Bittrex, la cible d'un dernier procès pour piratage de Crypto SIM d'un million de dollars

L'échange de Crypto Bittrex est poursuivi en justice pour un échange de carte SIM qui a rapporté aux criminels 100 Bitcoin, d'une valeur actuelle de près d'un million de dollars.

L'affaire ressemble à d'autres braquages ​​récents de grande envergure dans lesquels un pirate informatique prend le contrôle du téléphone portable d'une victime pour ensuite piller des comptes de Crypto en ligne : l'échange a été effectué auprès de l'opérateur cellulaire AT&T, l'argent a été prélevé sur Bittrex et le piratage a pris le contrôle de l'identité en ligne de la victime.

Le piratage informatique contre l'investisseur providentiel Gregg Bennett, basé à Seattle, n'a cependant pas été résolu par les enquêteurs criminels, comme d'autres l'ont été avant lui.publique dans légal dépôts.

Dans cette affaire, Bennett a porté plainte devant la Cour supérieure du comté de King, dans l'État de Washington, alléguant que Bittrex avait violé ses propres protocoles de sécurité publiés et ignoré les normes du secteur, manquant ainsi l'occasion d'empêcher ce cambriolage à haut risque. Il a également allégué que Bittrex n'avait pas réagi pendant le piratage du 15 avril 2019 ni réagi suffisamment rapidement après avoir été directement informé.

L'examinateur juridique financier du régulateur de l'État de Washington chargé du traitement des plaintes des consommateurs, le Département des institutions financières, a conclu que Bittrex n'avait pas « pris de mesures raisonnables pour répondre » à l'avis de Bennett et « semble » avoir violé ses propres conditions de service, dans une lettre signée datée du 30 août 2019 fournie à CoinDesk par Bennett.

Bien que diverses entités juridiques aient été informées du piratage, elles n'ont pas encore annoncé d'accusations criminelles dans cette affaire et, par conséquent, l'endroit où se trouvent les Bitcoin de Bennett est inconnu.

La réponse de Bittrex

Bittrex a refusé de commenter spécifiquement le piratage de Bennett et l'affaire judiciaire.

Mais le PDG Bill Shihara, s'adressant à CoinDesk à propos d'autres piratages SIM récents, a déclaré que l'échange dispose d'une sécurité robuste pour empêcher les violations de compte, notamment l'authentification à deux facteurs et la vérification par e-mail lorsqu'une adresse IP inconnue se connecte à un compte.

Ces « ralentisseurs » pourraient entraîner des plaintes de la part des utilisateurs, a-t-il déclaré, mais « ils sauvent en réalité de nombreux comptes du piratage ».

Mais étant donné que l'e-mail d'une cible peut également être piraté, il est préférable de ne jamais faire confiance à son téléphone comme dernier arrêt de sécurité - une fois qu'il est piraté, tout pourrait être accessible, a-t-il déclaré :

Je pense que c'est un problème qui nécessite de nombreuses solutions et de nombreux niveaux de sécurité. Malheureusement, ONEun des mantras que nous utilisons et sur lesquels nous publions souvent des articles est qu'au final, on ne peut T faire confiance à son téléphone. Il faut être conscient qu'on peut en perdre le contrôle.

Le rôle d'AT&T

Bennett a déclaré à CoinDesk qu'il soupçonnait que son piratage était « un travail interne », car il a déclaré que le code PIN de son compte et même le numéro de sécurité sociale du compte avaient été modifiés, ce qui impliquerait que quelqu'un de la compagnie de téléphone a joué un rôle.

Cependant, AT&T n’est pas cité dans le procès Bennett, alors qu’il est au centre de poursuites similaires déposées par Seth Shapiro et Michael Terpin.

Bien que l’affaire actuelle de Bennett se concentre uniquement sur les failles de sécurité chez Bittrex, il a déclaré que la porte restait ouverte ; AT&T « n’échappera pas à ma colère », a-t-il déclaré.

Le porte-parole d'AT&T, Jim Greer, a déclaré qu'il ne pouvait que réitérer ses réponses précédentes aux piratages de cartes SIM : les clients devraient éviter de compter sur leur téléphone portable pour leur sécurité.

« Les échanges frauduleux de cartes SIM sont une forme de vol commise par des criminels expérimentés. Nous travaillons en étroite collaboration avec notre secteur, les forces de l'ordre et les consommateurs pour mettre fin à ce type de criminalité », a déclaré Greer.

Drapeaux rouges

Bennett affirme que Bittrex aurait dû savoir que quelque chose d'étrange se tramait.

Les piratages provenaient d'une adresse IP de Floride et d'un système d'exploitation NT, a-t-il déclaré, qu'il n'avait jamais utilisés auparavant - deux signes, dans son esprit, qu'il devait être clair qu'il n'était pas ONE accédait au compte.

Bennett affirme dans sa plainte que les pirates ont finalement vidé son compte de 100 Bitcoin – le retrait quotidien maximal autorisé. En réalité, il possédait une série de cryptomonnaies que les pirates ont vendues à des prix inférieurs à ceux du marché, converties en 30 Bitcoin supplémentaires et dépouillées.

Ils sont même revenus le lendemain pour ses 35 Bitcoin restants, mais à ce moment-là, Bennett a déclaré qu'il avait réussi à faire fermer le compte et les retraits non autorisés par Bittrex.

La plainte de Bennett allègue que Bittrex n'a pas Réseaux sociaux les normes de sécurité de l'industrie dans son cas.

Au-delà de l'adresse IP et du système d'exploitation différents, ses avocats ont affirmé que Bittrex aurait également dû imposer une suspension de retrait de 24 heures après les changements de mot de passe, ce que font, selon lui, d'autres échanges.

« Ce que je reproche à Bittrex, c’est son incapacité à détecter toute activité suspecte évidente », a déclaré Bennett.

carte SIMimage via Shutterstock