L’episodio di intrusione digitale nei confronti della SEC evidenzia l’importanza dell’autenticazione a due fattori.
Recentemente, un evento inquietante ha scosso le fondamenta della sicurezza informatica a livello istituzionale. Si tratta dell’accesso non autorizzato all’account della Securities and Exchange Commission (SEC) sulla piattaforma di comunicazione sociale X, evento che ha provocato una falsa comunicazione relative all’approvazione di fondi negoziati in borsa legati a bitcoin.
Tale situazione ha messo in luce quanto sia cruciale per le entità governative, al pari di ogni singolo utente, implementare misure di sicurezza robuste, come l’autenticazione a due fattori (2FA). L’attacco subìto dal profilo della SEC è attribuibile, secondo quanto dichiarato dalla piattaforma stessa, non a una breccia nei loro sistemi, bensì al controllo indebito sopra un numero di telefono collegato all’account, ottenuto tramite un’operazione di sim-swapping, una tecnica fraudolenta che prevede il trasferimento di un numero telefonico su una SIM sotto il controllo dell’attaccante.
Il sim-swapping si sta rivelando un metodo sempre più utilizzato per ottenere l’accesso ai conti delle vittime, permettendo così ai malintenzionati di intercettare anche i codici utilizzati nell’ambito dell’autenticazione bidimensionale, nel caso in cui la vittima utilizzasse lo stesso numero di telefono per tale scopo.
L’incidente è un monito severo sulle conseguenze che possono derivare dall’assenza o dalla carente implementazione dei sistemi di sicurezza più avanzati, soprattutto quando si trattano dati sensibili. Come raccomandato dalla Cybersecurity and Infrastructure Security Agency (CISA) nel suo avviso del dicembre 2021, l’attuazione di tecniche di autenticazione multi-fattore per gli account social è un’esigenza imprescindibile per le agenzie federali.
La sicurezza sulle piattaforme di social media ha assunto un ruolo di primaria importanza, tanto più nel contesto attuale. Come è stato osservato da esperti di cyber security, la Privacy e la protezione dei dati personali sono al centro dell’attenzione non solo dei singoli utenti ma delle istituzioni pubbliche e private. Infatti, il rispetto degli standard di sicurezza diventa un punto cardine nella gestione di informazioni rilevanti e nelle comunicazioni ufficiali.
In sintesi, la vicenda della SEC è un campanello d’allarme per tutti coloro che si occupano della gestione di account istituzionali o personali, segnalando il bisogno di un risveglio collettivo sulla necessità di un approccio di sicurezza informatizzata più sofisticato e multilivello. Le pratiche di sicurezza devono essere aggiornate costantemente per tenere il passo con le tecniche in evoluzione di attacco e intrusione, essendo la sfida al crimine informatico un processo dinamico e incessante.