BitPay poursuit son assureur après avoir perdu 1,8 million de dollars suite à une attaque de phishing

MISE À JOUR (17 septembre 15h25 BST) :Cet article a été mis à jour avec des informations supplémentaires, notamment les documents judiciaires déposés par BitPay devant un tribunal fédéral.

BitPay a intenté un procès contre une compagnie d'assurance du Massachusetts après avoir perdu 1,8 million de dollars lors d'une attaque de phishing en décembre dernier.

Selon des documents obtenus par leChronique des affaires d'Atlanta, le processeur de paiement Bitcoin a été fraudé à la mi-décembre par un individu inconnu se faisant passer pour le PDG de BTC Media, David Bailey, dont l'ordinateur a été infiltré avant l'attaque.

L'attaquant a ensuite obtenu les identifiants de messagerie du directeur financier de BitPay, Bryan Krohn, qui ont ensuite été utilisés pour inciter le PDG Stephen Pair et le président exécutif Tony Gallippi à autoriser trois paiements totalisant5 000 BTCles 11 et 12 décembre, y compris une transaction à partir d'un portefeuille sur la bourse Bitcoin Bitstamp.

Quelques jours après l'incident, BitPay a déposé une réclamation pour les pertes subies auprès de la Massachusetts Bay Insurance Company, qui a ensuite rejeté la réclamation dans une lettre datée du 8 juin. Les avocats de BitPay ont contesté ce rejet, et l'assureur a réaffirmé sa décision le mois suivant.

Après avoir exigé que sa réclamation soit honorée, BitPay a porté plainte devant le tribunal de district américain du district nord de Géorgie le 15 septembre. L'entreprise allègue une rupture de contrat et réclame des dommages et intérêts ainsi que les frais de justice, en plus de sa réclamation de 950 000 dollars.

L’attaque démontre le risque auquel sont confrontées les entreprises manipulant des monnaies numériques face à de telles attaques, ainsi que le coût de la fraude résultant de l’échec des politiques opérationnelles à empêcher de telles intrusions.

Chronologie de l'attaque

Les documents judiciaires du procès, y compris la plainte et les lettres échangées entre BitPay et les avocats de Massachusetts Bay, décrivent comment l'agresseur, se faisant passer pour Bailey, a lancé l'attaque en envoyant un e-mail contenant un LINK vers un document Google.

L’ordinateur de Bailey avait été compromis avant cela, bien qu’aucun détail concernant cet incident ne soit mentionné.

La plainte stipule :

Le faux courriel envoyé par le pirate informatique de M. Bailey redirigeait M. Krohn vers un site web contrôlé par le pirate, où il fournissait les identifiants de son compte de messagerie BitPay professionnel. Après avoir récupéré les identifiants BitPay de M. Krohn, le pirate les a utilisés pour pirater son compte BitPay et effectuer frauduleusement un transfert de Bitcoin.

Une chronologie incluse dans la lettre de refus initiale de Massachusetts Bay donne plus de détails.

« Immédiatement après avoir cliqué sur le LINK Google Docs, M. Krohn saisit ses informations d'authentification comme demandé afin d'accéder aux prétendus documents Google et reçoit un message d'erreur », indique la lettre. « [Krohn] pense que ses informations personnelles ont été volées à ce moment-là et que sa réponse a permis au fraudeur d'accéder à son adresse e-mail. »

Un détail clé inclus dans les e-mails était désormais accessible au fraudeur : le fait que BitPay n'exigeait pas de SecondMarket qu'il paie à l'avance les bitcoins qu'il recevait de la société.

À l'aide de ces informations, l'individu a créé une chaîne de courrier électronique montrant une conversation entre Krohn et le vice-président de SecondMarket, Preston Blankenship, concernant un achat de 1 000 BTC.

« L'e-mail demande le transfert de 1 000 bitcoins vers SecondMarket à une adresse de portefeuille spécifique fournie. À 15 h 33, les bitcoins sont envoyés depuis le portefeuille HOT de BitPay », précise la lettre de Massachusetts Bay.

Moins d'une heure plus tard, la personne contrôlant la messagerie de Krohn a demandé l'envoi de 1 000 BTC supplémentaires à la même adresse Bitcoin . Ce montant a ensuite été transféré depuis un compte détenu par Gallippi sur Bitstamp, après que Pair a indiqué par courriel que le portefeuille « chaud » de BitPay était insuffisant suite à la deuxième Request.

Le lendemain, l'e-mail de Krohn a été utilisé pour Request à Pair d'envoyer 3 000 BTC supplémentaires à une autre adresse qui serait contrôlée par SecondMarket.

