Ekonomi

‘Utanç verici’ güvenlik açığı SEC yönetimini sarstı

Şirketlere güvenlik açıkları nedeniyle cezalandırma konusunda çekinmeyen SEC salı günü ‘utanç verici’ bir güvenlik açığının bedelini ödedi. SEC yönetimi yatırımcılardan Kongre üyelerine kadar herkesin hedefinde

‘Utanç verici’ güvenlik açığı SEC yönetimini sarstı
11-01-2024 12:17

BORSAGUNDEM.COM ÖZETİ| – DIŞ HABERLER SERVİSİ

ABD Menkul Kıymetler ve Borsa Komisyonu'nun (SEC) salı günü resmi X hesabında, ABD spot Bitcoin borsa yatırım fonlarını onayladığını iddia eden gönderi yayınladı. Ancak bu paylaşımın düzenleyici kurumun uğradığı bir siber saldırı sonucu yayınlandığı ortaya çıktı. SEC uzun yıllardır şirketleri siber saldırıları önlemeleri konusunda sert bir biçimde uyarıyordu.

Korsan gönderi sosyal medyanın yanı sıra Bloomberg TV ve iş dünyası haber sitelerinde geniş çapta paylaşıldı. Ardındansa SEC Başkanı Gary Gensler paylaşımdan 10 dakika sonra kendi X hesabında kurumun hesabının ‘ele geçirildiğini’ ve henüz herhangi bir onayın verilmediğini açıkladı. Borsagundem.com’un derlediği bilgilere göre çarşamba günüyse SEC söz konusu fiyaskonun üzerinden 24 saat geçmeden Bitcoin fonlarının onaylandığını resmi olarak açıkladı.

SEC hesabının ele geçirilmesi ve bu denli kritik bir paylaşımın yapılması özellikle de Gensler için utanç verici bir durum. Financial Times’ın haberine göre Gensler siber güvenlik konusunu ana gündem maddesi haline getirmesiyle biliniyor. Gensler SEC başkanlığı süresince siber güvenlik ihlallerinin ifşasını katı kurallara tabi tuttu ve yatırımcıları siber güvenlik uygulamaları konusunda yanılttıkları gerekçesiyle birçok şirketi cezalandırdı.

Düzenleyici kurum hesaba yetkisiz girişin sonlandırıldığını ve olayı incelemek için FBI dahil tüm kurumlarla birlikte çalışıldığını açıkladı.

SEC hesabına nasıl girildi?

Eski adı Twitter olan X’in salı günü yayınladığı bildiride olaya ilişkin ayrıntılar paylaşıldı. Bildiride SEC hesabına “kimliği belirsiz bir üçüncü taraf” aracılığıyla girildiğini ve korsanların @SECGov hesabıyla ilişkili bir telefon numarası üzerinde kontrol sahibi oldukları belirtildi. X bildirisinde daha da ileri gidildi ve SEC hesabında iki faktörlü kimlik doğrulama metodunun kullanılmadığı açıklandı. X’in konuyla ilişkili uyarısında, “Tüm kullanıcılara bu ek güvenlik katmanını kullanmaları için teşvik ediyoruz” denildi.

Siber güvenlik standartlarına göre, güvenliği ihlal edilmiş bir X hesabı SEC’in daha önceki vakaları düşünüldüğünde çok daha az ciddi bir konu olarak görülüyor. Zira 2016 yılında SEC'in kurumsal dosyalama sisteminin hacklenmiş ve yatırımcıların en az 4,1 milyon dolarlık yasa dışı kâr elde etmesine izin verdiği iddia edilmişti.

‘Anaokulu’ seviyesinde güvenlik açığı

Harvard öğretim görevlisi ve güvenlik teknolojisi uzmanı Bruce Schneier, "İşin sonunda, bu açık bir şekilde utanç verici bir durum. Resmin bütününe bakıldığında bir zarar verilmedi” açıklamasında bulundu. Ancak Schneier SEC’in güvenlik zafiyetinin ‘anaokulu’ seviyesinde olduğunu da sözlerine ekledi:

“Bu bir komite oluşturulmasını, bir ürün satın alınmasını ve kullanıma hazır hale getirilmesini gerektiren ince bir güvenlik kararı değil. Bu sadece Twitter hesabınızı iki faktörlü kimlik doğrulamaya ayarlamanızla alakalı.”

