Kinasuhan ng BitPay ang Insurer Pagkatapos Mawalan ng $1.8 Milyon sa Phishing Attack

I-UPDATE (Ika-17 ng Setyembre 15:25 BST): Ang piraso na ito ay na-update na may karagdagang impormasyon, kabilang ang mga dokumento ng hukuman na inihain ng BitPay sa pederal na hukuman.

Nagsampa ng kaso ang BitPay laban sa isang kompanya ng insurance sa Massachusetts matapos mawalan ng $1.8m sa panahon ng phishing attack noong Disyembre.

Ayon sa mga dokumentong nakuha ng Atlanta Business Chronicle, ang Bitcoin payment processor ay dinaya noong kalagitnaan ng Disyembre ng isang hindi kilalang indibidwal na nagpanggap bilang CEO ng BTC Media na si David Bailey, na ang computer ay na-infiltrate bago ang pag-atake.

Kasunod na nakuha ng attacker ang mga kredensyal sa email para sa BitPay CFO na si Bryan Krohn, na ginamit noon para i-prompt si CEO Stephen Pair at executive chairman Tony Gallippi na pahintulutan ang tatlong pagbabayad sa kabuuan. 5,000 BTCsa ika-11 at ika-12 ng Disyembre, kabilang ang ONE transaksyon mula sa isang wallet sa Bitcoin exchange Bitstamp.

Naghain ang BitPay ng claim para sa mga pagkalugi araw pagkatapos ng kaganapan sa Massachusetts Bay Insurance Company, na kalaunan ay tinanggihan ang claim sa isang sulat na may petsang ika-8 ng Hunyo. Ang legal na representasyon ng BitPay ay pinagtatalunan ang pagtanggi, at ang insurer ay nagpatuloy upang muling pagtibayin ang desisyon nito sa susunod na buwan.

Matapos hilingin na tuparin ang paghahabol nito, nagsampa ng kaso ang BitPay sa Korte ng Distrito ng US para sa Northern District ng Georgia noong ika-15 ng Setyembre. Ang kumpanya ay umano'y paglabag sa kontrata at humihingi ng mga pinsala at bayad sa korte bilang karagdagan sa $950,000 na paghahabol nito.

Ipinapakita ng pag-atake ang panganib na kinakaharap ng mga kumpanyang humahawak ng mga digital na pera mula sa mga naturang pag-atake, pati na rin ang halaga ng pandaraya na nagreresulta mula sa kabiguan ng mga patakaran sa pagpapatakbo upang maiwasan ang mga naturang panghihimasok.

Timeline ng pag-atake

Ang mga dokumento ng hukuman mula sa paglilitis, kabilang ang reklamo at ang mga liham na ipinagpalit sa pagitan ng BitPay at mga abogado ng Massachusetts Bay, ay binabalangkas kung paano pinasimulan ng umaatake, na nagpapanggap na si Bailey, ang pag-atake sa pamamagitan ng pagpapadala sa pamamagitan ng email na naglalaman ng LINK sa isang dokumento ng Google.

Ang computer ni Bailey ay nakompromiso bago ito, kahit na walang mga detalye tungkol sa insidenteng ito na binanggit.

Nakasaad sa reklamo:

"Ang huwad na email na ipinadala ng taong na-hack ang computer ni Mr Bailey, ay nagdirekta kay Mr Krohn sa isang website na kinokontrol ng hacker kung saan ibinigay ni Mr Krohn ang mga kredensyal para sa kanyang corporate email account sa BitPay. Pagkatapos makuha ang mga kredensyal ng BitPay ni Mr Krohn, ginamit ng hacker ang impormasyong iyon para i-hack ang BitPay na email account ni Mr Krohn na magdulot ng paglilipat ng Bitcoin na email account ni Mr Krohn."

Ang isang timeline na kasama sa paunang liham ng pagtanggi ng Massachusetts Bay ay ilalagay sa higit pang detalye.

