Jemand hatte sich am Dienstag kurzzeitig Zugang zum X-Konto (früher Twitter) verschafft, wie die Behörde bestätigte, und eine gefälschte Nachricht gepostet, in der es hieß, sie habe börsengehandelte Fonds (ETF) für Bitcoin genehmigt.
Die SEC genehmigte schließlich am Mittwoch die ersten in den USA börsennotierten ETFs, die Bitcoin abbilden, aber der unautorisierte Post vom Vortag führte zu einem Anstieg des Bitcoin-Kurses auf rund 48.000 Dollar, bevor er Minuten später auf unter 45.000 Dollar fiel.
In einem Brief an die Behörde am Donnerstag forderten Ron Wyden, ein demokratischer Senator aus Oregon, und Cynthia Lummis, eine republikanische Senatorin aus Wyoming, eine Untersuchung des Vorfalls, den sie als "offensichtliches Versäumnis der SEC, die besten Praktiken der Cybersicherheit zu befolgen" bezeichneten.
X, das sich im Besitz des Milliardärs und Tesla-Chefs Elon Musk befindet, bestätigte den Hack. Es hieß, dass eine "nicht identifizierte Person" die Kontrolle über eine Telefonnummer erlangte, die mit dem Konto der Behörde verbunden war, und dass die SEC zu diesem Zeitpunkt keine Zwei-Faktor-Authentifizierung aktiviert hatte.
Bei der Zwei-Faktor-Authentifizierung (MFA) handelt es sich um ein zweigleisiges Datenschutzinstrument, das den Zugriff auf ein Internet-Konto erst dann erlaubt, wenn der Benutzer das Passwort und einen per E-Mail oder Telefon übermittelten Sicherheitsschlüssel eingegeben hat.
"Wir fordern Sie auf, die Praktiken der Agentur in Bezug auf die Verwendung von MFA und insbesondere von phishing-resistenter MFA zu untersuchen, um alle verbleibenden Sicherheitslücken zu identifizieren, die behoben werden müssen", so Wyden und Lumis in ihrem Brief.
Die SEC hatte zuvor erklärt, sie arbeite mit den Strafverfolgungsbehörden zusammen, um den Hack zu untersuchen.
