BitPay fa causa all'assicuratore dopo aver perso 1,8 milioni di dollari in un attacco di phishing

AGGIORNAMENTO (17 settembre 15:25 BST):Questo articolo è stato aggiornato con informazioni aggiuntive, tra cui i documenti giudiziari depositati da BitPay presso la corte federale.

BitPay ha intentato causa contro una compagnia assicurativa del Massachusetts dopo aver perso 1,8 milioni di dollari durante un attacco di phishing lo scorso dicembre.

Secondo i documenti ottenuti dall'Cronaca economica di Atlanta, l'elaboratore di pagamenti in Bitcoin è stato truffato a metà dicembre da un individuo sconosciuto che si spacciava per David Bailey, CEO di BTC Media, il cui computer era stato infiltrato prima dell'attacco.

L'aggressore ha successivamente ottenuto le credenziali e-mail del CFO di BitPay Bryan Krohn, che sono state poi utilizzate per indurre il CEO Stephen Pair e il presidente esecutivo Tony Gallippi ad autorizzare tre pagamenti per un totale di5.000 BTCl'11 e il 12 dicembre, inclusa ONE transazione da un portafoglio sullo scambio Bitcoin Bitstamp.

BitPay ha presentato un reclamo per le perdite pochi giorni dopo l'evento alla Massachusetts Bay Insurance Company, che in seguito ha respinto il reclamo in una lettera datata 8 giugno. La rappresentanza legale di BitPay ha contestato il rifiuto e l'assicuratore ha continuato a riaffermare la sua decisione il mese successivo.

Dopo aver chiesto che la sua richiesta fosse onorata, BitPay ha intentato causa presso la Corte distrettuale degli Stati Uniti per il distretto settentrionale della Georgia il 15 settembre. La società ha denunciato la violazione del contratto e chiede danni e spese processuali oltre alla sua richiesta di $ 950.000.

L'attacco dimostra i rischi a cui vanno incontro le aziende che gestiscono valute digitali a causa di attacchi di questo tipo, nonché i costi delle frodi derivanti dall'incapacità di adottare politiche operative volte a prevenire tali intrusioni.

Cronologia degli attacchi

I documenti processuali del processo, tra cui la denuncia e le lettere scambiate tra BitPay e gli avvocati di Massachusetts Bay, descrivono in dettaglio come l'aggressore, fingendosi Bailey, abbia avviato l'attacco inviando un'e-mail contenente un LINK a un documento di Google.

Il computer di Bailey era già stato compromesso in precedenza, anche se non vengono menzionati dettagli riguardanti questo incidente.

Nella denuncia si afferma:

"L'e-mail fasulla inviata dalla persona che ha hackerato il computer del signor Bailey, ha indirizzato il signor Krohn a un sito Web controllato dall'hacker in cui il signor Krohn ha fornito le credenziali per il suo account di posta elettronica aziendale BitPay. Dopo aver catturato le credenziali BitPay del signor Krohn, l'hacker ha utilizzato tali informazioni per hackerare l'account di posta elettronica BitPay del signor Krohn per causare fraudolentemente un trasferimento di Bitcoin."

Una cronologia inclusa nella lettera di diniego iniziale di Massachusetts Bay fornisce ulteriori dettagli.

"Subito dopo aver cliccato sul LINK di Google Doc, il signor Krohn inserisce le sue informazioni di autenticazione come richiesto per accedere ai presunti Google Doc e riceve un messaggio di errore", afferma la lettera. "[Krohn] ritiene che le sue informazioni private siano state rubate in quel momento e che la sua risposta abbia fornito l'accesso alla sua e-mail al truffatore".

Un dettaglio fondamentale incluso nelle e-mail era ora accessibile al truffatore: il fatto che BitPay non richiedeva a SecondMarket di pagare in anticipo i bitcoin ricevuti dalla società.

Utilizzando queste informazioni, l'individuo ha creato una catena di e-mail che mostrava una conversazione tra Krohn e il vicepresidente di SecondMarket Preston Blankenship in merito all'acquisto di 1.000 BTC.

"L'email richiede che 1.000 bitcoin vengano trasferiti a SecondMarket a un indirizzo di portafoglio specifico fornito. Alle 3:33 PM i bitcoin vengono inviati dal portafoglio HOT di BitPay", si legge nella lettera di Massachusetts Bay.

Meno di un'ora dopo, l'individuo che controllava l'email di Krohn ha richiesto che altri 1.000 BTC fossero inviati allo stesso indirizzo Bitcoin . Questa cifra è stata poi trasferita da un account detenuto su Bitstamp da Gallippi dopo che Pair ha indicato via email che non c'erano fondi sufficienti nel portafoglio "caldo" di BitPay dopo la seconda Request.

Il giorno successivo, l'email di Krohn è stata utilizzata per Request a Pair di inviare altri 3.000 BTC a un altro indirizzo, presumibilmente controllato da SecondMarket.