"Kaagad pagkatapos mag-click sa LINK ng Google doc , ipinasok ni Mr Krohn ang kanyang impormasyon sa pagpapatotoo bilang na-prompt upang ma-access ang sinasabing Google docs at makatanggap ng mensahe ng error," sabi ng sulat. "Naniniwala si [Krohn] na ang kanyang pribadong impormasyon ay ninakaw sa oras na iyon at ang kanyang tugon ay nagbigay ng access sa kanyang email sa manloloko."

Ang isang pangunahing detalyeng kasama sa mga email ay naa-access na ngayon ng manloloko: ang katotohanang hindi hinihiling ng BitPay ang SecondMarket na mag-advance ng bayad para sa mga bitcoin na natanggap nito mula sa kumpanya.

Gamit ang impormasyong ito, gumawa ang indibidwal ng email chain na nagpapakita ng pag-uusap sa pagitan ni Krohn at SecondMarket vice president Preston Blankenship tungkol sa pagbili ng 1,000 BTC.

"Hinihiling ng email na ilipat ang 1,000 bitcoin sa SecondMarket sa isang partikular na address ng wallet na ibinigay. Sa 3:33 PM ang mga bitcoin ay ipinapadala mula sa HOT na pitaka ng BitPay," nakasaad sa sulat ng Massachusetts Bay.

Wala pang isang oras, ang indibidwal na kumokontrol sa email ni Krohn ay humiling ng karagdagang 1,000 BTC na ipadala sa parehong Bitcoin address. Ang halagang ito ay inilipat pagkatapos mula sa isang account na hawak sa Bitstamp ni Gallippi pagkatapos ipahiwatig ng Pair sa pamamagitan ng email na walang sapat na pondo sa "mainit" na wallet ng BitPay kasunod ng pangalawang Request.

Kinabukasan, ginamit ang email ni Krohn para Request na magpadala ang Pair ng karagdagang 3,000 BTC sa isa pang address na sinasabing kinokontrol ng SecondMarket.

Tumugon ang Pair "upang kumpirmahin na ang Request ito , na lumampas sa karaniwang 1000-2000 araw-araw na halaga ng Bitcoin sa pagitan ng mga kumpanya, ay wasto". Tumugon ang salarin sa pamamagitan ng pagkopya ng email address na sinasabing mula sa SecondMarket at pagkumpirma na wasto ang Request .

Pagkatapos iproseso ang transaksyon, kinumpirma ng Pair ang paglipat sa pamamagitan ng email at kinopya ang empleyado ng SecondMarket na si Gina Guarnaccia.

Sumulat si Guarnaccia "na hindi siya nagpadala ng naunang email na nagsasaad ng 3,000 bitcoins at address para ipadala ang mga ito, at hindi binili ng SecondMarket ang bitcoins".

Lumilitaw ang hindi pagkakaunawaan sa mga claim

Kasunod ng pagsisiyasat, ang paghahabol ng BitPay ay tinanggihan ng insurer. Nagtalo ang Massachusetts Bay sa liham ng pagtanggi nito na ang BitPay ay nagkaroon ng hindi direktang pagkalugi sa halip na direktang ONE, at sa gayon ay hindi kasama ang insidente mula sa pagkakasakop.

Nakasaad sa liham:

"Ang mga katotohanang ipinakita ay hindi sumusuporta sa direktang pagkawala dahil walang pag-hack o hindi awtorisadong pagpasok sa computer system ng BitPay na mapanlinlang na nagdulot ng paglilipat ng pera. Sa halip, ang computer system ni David Bailey, ang kasosyo sa negosyo ng BitPay, ay nakompromiso na nagresulta sa mga gawa-gawang email na natanggap ng BitPay."

"Ang Policy ay hindi nagbibigay ng coverage para sa hindi direktang pagkalugi na sanhi ng pag-hack sa sistema ng computer ng isang tao maliban sa nakaseguro," idinagdag ng liham.

