Mężczyzna, który włamał się na konto X SEC, przyznaje się do winy

Haker, który przejął kontrolę nad kontem X Komisji Papierów Wartościowych i Giełd (SEC) w USA i publikował fałszywe informacje na temat regulacji kryptowalut, przyznał się do winy i teraz grozi mu maksymalnie pięć lat więzienia, jak pierwotnie informował The Record.

Eric Council Jr., 25-latek z Athens w stanie Alabama, przyznał się do spisku mającego na celu popełnienie zaostrzonej kradzieży tożsamości i oszustwa z użyciem urządzenia dostępowego, w ramach umowy o przyznanie się do winy zawartej w poniedziałek. Wyrok ma zostać ogłoszony 16 maja.

Council został aresztowany w październiku po śledztwie FBI dotyczącym naruszenia zabezpieczeń z stycznia 2024 roku, które na krótko spowodowało gwałtowny wzrost ceny bitcoina.

Konto X SEC zostało skompromitowane i wykorzystane do publikowania fałszywych twierdzeń dotyczących zatwierdzenia giełdowych funduszy inwestycyjnych (ETF) opartych na kryptowalutach, wprowadzając inwestorów w błąd i wywołując fluktuacje na rynku.

Według prokuratorów, Council i jego współsprawcy przejęli konto SEC, korzystając z metody zamiany modułu tożsamości abonenta (SIM).

Ta taktyka polega na wprowadzeniu w błąd operatora telefonii komórkowej, aby przeniósł numer telefonu od prawowitego właściciela na kartę SIM hakera. Gdy już kontrolują numer, hakerzy mogą zresetować hasła i uzyskać dostęp do kont w mediach społecznościowych.

Dziennik Record informuje, że Departament Sprawiedliwości stwierdził, że Council użył fałszywych dokumentów tożsamości do przeprowadzenia wymiany karty SIM. Podobno stworzył fałszywy dowód osobisty z własnym zdjęciem, ale na imię i nazwisko innej osoby, a następnie użył go w sklepie AT&T w Huntsville, w Alabamie, twierdząc, że jest pracownikiem FBI, który zgubił swój telefon.

Po zdobyciu nowej karty SIM, kupił iPhone’a, włożył do niego SIM, a następnie otrzymał kody autoryzacji dwuskładnikowej potrzebne do przejęcia kontroli nad kontem @SECGov na X.

Później tego dnia, Council zwrócił iPhone’a w innym sklepie Apple w Birmingham.

Z dokumentów sądowych wynika również, że Council szukał w internecie informacji na temat „SECGOV hack”, „jak mogę mieć pewność, że jestem śledzony przez FBI” oraz „ile czasu zajmuje usunięcie konta na Telegramie”, jak podaje The Record.

X potwierdziło wówczas, że naruszenie wynikało z nieautoryzowanego dostępu do numeru telefonu powiązanego z kontem SEC, a nie z bezpośredniego błędu zabezpieczeń ze strony X. Jednak akt oskarżenia przeczy twierdzeniu X, że konto nie miało dwuetapowego uwierzytelnienia.

Prokuratorzy podejrzewają, że Council i jego wspólnicy próbowali manipulować rynkiem kryptowalut.

Fałszywy tweet spowodował wzrost ceny bitcoina o 1 000 dolarów, zanim SEC wyjaśniło, że informacje były nieprawdziwe, co spowodowało spadek ceny o 2 000 dolarów. Council otrzymał zapłatę w bitcoinach od swoich wspólników.

The Record zauważa, że X nadal boryka się z problemem zabezpieczenia kont o wysokim profilu przed atakami związanymi z kryptowalutami.

„Platforma, o której mowa, staje się coraz bardziej narażona na nadużycia, jednocześnie służąc jako niezbędne narzędzie medialne dla influencerów, marek, a nawet rządów,” powiedział Tom Hegel, główny badacz zagrożeń w SentinelLabs, po niedawnym raporcie na temat przejmowania kont.

Hegel zauważył, że finansowe zachęty do przeprowadzania tych ataków wzrosły, podczas gdy słabości w zakresie bezpieczeństwa nadal występują. Ostatnie głośne naruszenia bezpieczeństwa obejmują ataki na konta należące do Projektu Tor, NASDAQ i innych.