BitPay подала до суду на страховика після втрати 1,8 мільйона доларів через фішингову атаку

ОНОВЛЕННЯ (17 вересня, 15:25 BST): Цей фрагмент було оновлено додатковою інформацією, включаючи судові документи, подані BitPay до федерального суду.

BitPay подала позов проти страхової компанії штату Массачусетс після втрати 1,8 мільйона доларів під час фішингової атаки в грудні минулого року.

Відповідно до документів, отриманих в Ділова хроніка Атланти, платіжний процесор Bitcoin був ошуканий у середині грудня невідомою особою, яка видавалась за генерального директора BTC Media Девіда Бейлі, комп’ютер якого було проникнуто до атаки.

Згодом зловмисник отримав облікові дані електронної пошти фінансового директора BitPay Браяна Крона, які потім були використані, щоб спонукати генерального директора Стівена Пайра та виконавчого голову правління Тоні Галліппі авторизувати три платежі на загальну суму 5000 BTC11 і 12 грудня, включаючи ONE транзакцію з гаманця на Bitcoin біржі Bitstamp.

Через кілька днів після події BitPay подав позов про збитки до страхової компанії Massachusetts Bay, яка пізніше відхилила позов у ​​листі від 8 червня. Юридичне представництво BitPay оскаржило відмову, і наступного місяця страховик підтвердив своє рішення.

Вимагаючи задоволення позову, BitPay подав позов до окружного суду США Північного округу Джорджії 15 вересня. Компанія заявила про порушення контракту та вимагає відшкодування збитків і судових зборів на додаток до свого позову в розмірі 950 000 доларів США.

Атака демонструє ризики, з якими стикаються компанії, що працюють з цифровими валютами, у зв’язку з такими атаками, а також вартість шахрайства внаслідок неспроможності операційної політики щодо запобігання таким вторгненням.

Хронологія атаки

Судові документи з судового процесу, включаючи скаргу та листи, якими обмінялися BitPay та юристи Massachusetts Bay, описують, як нападник, видаючи себе за Бейлі, ініціював атаку, надіславши електронною поштою LINK на документ Google.

Комп’ютер Бейлі був зламаний до цього, хоча подробиці цього інциденту не згадуються.

У скарзі зазначено:

«Фальшивий електронний лист, надісланий особою, яка зламала комп’ютер пана Бейлі, спрямував пана Крона на контрольований хакером веб-сайт, де пан Крон надав облікові дані для свого корпоративного облікового запису електронної пошти BitPay. Після захоплення облікових даних пана Крона в BitPay хакер використав цю інформацію, щоб зламати обліковий запис електронної пошти пана Крона в BitPay, щоб шахрайським шляхом спричинити переказ Bitcoin».

Хронологія, включена в початковий лист про відмову від Массачусетс-Бей, містить додаткові деталі.

«Одразу після натискання LINK на документ Google пан Крон вводить свою автентифікаційну інформацію відповідно до запиту, щоб отримати доступ до передбачуваних документів Google, і отримує повідомлення про помилку», — йдеться в листі. «[Крон] вважає, що його особисту інформацію було вкрадено в той час і що його відповідь надала шахраю доступ до його електронної пошти».

Ключова деталь, включена в електронні листи, тепер була доступна шахраю: той факт, що BitPay не вимагала від SecondMarket передоплати за біткоїни, отримані від компанії.

Використовуючи цю інформацію, особа створила ланцюжок електронних листів, у якому показано розмову між Кроном і віце-президентом SecondMarket Престоном Бланкеншипом щодо покупки 1000 BTC.

«В електронному листі міститься запит на переказ 1000 біткойнів на SecondMarket за вказаною адресою гаманця. О 15:33 біткойни надсилаються з HOT гаманця BitPay», — йдеться в листі Массачусетс-Бей.

Менш ніж через годину особа, яка контролює електронну пошту Крона, попросила надіслати додаткові 1000 BTC на ту ж Bitcoin адресу. Потім ця сума була переведена Gallippi з облікового запису Bitstamp після того, як Pair в електронному листі вказав, що в «теплому» гаманці BitPay недостатньо коштів після другого Request.

Наступного дня електронна пошта Крона була використана, щоб Request Pair надіслати додаткові 3000 BTC на іншу адресу, яка, за словами, контролюється SecondMarket.

