AT& T risponde alla causa sullo scambio di SIM di un dirigente Cripto : ci vediamo in tribunale

AT&T ha dichiarato che avrebbe contestato una causa intentata nei suoi confronti, accusandola di negligenza per la perdita di 1,7 milioni di dollari subita da un cliente in seguito allo scambio di una SIM.

Il caso è stato portato da Seth Shapiro

, responsabile della strategia di VideoCoin, che accusa il colosso della telefonia di aver consentito ai dipendenti di trasferire il controllo del suo numero di telefono a dei criminali durante un attacco informatico avvenuto nel maggio 2018.

Parlando con CoinDesk, il portavoce di AT&T Jim Greer ha affermato:

"È un peccato che il signor Shapiro abbia vissuto questa esperienza, ma contestiamo le sue accuse. Non vediamo l'ora di presentare il nostro caso in tribunale".

Dopo una serie dicambi di SIM sfacciati, Shapiro ha detto di aver perso 1,7 milioni di dollari in Criptovaluta. Gli hacker avrebbero preso il controllo del suo cellulare, ripristinato la sua e-mail e violato i suoi account di scambio per rubargli 1 milione di dollari, con il saldo appartenente ad altre persone per i prossimi investimenti.

Greer ha affermato che AT&T stava avvisando tutti i suoi clienti di rafforzare le misure di sicurezza e che l'autenticazione tramite telefono cellulare non è sufficiente:

"Recenti casi di alto profilo rafforzano l'importanza che aziende e consumatori adottino misure per proteggersi dalle frodi legate allo scambio di SIM, ad esempio non utilizzando i numeri di telefono cellulare come unica fonte di sicurezza e autenticazione".

Ma l'avvocato di Shapiro, Andrew Calderon, ha sostenuto che il problema di fondo non era la disattenzione del cliente, bensì la "negligenza sistemica" di AT&T.

"Il fallimento di AT&T nel proteggere i dati del signor Shapiro non è un'aberrazione", ha detto Calderon a CoinDesk. "Come spiegato nella denuncia, AT&T ha una ricca e preoccupante tradizione di misure non adeguate per proteggere i dati dei suoi clienti da accessi non autorizzati".

Per accedere alla scheda SIM di Shapiro, gli hacker avrebbero pagato i dipendenti di AT&T (ora licenziati e perseguiti penalmente) per ottenere il controllo.

Secondo Shapiro, l'hacking telefonico iniziale è avvenuto durante la conferenza Consensus del maggio 2018. Nella stessa data, VideoCoin di Shapiroha annunciato la chiusura di un'offerta privata di monete da 50 milioni di dollari, per il quale il suo Alphabit Fund correlato ha sottoscritto. Duesuoi colleghi in diverse iniziative– gli imprenditori Chris Kitze ed Enzo Villani – sono stati hackerati nello stesso periodo, ma non hanno perso alcun fondo.

Nell'aprile 2019, Joel Ortiz, il presunto 21enne ideatore dell'attacco informatico a Shapiro, è statocondannato a 10 anniin una prigione federale, dopo essersi dichiarato non colpevole delle accuse di aver orchestrato 13 scambi di SIM. Un complice, un minorenne di 19 anni, è stato accusato in sette casi. Si presume che Ortiz sia scappato con 5,2 milioni di dollari, ma ne sono stati recuperati solo 400.000.

Un altro caso di hacking SIM di alto profilo è stato intentato contro AT&T l'anno scorso,

quando Michael Terpin, dirigente del settore Cripto presso una società di pubbliche relazioni, una società di investimenti e una serie di conferenze, nonché partner di Shapiro in molte di queste iniziative, ha dichiarato di aver perso 23,8 milioni di dollari quando il suo telefono è stato hackerato.

Terpin ha fatto causa alla compagnia telefonica per reclamare le sue perdite, oltre a 200 milioni di dollari di danni punitivi e che la violazione erauna violazione del Federal Communication Act. Si presume che gli autori siano un ladro di 21 anni di New York City di nome Nicholas Truglia, insieme al suo complice hacker di 16 anni.

