Homem que Hackeou a Conta X da SEC Confessa Culpa

O hacker que sequestrou a conta X da Comissão de Valores Mobiliários dos EUA (SEC) e postou informações falsas sobre regulamentações de criptomoedas se declarou culpado e agora enfrenta uma pena máxima de cinco anos de prisão, conforme relatado pela primeira vez no The Record.

Eric Council Jr., um jovem de 25 anos de Athens, Alabama, admitiu conspiração para cometer roubo de identidade agravado e fraude de dispositivo de acesso em um acordo de confissão firmado na segunda-feira. Sua sentença está agendada para 16 de maio.

Council foi preso em outubro após uma investigação do FBI sobre a violação de janeiro de 2024, que fez o preço do bitcoin disparar brevemente.

A conta X da SEC foi comprometida e usada para postar falsas alegações sobre a aprovação de fundos de investimento em troca de criptomoedas (ETFs), enganando investidores e provocando flutuações no mercado.

De acordo com os promotores, Council e seus co-conspiradores assumiram o controle da conta da SEC usando uma troca de Módulo de Identidade do Assinante (SIM).

Essa tática envolve enganar uma operadora de telefone para transferir um número de telefone de seu legítimo proprietário para o cartão SIM de um hacker. Uma vez no controle do número, os hackers poderiam redefinir senhas e acessar contas de mídia social.

O Record relata que o Departamento de Justiça afirmou que o Conselho usou documentos de identificação falsificados para realizar a troca de SIM. Ele supostamente criou uma identidade falsa com o seu próprio rosto, mas com o nome de outra pessoa e a usou em uma loja da AT&T em Huntsville, Alabama, alegando ser um funcionário do FBI que havia perdido seu telefone.

Depois de adquirir o novo cartão SIM, ele comprou um iPhone, inseriu o SIM e recebeu códigos de autenticação de dois fatores necessários para assumir o controle da conta @SECGov no X.

Mais tarde naquele dia, Council devolveu o iPhone em outra loja da Apple em Birmingham.

Os registros do tribunal também revelam que Council pesquisou online por “SECGOV hack”, “como posso ter certeza de que estou sendo investigado pelo FBI” e “quanto tempo leva para excluir a conta do telegram”, conforme relatado pelo The Record.

X confirmou na época que a violação resultou de um acesso não autorizado a um número de telefone vinculado à conta da SEC, e não de uma falha de segurança direta por parte de X. No entanto, a acusação contradiz a afirmação de X de que a conta não possuía autenticação de dois fatores.

Os promotores suspeitam que Council e seus associados estavam tentando manipular o mercado de criptomoedas.

O falso tweet fez com que o preço do bitcoin subisse $1.000 antes que a SEC esclarecesse que a informação estava incorreta, fazendo o preço despencar $2.000. O Conselho foi pago em bitcoin por seus cúmplices.

O Record destaca que X continua a ter dificuldade em proteger contas de alto perfil de hacks relacionados a criptomoedas.

“A plataforma em questão tornou-se cada vez mais vulnerável a abusos, enquanto simultaneamente serve como uma ferramenta de mídia crítica para influenciadores, marcas e até governos”, disse Tom Hegel, pesquisador principal de ameaças na SentinelLabs, após um relatório recente sobre a tomada de contas.

Hegel observou que os incentivos financeiros para esses ataques aumentaram, enquanto as fraquezas de segurança persistem. Violações de alto perfil recentes incluem ataques a contas pertencentes ao Projeto Tor, NASDAQ e outros.