Пара відповіла, щоб «підтвердити, що цей Request, який перевищував звичайну суму 1000-2000 Bitcoin на день між компаніями, був дійсним». Нападник у відповідь скопіював електронну адресу, нібито з SecondMarket, і підтвердив, що Request дійсний.

Після обробки транзакції Pair підтвердив перехід електронною поштою та скопіював дані співробітниці SecondMarket Джини Гуарначіа.

Гуарначча відповіла, що «вона не надсилала попередній електронний лист із зазначенням 3000 біткойнів та адреси для їх надсилання, і що SecondMarket не купував біткойни».

Виникає спір про претензії

Після розслідування вимога BitPay була відхилена страховиком. Затока Массачусетс стверджувала у своєму листі про відмову, що BitPay зазнала непрямих збитків, а не ONE, таким чином виключаючи інцидент із покриття.

У листі говорилося:

«Надані факти не підтверджують прямих збитків, оскільки не було зламу чи несанкціонованого проникнення в комп’ютерну систему BitPay, що призвело б до шахрайського переказу грошей. Натомість комп’ютерна система Девіда Бейлі, ділового партнера BitPay, була скомпрометована, що призвело до отримання фіктивних електронних листів BitPay».

« Політика не передбачає покриття непрямих збитків, спричинених зломом комп’ютерної системи когось, крім страхувальника», — додається в листі.

Крім того, страхова компанія стверджувала, що, оскільки біткойни існують в електронному носії, будь-який інцидент, який призведе до їх втрати , T буде вважатися таким, що стався на «територіях» BitPay.

«Ганновер розуміє, що біткойни зберігалися в Інтернеті та передавалися онлайн, а не на фізичних приміщеннях BitPay. Здається, транзакції з Bitcoin не включали передачу власності з приміщення назовні», — написав страховик. «Таким чином, Ганновер повинен з повагою відмовитися від покриття цієї втрати згідно з Угодою про страхування від комп’ютерного шахрайства».

Через тиждень юридична фірма Morris, Manning & Martin LLP, яка представляє інтереси BitPay, у відповідь вимагала від страховика скасувати відмову в позові та виплатити запитані 950 000 доларів США.

BitPay заперечила твердження про те, що її збитки були непрямими, стверджуючи, що Массачусетська затока неправильно тлумачила положення своєї Політика щодо комп’ютерного шахрайства. Крім того, компанія заявила, що згідно з угодою зі страховиком її авуари в Bitcoin підлягають особливому розгляду з огляду на особливості цифрової валюти.

"MBIC погодився додати Bitcoin до визначення "грошей" у Політика, тим самим застрахувавши BitPay від втрати Bitcoin. На відміну від традиційних грошей, Bitcoin не існує у фізичній формі в будь-якому місці або в будь-якому місці, і його не можна передавати з або в будь-яке фізичне місце", - написала в листі адвокат Джессіка Парді.

«Відповідно, будь-яка угода про страхування Bitcoin , яка нібито вимагає, щоб Bitcoin знаходився на території BitPay, є ілюзорною, а тлумачення MBIC є безпідставним і свідчить про недобросовісність», – додала вона.

У листі-відповіді, надісланому юридичною фірмою LEO & Weber, страховик підтвердив свою відмову задовольнити позов і оскаржив контраргументи BitPay про те, що збитки були прямими, а не непрямими.

«Нам не відомо про будь-які докази того, що зловмисник отримав доступ до комп’ютерної системи або пристрою BitPay. Кінцева передача біткойнів не була результатом доступу зловмисника до комп’ютерної системи або пристрою BitPay», — зазначено в листі. «Зрештою начальство пана Крона прийняло рішення надіслати біткойни трьома окремими транзакціями до отримання платежу, якому, на їхню думку, належав SecondMarket».

Через декілька днів BitPay повторила свої вимоги та погрожувала подати до суду, якщо T буде виплачено. Згідно зі скаргою, страховик відмовився прийняти претензію або виплатити затребувану суму.

BitPay і Massachusetts Bay не відразу відповіли на запити про коментарі.

Скаргу BitPay разом із додатковими документами можна знайти нижче:

Скарга та документи BitPay

Зображення молотка через Shutterstock

Відмова від відповідальності: Засновник CoinDesk Шакіл Хан є інвестором BitPay.