Secondo una dichiarazione giurata

presentata da un amico di Truglia coinvolto marginalmente nella sua operazione, il modus operandi del ladro era quello di farsi aggiungere fraudolentemente come amministratore all'account telefonico della vittima, per poi recarsi in un negozio AT&T locale dove avrebbe utilizzato il suo ID per verificare la propria identità e avrebbe incaricato un dipendente AT&T di apportare le modifiche necessarie per ottenere l'accesso alla SIM.

La misura di sicurezza meno sicura

La perdita solleva un ovvio interrogativo per gli esperti di sicurezza, che si sono chiesti perché un dirigente esperto in Cripto avrebbe dovuto KEEP somme così elevate in un exchange online anziché in un "cold storage", ovvero in un archivio offline, dove sarebbero state completamente protette da attacchi informatici remoti.

Affidarsi a un telefono cellulare per proteggere una qualsiasi parte del proprio sistema di sicurezza online rappresenta un'enorme potenziale vulnerabilità, ha dichiarato a CoinDesk Haseeb Awan, CEO del fornitore di sicurezza per schede SIM con sede in California DontPort.

"Le persone dovrebbero evitare la verifica tramite SMS ogni volta che è possibile", ha affermato Awan. "L'autenticazione a due fattori è probabilmente la forma peggiore di autenticazione", a causa della facilità con cui gli hacker la compromettono.

Anche senza le talpe AT&T denunciate da Shapiro, Awan, lui stesso bersaglio di molteplici cambi di SIM, ha affermato che gli hacker sfruttano l'ingegneria sociale, ingannano e comprano ogni giorno i loro account mobili delle vittime, rendendo il valore della verifica del cellulare quasi trascurabile.

Molte persone pensano che non saranno mai hackerate semplicemente perché non lo sono mai state prima, ha affermato Awan:

"È un po' come dire che non morirai mai perché non è ancora T ."

Questa arroganza li rende ancora più vulnerabili.

Lo scambio di SIM è una minaccia relativamente nota tra i detentori Cripto di alto profilo, che vengono spesso presi di mira a causa della loro notorietà e dell'elevata probabilità che possiedano asset di valore.

Shapiro, attuale responsabile della strategia di VideoCoin e fondatore di vari progetti Cripto media, ha addirittura dichiarato agli inquirenti di aver subito sospettato uno scambio di SIM quando il suo telefono ha improvvisamente smesso di funzionare.

Awan ha detto di essere sorpreso che Shapiro abbia potuto perdere così tanti soldi così facilmente:

"Non è un novellino. È nel mondo Cripto da un po'."

Greer di AT&T ha affermato che l’archiviazione offline è l’unica vera soluzione:

"Per le Criptovaluta, gli esperti di sicurezza raccomandano ulteriori misure di sicurezza, come conservare le Criptovaluta in un 'cold storage', un ambiente offline a cui T è possibile accedere tramite Internet, e seguire le istruzioni relative all'archiviazione delle credenziali di accesso al portafoglio e allo scambio".

Tuttavia, l'avvocato di Shapiro, Calderon, ha affermato che non sono solo gli utenti Cripto a essere danneggiati da questi attacchi informatici.

"Altre vittime hanno perso dollari americani e preziose informazioni personali", ha affermato. "Gli attacchi di scambio di SIM hanno colpito persone di ogni estrazione economica. Tutti i dati accessibili tramite un dispositivo mobile sono vulnerabili quando AT&T trasferisce l'accesso all'account a pirati informatici criminali".

Dagli atti legali non si sapeva quali prodotti di sicurezza, se presenti, i dirigenti avevano installato sui loro telefoni hackerati.

AGGIORNAMENTO (30 ottobre, 22:00 UTC):Questo articolo è stato aggiornato per includere le dichiarazioni ricevute dopo la pubblicazione dall'avvocato di Shapiro.

Scheda SIMimmagine tramite Shutterstock