Siber güvenlik grubu BlackCloak'un CEO'su Chris Pierson, kurumsal hesapların iki faktörlü kimlik doğrulama olmadan çalışmasının alışılmadık bir durum olmadığını, zira birden fazla kişi tarafından kullanılan bir hesap için bir kimlik doğrulama sistemi kurmanın daha karmaşık olduğunu söyledi.

Elon Musk intikam mı aldı?

X'in SEC'in iki faktörlü kimlik doğrulama önlemini uygulamadaki başarısızlığını açıklaması bazı analistleri şaşırttı. Ancak Pierson, komisyonun yeni katı siber güvenlik kuralları göz önünde bulundurulduğunda bu açıklamanın mantıklı olduğunu belirtiyor. Zira kurallar herhangi bir önemli siber güvenlik açığının ayrıntılarının dört gün içinde açıklanmasını gerektiriyor.

Pierson, “X bu açıklamayı yapmak zorunda değildi. Ancak SEC’in siber güvenlik kurallarına odaklanması nedeniyle bu ek adımı atmış olabilirler. SEC 2023’ün tamamını siber güvenlik konusunu yoğun bir biçimde destekleyerek geçirmişti” ifadelerine yer verdi.

Sosyal medya platformu X, SEC’i uzun süredir açık bir şekilde eleştiren Elon Musk tarafından kontrol ediliyor. Musk 2018 yılında Twitter üzerinden Tesla ile ilgili yaptığı paylaşım nedeniyle menkul kıymetler dolandırıcılığı ile suçlanmış ve daha sonra kurumla anlaşmaya varmıştı. Musk daha sonra Twitter’ı satın aldı, özel bir şirket haline getirdi ve adını X olarak değiştirdi.

Bir diğer cephede ise SEC Musk’a ekim ayında bir dava daha açtı ve Twitter’ın 2022’deki satın alınması süreçleriyle ilgili soruşturmanın bir parçası olarak ifade vermeye çağırdı.

En kritik zamanda gelen saldırı

SEC’in X hesabına yönelik saldırı tüm dünyanın gözleri spot Bitcoin ETF’leri üzerindeyken gerçekleştirildi. Zira söz konusu ETF’lerin düzenleyici kurum tarafından onaylanması bireysel yatırımcıların Bitcoin’e çok daha kolay ve ucuz bir biçimde yatırım yapabilmesine imkan sağlayacak.

Korsan paylaşımdan birkaç dakika sonra Bitcoin yüzde 1,5 yükselerek gün içi zirvesine ulaştı. Ancak SEC yönetiminin paylaşımı yalanlamasının ardından bu kazanımlar hızlı bir biçimde tersine döndü. Bitcoin fiyatları toparlanmadan önce %3,4’e kadar düştü.

ABD Kongresi milletvekilleri, yaşananlarla ilgili soruşturma açılması çağrısında bulundu. Tennessee'den Cumhuriyetçi Senatör Bill Hagerty, bir X gönderisinde olayı "kabul edilemez" olarak nitelendirdi.

Hagerty açıklamasında “Tıpkı halka açık bir şirketten böylesine muazzam bir piyasa hareketi hatası yapılması durumunda SEC'in hesap verebilirlik talep edeceği gibi, Kongre'nin de az önce ne olduğuna dair cevaplara ihtiyacı var" diye ekledi.

Temsilciler Meclisi finansal hizmetler komitesindeki Cumhuriyetçiler, düzenleyici kurumdan olayla ilgili bir brifing istedi. SEC'i denetleyen ABD Senatosu bankacılık komitesinin Demokrat başkanı Sherrod Brown, Financial Times'a yaptığı açıklamada, olayın piyasaların ve SEC’in misyonunu baltalayabileceğinden "endişe duyduğunu" söyledi. Wyoming'den Cumhuriyetçi Senatörü Cynthia Lummis, salı günkü bir X gönderisinde "ne olduğu konusunda şeffaflığa ihtiyacımız var" dedi.

Siber saldırının nedeni ve nasılı belirsizliğini koruyor. Borsagundem.com’un derlediği bilgilere göre korsan bildirinin yayılması üzerinden 24 saat geçmeden SEC’in spot Bitcoin ETF’lerini onayladığını bu sefer gerçekten duyurması da ayrıca dikkat çekti.


Editor : Şerif SENCER
SİZİN DÜŞÜNCELERİNİZ?
TÜRKİYE GÜNDEMİ
BUNLAR DA İLGİNİZİ ÇEKEBİLİR
ÇOK OKUNAN HABERLER