Dagdag pa, ang kompanya ng seguro ay nagtalo na dahil ang mga bitcoin ay umiiral sa isang elektronikong daluyan, ang anumang insidente na nagreresulta sa kanilang pagkawala ay T maituturing na nagaganap sa "mga lugar" ng BitPay.

"Ito ay ang pag-unawa ng Hanover na ang mga bitcoin ay gaganapin online, at inilipat online, at wala sa pisikal na lugar ng BitPay. Hindi lumilitaw na ang mga transaksyon sa Bitcoin ay kasangkot sa paglipat ng ari-arian mula sa loob ng lugar hanggang sa labas ng lugar," isinulat ng insurer. "Dahil dito, dapat magalang na tumanggi ang Hanover na magbigay ng coverage para sa pagkawalang ito sa ilalim ng Computer Fraud Insuring Agreement."

Makalipas ang isang linggo, tumugon sina Morris, Manning & Martin LLP, isang law firm na kumakatawan sa BitPay, sa pamamagitan ng paghiling na ipawalang-bisa ng insurer ang pagtanggi nito sa paghahabol at bayaran ang hiniling na $950,000.

Pinagtatalunan ng BitPay ang assertion na ang mga pagkalugi nito ay hindi tuwiran, na sinasabing ang Massachusetts Bay ay nagkakamali sa pagbibigay-kahulugan sa sarili nitong probisyon ng Policy tungkol sa pandaraya sa computer. Sinabi pa ng kumpanya na, ayon sa kasunduan nito sa insurer, ang mga hawak nitong Bitcoin ay napapailalim sa espesyal na pagsasaalang-alang na ibinigay sa mga detalye ng digital na pera.

"Sumasang-ayon ang MBIC na magdagdag ng Bitcoin sa kahulugan ng Policy ng 'pera' sa gayon sinisiguro ang BitPay laban sa pagkawala ng Bitcoin. Hindi tulad ng tradisyonal na pera, ang Bitcoin ay hindi umiiral sa pisikal na anyo sa anumang lokasyon o lugar, at hindi ito maaaring ilipat mula o sa anumang pisikal na lokasyon," isinulat ng abogado na si Jessica Pardi sa liham.

"Alinsunod dito, ang anumang kasunduan upang i-insure ang Bitcoin na sinasabing nangangailangan ng Bitcoin na nasa lugar ng BitPay ay hindi totoo, at ang interpretasyon ng MBIC ay walang kabuluhan at nagpapakita ng masamang pananampalataya," idinagdag niya.

Sa isang sulat ng tugon na ipinadala ng law firmer LEO & Weber, muling pinagtibay ng insurer ang pagtanggi nitong igalang ang claim at pinagtatalunan ang mga kontraargumento ng BitPay tungkol sa mga pagkalugi na direkta sa halip na hindi direkta.

"Hindi namin alam ang anumang katibayan upang suportahan na ang may kasalanan ay nakakuha ng access sa BitPay computer system o device. Ang pinakahuling paglilipat ng mga bitcoin ay hindi nagresulta mula sa pag-access ng perpetrator sa BitPay computer system o device," nakasaad sa sulat. "Sa huli, nagpasya ang mga superiors ni Mr Krohn na magpadala ng mga bitcoin sa tatlong magkakahiwalay na transaksyon, bago makatanggap ng bayad, na pinaniniwalaan nilang SecondMarket."

Pagkalipas ng mga araw, inulit ng BitPay ang mga hinihingi nito at nagbanta na magdemanda kung T ito binayaran. Tumanggi ang insurer na tanggapin ang claim o bayaran ang hinihiling na halaga, ayon sa reklamo.

Ang BitPay at Massachusetts Bay ay hindi kaagad tumugon sa mga kahilingan para sa komento.

Ang reklamo ng BitPay, kasama ang mga karagdagang dokumento, ay makikita sa ibaba:

BitPay Reklamo at Mga Dokumento

Larawan ng Gavel sa pamamagitan ng Shutterstock

Disclaimer: Ang tagapagtatag ng CoinDesk na si Shakil Khan ay isang mamumuhunan sa BitPay.