BitPay подала в суд на страховщика после потери 1,8 миллиона долларов в результате фишинговой атаки

ОБНОВЛЕНИЕ (17 сентября 15:25 BST):В эту статью добавлена дополнительная информация, включая судебные документы, поданные BitPay в федеральный суд.

BitPay подала иск против страховой компании из Массачусетса после потери 1,8 млн долларов в результате фишинговой атаки в декабре прошлого года.

Согласно документам, полученнымАтланта Бизнес ХроникаВ середине декабря платежная система Bitcoin была взломана неизвестным лицом, выдававшим себя за генерального директора BTC Media Дэвида Бейли, компьютер которого был взломан до атаки.

Впоследствии злоумышленник получил учетные данные электронной почты финансового директора BitPay Брайана Крона, которые затем были использованы, чтобы побудить генерального директора Стивена Пэра и исполнительного председателя Тони Галлиппи авторизовать три платежа на общую сумму5000 BTC11 и 12 декабря, включая ONE транзакцию с кошелька на Bitcoin бирже Bitstamp.

BitPay подала иск о возмещении убытков через несколько дней после события в страховую компанию Massachusetts Bay Insurance Company, которая позже отклонила иск в письме от 8 июня. Юридическое представительство BitPay оспорило отклонение, и страховщик подтвердил свое решение в следующем месяце.

После того, как BitPay потребовала удовлетворения своего иска, 15 сентября она подала иск в Окружной суд США по Северному округу Джорджии. Компания заявила о нарушении контракта и требует возмещения убытков и судебных издержек в дополнение к своему иску на сумму $950 000.

Атака демонстрирует риски, с которыми сталкиваются компании, работающие с цифровыми валютами, в результате подобных атак, а также стоимость мошенничества, возникающего из-за неспособности операционной политики предотвратить подобные вторжения.

Хронология атаки

Судебные документы, включая жалобу и письма, которыми обменивались BitPay и адвокаты Массачусетского залива, описывают, как нападавший, выдавая себя за Бейли, инициировал атаку, отправив электронное письмо со LINK на документ Google.

Компьютер Бейли был взломан и до этого, хотя никаких подробностей об этом инциденте не приводится.

В жалобе говорится:

«Поддельное электронное письмо, отправленное лицом, взломавшим компьютер г-на Бейли, перенаправило г-на Крона на веб-сайт, контролируемый хакером, на котором г-н Крон предоставил учетные данные своего корпоративного аккаунта электронной почты BitPay. После получения учетных данных BitPay г-на Крона хакер использовал эту информацию для взлома аккаунта электронной почты BitPay г-на Крона, чтобы обманным путем осуществить перевод Bitcoin».

Хронология, включенная в первоначальное письмо-отказ Массачусетского залива, содержит более подробные сведения.

«Сразу после нажатия на LINK Google doc г-н Крон вводит свои аутентификационные данные, как запрашивается, чтобы получить доступ к предполагаемым Google docs, и получает сообщение об ошибке», — говорится в письме. «[Крон] считает, что его личная информация была украдена в тот момент, и что его ответ предоставил мошеннику доступ к его электронной почте».

Теперь мошеннику стала доступна ключевая деталь, включенная в электронные письма: тот факт, что BitPay не требовал от SecondMarket предварительной оплаты биткоинов, полученных от компании.

Используя эту информацию, злоумышленник составил цепочку электронных писем, демонстрирующую разговор между Кроном и вице-президентом SecondMarket Престоном Бланкеншипом относительно покупки 1000 BTC.

«В письме содержится просьба перевести 1000 биткоинов в SecondMarket на указанный адрес кошелька. В 15:33 биткоины отправляются с HOT кошелька BitPay», — говорится в письме Массачусетского залива.

Менее чем через час лицо, контролирующее электронную почту Крона, запросило отправить еще 1000 BTC на тот же Bitcoin адрес. Затем эта сумма была переведена со счета, который держала на Bitstamp компания Gallippi, после того как Pair сообщила по электронной почте, что в «теплом» кошельке BitPay недостаточно средств после второго Request.

На следующий день электронное письмо Крона было использовано для того, чтобы Request Pair отправить еще 3000 BTC на другой адрес, предположительно контролируемый SecondMarket.

