El intercambio de cifrado Bittrex está siendo demandado por un intercambio de SIM que le dio a los delincuentes 100 bitcoins, actualmente por un valor de casi $ 1 millón.
El caso se asemeja a otros robos recientes de alto perfil en los que un pirata informático toma el control del teléfono celular de una víctima para luego saquea cuentas criptográficas en línea: el intercambio fue del operador de telefonía celular AT&T, el dinero fue tomado de Bittrex y el ataque tomó el control de la identidad en línea de la víctima.
Sin embargo, el ataque contra el inversionista ángel Gregg Bennett con sede en Seattle no se ha resuelto por investigadores criminales, como otros lo han hecho antes público en documentos legales .
En este caso, Bennett presentó una demanda en el Tribunal Superior del Condado de King del estado de Washington, alegando que Bittrex violó sus propios protocolos de seguridad publicados e ignoró los estándares de la industria, perdiendo la oportunidad de detener el robo de alto riesgo. También alegó que Bittrex no actuó ya que el ataque del 15 de abril de 2019 estaba en proceso o respondió lo suficientemente rápido una vez que lo notificó directamente.
El examinador legal financiero del regulador del estado de Washington que maneja las quejas de los consumidores, el Departamento de Instituciones Financieras, concluyó que Bittrex no "tomó medidas razonables para responder" a la notificación de Bennett y "parece" haber violado sus propios términos de servicio, en una carta firmada con fecha del 30 de agosto de 2019 proporcionada a CoinDesk por Bennett.
Aunque varios legales se notificó a las entidades sobre el hackeo, aún no han anunciado ningún cargo penal en el caso y, como tal, se desconoce el paradero del bitcoin de Bennett.
Respuesta de Bittrex
Bittrex se negó a comentar específicamente sobre el hack de Bennett y el caso judicial.
Pero el CEO Bill Shihara, hablando con CoinDesk sobre otros hacks recientes de SIM, dijo que el intercambio tiene una seguridad sólida para prevenir violaciones de cuentas, incluyendo dos: La autenticación de factor y la verificación de correo electrónico cuando una dirección IP desconocida inicia sesión en una cuenta.
Estas "reducciones de velocidad" pueden dar lugar a quejas de algunos usuarios, dijo, pero "en realidad evitan que muchas cuentas sean pirateadas".
Pero dado que el correo electrónico de un objetivo también puede ser violado, es mejor no confiar nunca en el teléfono de uno como la última parada de seguridad: una vez que se ha hecho cargo, todo podría ser accesible, dijo:
"Creo que este es un problema que requiere mucho de soluciones y muchas capas de seguridad. Y desafortunadamente, uno de los mantras que usamos y con frecuencia publicamos artículos es que, en última instancia, no puedes confiar en tu teléfono. Debes ser consciente de que podrías perder el control de tu teléfono ".
El papel de AT&T
Bennett le dijo a CoinDesk que sospecha que su pirateo era" un trabajo interno ", ya que dijo que el PIN de su cuenta e incluso el número de Seguro Social en la cuenta se cambiaron, lo que implicaría que alguien en la compañía telefónica jugó un papel.
Sin embargo, AT&T no se menciona en la demanda de Bennett, mientras que es el foco de casos similares presentados por Seth Shapiro y Michael Terpin. [19659002] Si bien el presente caso de Bennett solo se enfoca en las fallas de seguridad en Bittrex, dijo que la puerta permaneció abierta; AT&T "no escapará de mi ira", dijo.
El portavoz de AT&T, Jim Greer, dijo que solo podía reiterar sus respuestas anteriores a los ataques de SIM: los clientes deben evitar depender de sus teléfonos celulares por seguridad.
"Cambios fraudulentos de SIM son una forma de robo cometido por delincuentes sofisticados. Estamos trabajando estrechamente con nuestra industria, las fuerzas del orden y los consumidores para detener y prevenir este tipo de delito ", dijo Greer.
Banderas rojas
Bennett dice que Bittrex debería haber sabido que algo extraño estaba en marcha.
provenían de una dirección IP de Florida y de un sistema operativo NT, dijo, ninguno de los cuales nunca había usado antes, ambas señales, en su mente, de que debería estar claro que él no era el que accedía a la cuenta. [19659002] Bennett alega en la demanda que los piratas informáticos finalmente drenaron 100 bitcoins de su cuenta, el retiro diario máximo permitido. De hecho, tenía una serie de monedas que los piratas informáticos arrojaron a precios inferiores a los del mercado, convirtieron en 30 bitcoins adicionales y se las llevaron.
Incluso regresaron al día siguiente por sus 35 bitcoins restantes, pero para entonces, Bennett dijo que había logrado que Bittrex cerrara la cuenta y los retiros no autorizados.
La demanda de Bennett alega que Bittrex no siguió los estándares de seguridad de la industria en su caso.
Más allá de la diferente dirección IP y sistema operativo, sus abogados afirmaron que Bittrex también debería haber impuesto una suspensión de retiro de 24 horas después de los cambios de contraseña, lo que dijo que otros intercambios hacen.
"Lo que culpo a Bittrex es su incapacidad para ver actividad sospechosa obvia", dijo Bennett.
Imagen de la tarjeta SIM a través de Shutterstock
[DISPLAY_ULTIMATE_PLUS]
Referencia: https://www.coindesk.com/bittrex-target-of-latest-1-million-crypto-sim-hack-lawsuit