Pair a répondu « pour confirmer la validité de cette Request, qui dépassait le montant habituel de 1 000 à 2 000 Bitcoin échangés quotidiennement entre les deux entreprises ». L'agresseur a répondu en copiant une adresse e-mail provenant prétendument de SecondMarket et en confirmant la validité de la Request .

Après avoir traité la transaction, Pair a confirmé le transfert par e-mail et a copié l'employée de SecondMarket, Gina Guarnaccia.

Guarnaccia a répondu « qu'elle n'avait pas envoyé l'e-mail précédent indiquant les 3 000 bitcoins et l'adresse à laquelle ils devaient être envoyés, et que SecondMarket n'avait pas acheté les bitcoins ».

Un litige sur les réclamations apparaît

À la suite d'une enquête, la réclamation de BitPay a été rejetée par l'assureur. Massachusetts Bay a fait valoir dans sa lettre de rejet que BitPay avait subi une perte indirecte plutôt que ONE, excluant ainsi l'incident de sa couverture.

La lettre indiquait :

Les faits présentés ne permettent pas de conclure à une perte directe, car il n'y a eu ni piratage ni intrusion non autorisée dans le système informatique de BitPay ayant entraîné un transfert d'argent frauduleux. En revanche, le système informatique de David Bailey, partenaire commercial de BitPay, a été compromis, ce qui a entraîné la réception par BitPay de faux courriels.

« La Juridique ne couvre pas les pertes indirectes causées par un piratage du système informatique d'une personne autre que l'assuré », ajoute la lettre.

En outre, la compagnie d'assurance a fait valoir que, comme les bitcoins existent sur un support électronique, tout incident entraînant leur perte ne serait T considéré comme ayant lieu dans les « locaux » de BitPay.

« Hanover comprend que les bitcoins ont été détenus et transférés en ligne, et non dans les locaux de BitPay. Il ne semble pas que les transactions en Bitcoin aient impliqué un transfert de propriété de l'intérieur vers l'extérieur des locaux », a écrit l'assureur. « Par conséquent, Hanover doit respectueusement refuser de couvrir ce sinistre au titre de la convention d'assurance contre la fraude informatique. »

Une semaine plus tard, Morris, Manning & Martin LLP, un cabinet d'avocats représentant BitPay, a répondu en exigeant que l'assureur annule son rejet de réclamation et paie les 950 000 $ demandés.

BitPay a contesté l'affirmation selon laquelle ses pertes étaient indirectes, affirmant que Massachusetts Bay interprétait mal sa propre clause de Juridique concernant la fraude informatique. L'entreprise a également déclaré que, conformément à son accord avec l'assureur, ses avoirs en Bitcoin faisaient l'objet d'une attention particulière compte tenu des spécificités de cette monnaie numérique.

« MBIC a accepté d'ajouter le Bitcoin à la définition de « monnaie » de la Juridique , assurant ainsi BitPay contre la perte de Bitcoin. Contrairement à la monnaie traditionnelle, le Bitcoin n'existe pas sous forme physique, et il ne peut être transféré depuis ou vers aucun lieu physique », a écrit l'avocate Jessica Pardi dans la lettre.

« En conséquence, tout accord visant à assurer le Bitcoin qui exigerait que le Bitcoin soit dans les locaux de BitPay est illusoire, et l'interprétation de MBIC est sans fondement et témoigne de mauvaise foi », a-t-elle ajouté.

Dans une lettre de réponse envoyée par le cabinet d'avocats LEO & Weber, l'assureur a réaffirmé son refus d'honorer la réclamation et a contesté les contre-arguments de BitPay selon lesquels les pertes seraient directes plutôt qu'indirectes.

« Nous n'avons connaissance d'aucun élément permettant d'affirmer que l'auteur a accédé au système informatique ou à l'appareil BitPay. Le transfert de bitcoins n'a pas résulté de l'accès de l'auteur au système informatique ou à l'appareil BitPay », précise la lettre. « En fin de compte, les supérieurs de M. Krohn ont pris la décision d'envoyer des bitcoins en trois transactions distinctes, avant de recevoir le paiement, à qui, selon eux, il s'agissait de SecondMarket. »

Quelques jours plus tard, BitPay a réitéré ses exigences et menacé de poursuites judiciaires en cas de T -paiement. L'assureur a refusé d'accepter la réclamation ou de verser le montant demandé, selon la plainte.

BitPay et Massachusetts Bay n'ont pas immédiatement répondu aux demandes de commentaires.

La plainte de BitPay, ainsi que des documents supplémentaires, peuvent être trouvés ci-dessous :

Plainte et documents BitPay

Image du marteauvia Shutterstock

Clause de non-responsabilité:Le fondateur de CoinDesk, Shakil Khan, est un investisseur dans BitPay.