Пара ответила «подтвердить, что этот Request, который превысил обычную ежедневную сумму в 1000-2000 Bitcoin между компаниями, был действительным». Злоумышленник ответил, скопировав адрес электронной почты якобы из SecondMarket и подтвердив, что Request был действительным.

После обработки транзакции Пэр подтвердил перевод по электронной почте и отправил копию сотруднице SecondMarket Джине Гуарначчиа.

Гуарначча ответила, что «она не отправляла предыдущее электронное письмо, в котором упоминались 3000 биткоинов и адрес для их отправки, и что SecondMarket не покупала биткоины».

Возникает спор по поводу претензий

После расследования страховщик отклонил иск BitPay. В своем письме об отказе Massachusetts Bay утверждал, что BitPay понесла косвенный убыток, а не ONE, тем самым исключив инцидент из покрытия.

В письме говорилось:

«Представленные факты не подтверждают прямой убыток, поскольку не было взлома или несанкционированного проникновения в компьютерную систему BitPay, мошенническим путем вызвавшего перевод денег. Вместо этого компьютерная система Дэвида Бейли, делового партнера BitPay, была скомпрометирована, что привело к получению BitPay фиктивных электронных писем».

« Политика не покрывает косвенные убытки, вызванные взломом компьютерной системы лица, не являющегося застрахованным лицом», — говорится в письме.

Кроме того, страховая компания утверждала, что, поскольку биткоины существуют в электронном виде, любой инцидент, приведший к их потере, T будет считаться произошедшим на «территории» BitPay.

«Hanover понимает, что биткоины хранились онлайн и передавались онлайн, а не находились в физических помещениях BitPay. Не похоже, что транзакции Bitcoin включали передачу собственности из помещения за его пределы», — написала страховая компания. «Поэтому Hanover должен со всем уважением отказаться от предоставления покрытия по этому убытку в соответствии с Соглашением о страховании от компьютерного мошенничества».

Неделю спустя юридическая фирма Morris, Manning & Martin LLP, представляющая интересы BitPay, потребовала от страховщика отменить решение об отклонении иска и выплатить запрошенные 950 000 долларов США.

BitPay оспорила утверждение о том, что ее потери были косвенными, заявив, что Массачусетский залив неверно истолковал собственное положение Политика относительно компьютерного мошенничества. Компания также заявила, что в соответствии с соглашением со страховщиком ее Bitcoin активы подлежат особому рассмотрению с учетом особенностей цифровой валюты.

«MBIC согласилась добавить Bitcoin в определение «денег» в Политика , тем самым застраховав BitPay от потери Bitcoin. В отличие от традиционных денег, Bitcoin не существует в физической форме в каком-либо месте или помещении, и его нельзя перевести из или в какое-либо физическое место», — написала в письме адвокат Джессика Парди.

«Соответственно, любое соглашение о страховании Bitcoin , которое якобы требует, чтобы Bitcoin находились на территории BitPay, является иллюзорным, а толкование MBIC необоснованно и свидетельствует о недобросовестности», — добавила она.

В ответном письме, направленном юридической фирмой LEO & Weber, страховщик подтвердил свой отказ удовлетворить иск и оспорил контраргументы BitPay о том, что убытки были прямыми, а не косвенными.

«Нам неизвестны какие-либо доказательства, подтверждающие, что преступник получил доступ к компьютерной системе или устройству BitPay. Конечный перевод биткойнов не был результатом доступа преступника к компьютерной системе или устройству BitPay», — говорится в письме. «В конечном итоге, начальники г-на Крона приняли решение отправить биткойны тремя отдельными транзакциями, до получения оплаты, которой, как они считали, была компания SecondMarket».

Несколько дней спустя BitPay повторил свои требования и пригрозил подать в суд, если ему T выплатят компенсацию. Страховщик отказался принять претензию или выплатить требуемую сумму, говорится в жалобе.

BitPay и Massachusetts Bay не сразу отреагировали на просьбы прокомментировать ситуацию.

Жалобу BitPay, а также дополнительные документы можно найти ниже:

Жалоба и документы BitPay

Изображение молоткачерез Shutterstock

Отказ от ответственности: Основатель CoinDesk Шакил Хан является инвестором BitPay.