách kẻ tấn công yêu cầu dịch vụ của nhà mạng thay đổi SIM được liên kết với tài khoản X của SEC và cách kẻ tấn công xác định số điện thoại được liên kết với tài khoản của SEC.
Gensler là người đầu tiên xác nhận rằng tài khoản X của SEC đã bị xâm phạm vào ngày 9 tháng 1. Ông đã công bố tuyên bố đầy đủ về vụ việc vào ngày 12 tháng 1.
Không giống như những tuyên bố trước đó, lá thư của Gensler gửi cho các nhà lập pháp không được công khai và phần lớn không được chú ý cho đến tận bây giờ.
Báo cáo đề ngày 6 tháng 2 và được Politico công bố vào ngày 8 tháng 2. Ngày nay, nhiều nguồn đã lưu hành và đưa tin rộng rãi hơn về báo cáo.
Gensler nói với các nhà lập pháp trong một báo cáo:
“Tôi đảm bảo với bạn rằng SEC thực hiện nghiêm túc các nghĩa vụ an ninh mạng của mình. Tôi hiểu rằng Văn phòng Lập pháp và Liên chính phủ của SEC đã sắp xếp một cuộc họp ngắn vào ngày 17 tháng 1 cho nhân viên của bạn về sự cố X và giải quyết các câu hỏi nêu trong thư của bạn”.
Báo cáo của Gensler gửi đến các thành viên Hạ viện Patrick McHenry, Bill Huizenga, French Hill và Ann Wagner.
Ngoài việc bình luận riêng lẻ, các thành viên Hạ viện đó đã viết một lá thư vào ngày 10 tháng 1 yêu cầu SEC tuân thủ các tiêu chuẩn công bố thông tin bảo mật mà cơ quan này áp đặt cho các công ty.
Các thành viên Hạ viện đã yêu cầu Ủy ban Chứng khoán và Giao dịch phản hồi yêu cầu của họ trước ngày 17 tháng 1 – thời hạn mà SEC có vẻ hài lòng, vì Gensler đã báo cáo một cuộc họp ngắn vào ngày đó.
Trong một lá thư riêng ngày 11 tháng 1, Thượng nghị sĩ Ron Wyden và Cynthia Lummis đã yêu cầu SEC bắt đầu cuộc điều tra về xác thực đa yếu tố và mã thông báo phần cứng (hoặc khóa bảo mật) chống lừa đảo và thu hẹp mọi lỗ hổng bảo mật.
Mặc dù bản cập nhật về vấn đề đó sẽ đến vào hôm nay, ngày 12 tháng 2, nhưng bức thư mới nhất không đề cập đến các thượng nghị sĩ và không có phản hồi nào khác được báo cáo.
Gensler cho biết cuộc điều tra vẫn đang tiếp diễn
Trong phần còn lại của báo cáo, Gensler mô tả dòng thời gian tấn công đã biết trước đó và cung cấp thông tin cập nhật về các cuộc điều tra.Ông nói rằng cơ quan thực thi pháp luật hiện đang điều tra cách kẻ tấn công yêu cầu dịch vụ của nhà mạng thay đổi SIM được liên kết với tài khoản X của SEC và cách kẻ tấn công xác định số điện thoại được liên kết với tài khoản của SEC.
Gensler là người đầu tiên xác nhận rằng tài khoản X của SEC đã bị xâm phạm vào ngày 9 tháng 1. Ông đã công bố tuyên bố đầy đủ về vụ việc vào ngày 12 tháng 1.
Không giống như những tuyên bố trước đó, lá thư của Gensler gửi cho các nhà lập pháp không được công khai và phần lớn không được chú ý cho đến tận bây giờ.
Báo cáo đề ngày 6 tháng 2 và được Politico công bố vào ngày 8 tháng 2. Ngày nay, nhiều nguồn đã lưu hành và đưa tin rộng rãi hơn về báo cáo.
