Investor žaluje operátora AT&T o 240 mil. USD kvůli krádeži bitcoinů
16.8.2018, Milan Šurkala, aktualita
Dvoufaktorová autentizace by měla být velmi bezpečnou ochranou. Pokud však operátor naletí kriminálníkům falešně se vydávající za jinou osobu, to se pak tisíce Bitcoinů kradou jedna radost. Investor tak žaluje AT&T o 240 milionů USD.
Investor do kryptoměn Michael Terpin je oblíbeným cílem hackerů, neboť je to už podruhé, co se někdo pokusil dostat k jeho bitcoinům. A útok to byl velmi úspěšný. Terpin za krádež viní i amerického operátora AT&T, kterého nyní žaluje o 240 milionů dolarů. I když měl vše chráněno dvoufaktorovou autentizací, chyba operátora a nesplnění jeho vlastních bezpečnostních předpisů vyústilo v krádež bitcoinů v hodnotě 23,8 milionů dolarů. Dalších 216 milionů dolarů chce Terpin za různé jiné újmy.
A jak se to vlastně hackerům podařilo? Už v minulosti zde byly pokusy nabourat Terpinův účet, a tak se snažil si jej co nejvíce zabezpečit. Před půl rokem totiž hacker obešel minimálně 11 poboček, než mu někdo "pomohl" s převzetím Terpinova čísla. Ten se tak po prvním útoku nespoléhal jen na dvoufaktorovou autentizaci (nutnost potvrdit heslo kódem, který přijde jako SMS na telefonem), ale také si u operátora nastavil své telefonní číslo jako "vysoce rizikové". V takovém případě se jakékoli změny s číslem musí řešit se zvýšenou bezpečností (identifikačním průkazem a šestimístným kódem). Jenže ani to v tomto případě nestačilo.
Hackeři totiž kontaktovali prodejnu AT&T v Connecticutu, kde znovu požadovali výměnu SIM karty (obvykle se řekne, že se stará zlomila nebo nepasuje do nového telefonu). K tomu pochopitelně potřebovali vědět o Terpinovi některé důležité údaje, aby jim pracovník AT&T schválil novou SIM kartu. A tak se totéž stalo i podruhé, dokonce i bez toho, aniž by pracovník vyžadoval např. identifikační průkaz a speciální šestimístný kód (připomínáme, že jeho účet měl po prvním útoku nastaveno, že je vysoce rizikový). Nová SIM karta se tak opětovně dostala do rukou hackerů a ti pak během víkendu vybílili bitcoinovou peněženku Terpina. Potvrzovací SMS pro dvoufaktorovou autentizaci totiž přišla hackerům na jejich novou SIM kartu a nikoli Terpinovi.
Linka podpory AT&T na nahlášení útoků navíc o víkendu nefunguje, takže Terpin, ačkoli o převzetí čísla věděl (SIM karta v jeho telefonu přestala fungovat), nemohl přes víkend nic dělat. Podle žaloby tak AT&T neuposlechla své vlastní bezpečnostní předpisy a neprovedla služby v té kvalitě, kterou Terpin požadoval a měl nastavenu. Celkové škody nicméně vyčíslil na desetinásobek ukradené hodnoty kryptoměn. Tak uvidíme, jak moc se mu podaří uspět.
Zdroj: theregister.co.uk, phonearena.com