Pair ha risposto "per confermare che questa Request, che superava la solita cifra giornaliera di 1000-2000 Bitcoin tra le aziende, era valida". L'aggressore ha risposto copiando un indirizzo email presumibilmente di SecondMarket e confermando che la Request era valida.

Dopo aver elaborato la transazione, Pair ha confermato l'operazione via e-mail e ha inviato una copia alla dipendente di SecondMarket, Gina Guarnaccia.

Guarnaccia ha risposto "di non aver inviato la precedente e-mail in cui si indicavano i 3.000 bitcoin e l'indirizzo a cui inviarli, e che SecondMarket non aveva acquistato i bitcoin".

Emerge la controversia sulle rivendicazioni

A seguito di un'indagine, la richiesta di risarcimento di BitPay è stata respinta dall'assicuratore. Massachusetts Bay ha sostenuto nella sua lettera di rifiuto che BitPay ha subito una perdita indiretta anziché ONE, escludendo così l'incidente dalla copertura.

Nella lettera si affermava:

"I fatti così come presentati non supportano una perdita diretta poiché non c'è stato un hacking o un accesso non autorizzato al sistema informatico di BitPay che ha causato fraudolentemente un trasferimento di denaro. Invece, il sistema informatico di David Bailey, il partner commerciale di BitPay, è stato compromesso, con conseguente ricezione di e-mail fittizie da parte di BitPay."

"La Politiche non copre le perdite indirette causate dall'hacking del sistema informatico di un soggetto diverso dall'assicurato", si legge nella lettera.

Inoltre, la compagnia assicurativa ha sostenuto che, poiché i bitcoin esistono in un mezzo elettronico, qualsiasi incidente che ne comportasse la perdita T sarebbe stato considerato come avvenuto nei "locali" di BitPay.

"Hanover ha capito che i bitcoin sono stati tenuti online e trasferiti online e non si trovano nei locali fisici di BitPay. Non sembra che le transazioni in Bitcoin abbiano comportato un trasferimento di proprietà dall'interno dei locali all'esterno dei locali", ha scritto l'assicuratore. "Come tale, Hanover deve rispettosamente rifiutare di fornire copertura per questa perdita ai sensi del Computer Fraud Insuring Agreement".

Una settimana dopo, Morris, Manning & Martin LLP, uno studio legale che rappresenta BitPay, ha risposto chiedendo all'assicuratore di annullare il rigetto della richiesta e di pagare la cifra richiesta di 950.000 dollari.

BitPay ha contestato l'affermazione secondo cui le sue perdite erano indirette, sostenendo che Massachusetts Bay stava interpretando male la propria disposizione Politiche in merito alle frodi informatiche. La società ha inoltre affermato che, in base al suo accordo con l'assicuratore, i suoi possedimenti in Bitcoin erano soggetti a speciale considerazione dati i particolari della valuta digitale.

"MBIC ha accettato di aggiungere Bitcoin alla definizione di 'denaro' della Politiche , assicurando così BitPay contro la perdita di Bitcoin. A differenza del denaro tradizionale, Bitcoin non esiste in forma fisica in nessun luogo o locale e non può essere trasferito da o verso alcun luogo fisico", ha scritto l'avvocato Jessica Pardi nella lettera.

"Di conseguenza, qualsiasi accordo per assicurare Bitcoin che presumibilmente richieda che i Bitcoin siano presenti nei locali di BitPay è illusorio e l'interpretazione di MBIC è infondata e dimostra malafede", ha aggiunto.

In una lettera di risposta inviata dallo studio legale LEO & Weber, l'assicuratore ha ribadito il proprio rifiuto di accogliere la richiesta e ha contestato le controargomentazioni di BitPay secondo cui le perdite sarebbero state dirette e non indirette.

"Non siamo a conoscenza di alcuna prova a sostegno del fatto che l'autore abbia ottenuto l'accesso al sistema informatico o al dispositivo BitPay. Il trasferimento finale di bitcoin non è derivato dall'accesso dell'autore al sistema informatico o al dispositivo BitPay", si legge nella lettera. "Alla fine, i superiori del signor Krohn hanno deciso di inviare bitcoin in tre transazioni separate, prima di ricevere il pagamento, a chi ritenevano fosse SecondMarket".

Giorni dopo, BitPay ha ribadito le sue richieste e ha minacciato di fare causa se T fosse stata pagata. L'assicuratore ha rifiutato di accettare il reclamo o di pagare l'importo richiesto, secondo la denuncia.

BitPay e Massachusetts Bay non hanno risposto immediatamente alle richieste di commento.

Il reclamo di BitPay, insieme a documenti aggiuntivi, può essere trovato di seguito:

Reclami e documenti BitPay

Immagine del martellettotramite Shutterstock

Disclaimer: Il fondatore di CoinDesk, Shakil Khan, è un investitore in BitPay.