Sblocca gratuitamente il Digest dell’editore
Il post X sull’account ufficiale della Securities and Exchange Commission che afferma, falsamente, di aver approvato martedì gli Exchange Traded Funds spot bitcoin negli Stati Uniti sembra essere stato esattamente il tipo di hack che il regolatore ha impiegato anni ad avvertire le aziende di prevenire.
Il post è stato ampiamente condiviso sui social media, su Bloomberg TV e sui siti di notizie economiche, fino a quando il presidente della SEC Gary Gensler ha pubblicato sul suo account X 10 minuti dopo dicendo che l’account del regolatore era stato “compromesso” e non era stata concessa alcuna approvazione.
L’incidente è un occhio nero di alto profilo per Gensler, che ha fatto della sicurezza informatica un pilastro della sua agenda, adottando regole più severe per ampliare la divulgazione degli incidenti informatici delle imprese e punendo le aziende per aver fuorviato gli investitori riguardo alle loro pratiche di sicurezza informatica.
La SEC ha affermato che l’accesso non autorizzato al suo account è stato interrotto. Sta lavorando con agenzie, tra cui l’FBI, per esaminare l’incidente.
In un post di martedì scorso, X, precedentemente noto come Twitter, ha affermato che il “compromesso” è stato causato da “un individuo non identificato che ha ottenuto il controllo su un numero di telefono associato al @SECGov conto tramite terzi”. X è andato oltre e ha rivelato che l’account della SEC non disponeva dell’autenticazione a due fattori. “Incoraggiamo tutti gli utenti ad abilitare questo ulteriore livello di sicurezza”, ha aggiunto.
Secondo gli standard di sicurezza informatica, un account X compromesso è molto meno grave di una violazione mirata allo stesso regolatore, come l’hacking del sistema di archiviazione aziendale della SEC nel 2016 che avrebbe consentito ai trader di intascare almeno 4,1 milioni di dollari in profitti illegali.
“Alla fine, è solo motivo di imbarazzo”, ha affermato Bruce Schneier, docente di Harvard e esperto di tecnologia della sicurezza. “Nello schema più ampio delle cose, nessun danno arrecato.”
Tuttavia “questa è roba da asilo”, ha aggiunto. “Questa non è una decisione sottile sulla sicurezza, dobbiamo creare un comitato, acquistare un prodotto e decidere di implementarlo. Si tratta di impostare un’autenticazione a due fattori sul tuo account Twitter.”
Chris Pierson, amministratore delegato del gruppo di sicurezza informatica BlackCloak, ha affermato che non era raro che gli account aziendali operassero senza l’identificazione a due fattori perché impostare un sistema di autenticazione per un account utilizzato da più persone era più complicato.
La divulgazione da parte di X della mancata implementazione dell’autenticazione a due fattori da parte della SEC ha sorpreso alcuni analisti. Ma Pierson ha affermato che aveva senso alla luce delle nuove e severe regole di sicurezza informatica della Commissione che richiedono la divulgazione di qualsiasi evento materiale di sicurezza informatica entro quattro giorni.
“X non era obbligato a farlo, ma probabilmente ha fatto il passo in più a causa dell’attenzione della SEC sulle regole di sicurezza informatica”, ha detto. “La SEC ha trascorso tutto il 2023 a suonare i tamburi sulla sicurezza informatica”.
X è controllato da Elon Musk, che è stato un critico vocale e di lunga data della SEC. Nel 2018, ha concordato un accordo con l’agenzia dopo essere stato accusato di frode sui titoli collegata a un post su Twitter in cui affermava che stava “considerando la possibilità di privatizzare Tesla a 420 dollari”. Finanziamenti assicurati”. Successivamente Musk acquistò Twitter, lo rese privato e lo ribattezzò X.
La SEC ha citato in giudizio separatamente Musk in ottobre per costringerlo a testimoniare come parte di un’indagine dell’agenzia sul suo acquisto di Twitter nel 2022, un mandato di comparizione contro cui ha combattuto in tribunale.
Per la SEC, l’hacking è avvenuto proprio mentre gli occhi del mondo finanziario erano puntati sull’autorità di regolamentazione, poche ore prima di una scadenza molto attesa sull’approvazione o meno di alcune delle almeno 11 richieste presentate dai gestori patrimoniali che cercano di lanciare ETF spot su bitcoin.
Nei minuti successivi al post falso, il bitcoin è aumentato dell’1,5% nel corso della giornata, ma ha rapidamente invertito la rotta una volta che il post è stato sfatato. Il prezzo è poi sceso fino al 3,4% prima di rimbalzare leggermente.
I legislatori di Washington hanno chiesto un’indagine su quanto accaduto. Bill Hagerty, il senatore repubblicano del Tennessee che ha criticato la posizione più severa della SEC nei confronti delle criptovalute, ha definito l’incidente “inaccettabile” in un post su X.
“Proprio come la SEC richiederebbe la responsabilità di una società pubblica se commettesse un errore così colossale in grado di influenzare il mercato, il Congresso ha bisogno di risposte su ciò che è appena accaduto”, ha aggiunto.
I repubblicani della commissione per i servizi finanziari della Camera hanno chiesto all’autorità di regolamentazione un briefing sull’incidente. Sherrod Brown, il presidente democratico del comitato bancario del Senato americano, che supervisiona la SEC, ha dichiarato al MagicTech in una dichiarazione di essere “preoccupato” che l’incidente “potrebbe minare i nostri mercati e la missione dell’agenzia”. Cynthia Lummis, senatrice repubblicana del Wyoming e sostenitrice delle criptovalute, ha affermato martedì in un post su X che “abbiamo bisogno di trasparenza su ciò che è accaduto”.
Il motivo e la natura dell’hacking rimangono poco chiari. “Potrebbe essere ‘ah ah non era così divertente’ o ‘ho fatto un sacco di investimenti e ora li trarrò a profitto'”, ha detto Schneier, docente di Harvard e esperto di tecnologia della sicurezza.
James Elbaor, capo di Marlton, un hedge fund con sede a Chicago attivo nel mercato dei bitcoin e in altri mercati, ha affermato di non aver visto “strani movimenti di mercato che avrebbero beneficiato dell’hacking”.
“Penso solo che fosse qualcuno che avrebbe dovuto saperlo meglio, ma non qualcuno che cercava di fare soldi”, ha detto. “Non così nefasto.”