Investor do kryptoměn Michael Terpin je oblíbeným cílem hackerů, neboť je to už podruhé, co se někdo pokusil dostat k jeho bitcoinům. A útok to byl velmi úspěšný. Terpin za krádež viní i amerického operátora AT&T, kterého nyní žaluje o 240 milionů dolarů. I když měl vše chráněno dvoufaktorovou autentizací, chyba operátora a nesplnění jeho vlastních bezpečnostních předpisů vyústilo v krádež bitcoinů v hodnotě 23,8 milionů dolarů. Dalších 216 milionů dolarů chce Terpin za různé jiné újmy.
A jak se to vlastně hackerům podařilo? Už v minulosti zde byly pokusy nabourat Terpinův účet, a tak se snažil si jej co nejvíce zabezpečit. Před půl rokem totiž hacker obešel minimálně 11 poboček, než mu někdo "pomohl" s převzetím Terpinova čísla. Ten se tak po prvním útoku nespoléhal jen na dvoufaktorovou autentizaci (nutnost potvrdit heslo kódem, který přijde jako SMS na telefonem), ale také si u operátora nastavil své telefonní číslo jako "vysoce rizikové". V takovém případě se jakékoli změny s číslem musí řešit se zvýšenou bezpečností (identifikačním průkazem a šestimístným kódem). Jenže ani to v tomto případě nestačilo.
Hackeři totiž kontaktovali prodejnu AT&T v Connecticutu, kde znovu požadovali výměnu SIM karty (obvykle se řekne, že se stará zlomila nebo nepasuje do nového telefonu). K tomu pochopitelně potřebovali vědět o Terpinovi některé důležité údaje, aby jim pracovník AT&T schválil novou SIM kartu. A tak se totéž stalo i podruhé, dokonce i bez toho, aniž by pracovník vyžadoval např. identifikační průkaz a speciální šestimístný kód (připomínáme, že jeho účet měl po prvním útoku nastaveno, že je vysoce rizikový). Nová SIM karta se tak opětovně dostala do rukou hackerů a ti pak během víkendu vybílili bitcoinovou peněženku Terpina. Potvrzovací SMS pro dvoufaktorovou autentizaci totiž přišla hackerům na jejich novou SIM kartu a nikoli Terpinovi.
Linka podpory AT&T na nahlášení útoků navíc o víkendu nefunguje, takže Terpin, ačkoli o převzetí čísla věděl (SIM karta v jeho telefonu přestala fungovat), nemohl přes víkend nic dělat. Podle žaloby tak AT&T neuposlechla své vlastní bezpečnostní předpisy a neprovedla služby v té kvalitě, kterou Terpin požadoval a měl nastavenu. Celkové škody nicméně vyčíslil na desetinásobek ukradené hodnoty kryptoměn. Tak uvidíme, jak moc se mu podaří uspět.
Zdroj: theregister.co.uk, phonearena.com
.jpg)
