推特網訊：Twitter 的安全團隊(我拒絕將該網站稱為 X，因為這是一個 9 歲孩子會選擇的完全愚蠢的名字)對SEC Twitter 帳戶的高調黑客事件做出了回應，該事件成為了世界各地的頭條新聞。

他們有什么要說的?

嗯，簡而言之——“這不是我們的錯。”

根據我們的調查，此次泄露并非由于 X 系統遭到破壞，而是由于身份不明的個人通過第三方獲得了對與 @SECGov 帳戶相關的電話號碼的控制權。我們還可以確認該帳戶在被盜時沒有啟用雙因素身份驗證。

@Safety 所說的是有人劫持了與 SEC 官方帳戶關聯的手機號碼的控制權。有人推測，這是通過 SIM 卡交換攻擊進行的。

SIM 交換攻擊是指詐騙者設法欺騙手機提供商的客戶服務人員，讓他們控制他人的電話號碼。有時，詐騙者會向電信公司講述其目標的個人信息，欺騙他們相信自己不是別人。

當 Twitter 等服務稍后通過短信向用戶的電話號碼發送密碼重置鏈接或身份驗證令牌時，它最終會落入犯罪分子手中。

過去 SIM 交換攻擊的受害者包括前 Twitter 老板 Jack Dorsey，他的 Twitter 帳戶在 2019 年被劫持。

而且，恐怕 Twitter 確實可以通過知道并訪問手機號碼來重置帳戶密碼。

另一個有趣的消息是，SEC 官方 Twitter 帳戶沒有啟用雙因素身份驗證 (2FA)。我建議所有用戶打開此功能，因為它提供了額外的安全層 – 并且可以使犯罪分子更難(盡管并非完全不可能)闖入帳戶。

坦率地說，聽說美國證券交易委員會沒有啟用多重身份驗證，這真是太瘋狂了。

這還是由 Gary Gensler 擔任主席的 SEC 嗎?Gary Gensler 在 10 月份的網絡安全意識月期間提醒每個人設置多因素身份驗證以保護其帳戶的重要性?

嘿，這是 Twitter/X/Elon 的數十億美元虛榮項目的想法(酌情刪除)：

為什么不對Twitter 上的已驗證帳戶和公司帳戶強制執行雙因素身份驗證(最好不是基于短信，因為有更好的 2FA 形式) ?