Bittrex став метою останнього судового позову щодо зламу Крипто SIM-карти на 1 мільйон доларів

На Крипто біржу Bittrex подали до суду через обмін SIM-картами, який приніс злочинцям 100 Bitcoin, наразі вартістю майже 1 мільйон доларів.

Цей випадок нагадує інші недавні резонансні пограбування, під час яких хакер захоплює контроль над мобільним телефоном жертви, щоб потім пограбувати онлайнові Крипто : своп відбувся у оператора стільникового зв’язку AT&T, гроші були взяті у Bittrex, а злом отримав контроль над онлайн-ідентифікацією жертви.

Проте злом інвестора-ангела з Сіетла Грегга Беннетта не був розкритий кримінальними слідчими, як це було раніше. громадськість в правовий опилки.

У цій справі Беннетт подав позов до Вищого суду округу Кінг штату Вашингтон, стверджуючи, що Bittrex порушила власні опубліковані протоколи безпеки та проігнорувала галузеві стандарти, втративши шанс зупинити високу крадіжку зі зломом. Він також стверджував, що Bittrex не спромігся діяти під час злому 15 квітня 2019 року або не відповів достатньо швидко, коли він повідомив про це безпосередньо.

У підписаному листі від 30 серпня 2019 року, наданому CoinDesk Беннеттом, фінансовий юридичний експерт регулюючого органу штату Вашингтон, який розглядає скарги споживачів, Департаменту CoinDesk установ, дійшов висновку, що Bittrex не «вжив розумних заходів, щоб відреагувати» на повідомлення Беннета, і «схоже» порушив власні умови обслуговування.

Хоча різні юридичні особи були повідомлені про злом, вони ще не оголосили про будь-які кримінальні звинувачення у цій справі, і, таким чином, місцезнаходження Bitcoin Беннетта невідоме.

Відповідь Bittrex

Bittrex відмовився конкретно коментувати злом Беннетта та судову справу.

Але генеральний директор Білл Шихара, розмовляючи з CoinDesk про інші нещодавні зломи SIM-карт, сказав, що біржа має надійний захист, щоб запобігти злому облікових записів, включаючи двофакторну автентифікацію та перевірку електронної пошти, коли невідома IP-адреса входить в обліковий запис.

Ці «лежачі поліцейські» можуть призвести до деяких скарг користувачів, сказав він, але «вони насправді рятують багато облікових записів від злому».

Але враховуючи, що електронну пошту цілі також може бути зламано, найкраще ніколи не довіряти своєму телефону як останньому захисному механізму – як тільки його захоплять, усе стане доступним, сказав він:

"Я думаю, що це проблема, яка вимагає багатьох рішень і багатьох рівнів безпеки. І, на жаль, ONE з мантр, які ми використовуємо і про які часто публікуємо статті, полягає в тому, що врешті-решт ви T можете довіряти своєму телефону. Ви повинні знати, що можете втратити контроль над телефоном".

Роль AT&T

Беннетт сказав CoinDesk , що він підозрює, що його злом був «внутрішньою роботою», оскільки він сказав, що PIN-код його облікового запису та навіть номер соціального страхування в обліковому записі були змінені, що означає, що хтось із телефонної компанії зіграв певну роль.

Однак AT&T не згадується в позові Беннетта, хоча вона є предметом подібних справ, поданих Сетом Шапіро та Майклом Терпіном.

Хоча нинішня справа Беннетта зосереджена лише на промахах у безпеці Bittrex, він сказав, що двері залишаються відкритими; AT&T «не уникне мого гніву», — сказав він.

Речник AT&T Джим Грір сказав, що він може лише повторити свої попередні відповіді на злом SIM-карти: клієнти не повинні покладатися на свої мобільні телефони для безпеки.

"Шахрайська заміна SIM-карти є формою крадіжки, скоєної досвідченими злочинцями. Ми тісно співпрацюємо з нашою галуззю, правоохоронними органами та споживачами, щоб зупинити та запобігти цьому виду злочину", - сказав Грір.

Червоні прапори

Беннет каже, що Bittrex повинен був знати, що відбувається щось дивне.

Зломи надходили з IP-адреси у Флориді та з операційної системи NT, сказав він, жодною з яких він ніколи раніше не користувався – обидві ознаки, на його думку, повинні бути зрозумілими, що він не мав ONE до облікового запису.

У позові Беннетт стверджує, що хакери зрештою злили з його рахунку 100 Bitcoin – максимальну дозволену добову суму. Насправді у нього була серія монет, які хакери скинули за ціною, нижчою від ринкової, конвертували в ще 30 Bitcoin і втекли з ними.

Вони навіть повернулися наступного дня за його 35 Bitcoin, що залишилися, але на той час Беннетт сказав, що йому вдалося змусити Bittrex закрити обліковий запис і несанкціоновані зняття коштів.

Позов Беннетта стверджує, що Bittrex не Соціальні мережі галузевих стандартів безпеки в його справі.

Крім іншої IP-адреси та операційної системи, його юристи стверджували, що Bittrex також повинен був запровадити 24-годинне утримання виведення коштів після зміни пароля, що, за його словами, роблять інші біржі.

«Я звинувачую Bittrex у тому, що вони не здатні побачити очевидну підозрілу активність», — сказав Беннетт.

SIM-картка зображення через Shutterstock