BitPay processa seguradora após perder US$ 1,8 milhão em ataque de phishing

ATUALIZAÇÃO (17 de setembro 15:25 BST):Este artigo foi atualizado com informações adicionais, incluindo os documentos judiciais protocolados pela BitPay no tribunal federal.

A BitPay entrou com uma ação judicial contra uma seguradora de Massachusetts após perder US$ 1,8 milhão durante um ataque de phishing em dezembro passado.

De acordo com documentos obtidos peloCrônica empresarial de Atlanta, o processador de pagamentos Bitcoin foi fraudado em meados de dezembro por um indivíduo desconhecido se passando pelo CEO da BTC Media, David Bailey, cujo computador foi infiltrado antes do ataque.

O invasor posteriormente obteve credenciais de e-mail do CFO da BitPay, Bryan Krohn, que foram então usadas para solicitar ao CEO Stephen Pair e ao presidente executivo Tony Gallippi que autorizassem três pagamentos totalizando5.000 BTCnos dias 11 e 12 de dezembro, incluindo uma transação de uma carteira na bolsa de Bitcoin Bitstamp.

A BitPay entrou com uma reclamação pelas perdas dias após o evento com a Massachusetts Bay Insurance Company, que mais tarde negou a reclamação em uma carta datada de 8 de junho. A representação legal da BitPay contestou a rejeição, e a seguradora reafirmou sua decisão no mês seguinte.

Após exigir que sua reivindicação fosse honrada, a BitPay entrou com uma ação no Tribunal Distrital dos EUA para o Distrito Norte da Geórgia em 15 de setembro. A empresa alegou quebra de contrato e está buscando danos e custas judiciais, além de sua reivindicação de $ 950.000.

O ataque demonstra o risco que as empresas que lidam com moedas digitais enfrentam com tais ataques, bem como o custo da fraude resultante da falha de políticas operacionais para evitar tais intrusões.

Linha do tempo do ataque

Documentos judiciais do julgamento, incluindo a queixa e as cartas trocadas entre a BitPay e os advogados da Massachusetts Bay, descrevem como o agressor, fingindo ser Bailey, iniciou o ataque enviando um e-mail contendo um LINK para um documento do Google.

O computador de Bailey havia sido comprometido antes disso, embora nenhum detalhe sobre esse incidente seja mencionado.

A reclamação afirma:

"O e-mail falso enviado pela pessoa que hackeou o computador do Sr. Bailey direcionou o Sr. Krohn para um site controlado pelo hacker, onde o Sr. Krohn forneceu as credenciais para sua conta de e-mail corporativa BitPay. Após capturar as credenciais BitPay do Sr. Krohn, o hacker usou essas informações para hackear a conta de e-mail BitPay do Sr. Krohn para causar uma transferência fraudulenta de Bitcoin."

Um cronograma incluído na carta de negação inicial da Baía de Massachusetts entra em mais detalhes.

"Imediatamente após clicar no LINK do Google Doc, o Sr. Krohn insere suas informações de autenticação conforme solicitado para acessar os supostos Google Docs e recebe uma mensagem de erro", afirma a carta. "[Krohn] acredita que suas informações privadas foram roubadas naquele momento e que sua resposta forneceu acesso ao seu e-mail para o fraudador."

Um detalhe importante incluído nos e-mails agora estava acessível ao fraudador: o fato de que a BitPay não exigiu que a SecondMarket pagasse antecipadamente pelos bitcoins que recebeu da empresa.

Usando essas informações, o indivíduo criou uma cadeia de e-mails mostrando uma conversa entre Krohn e o vice-presidente da SecondMarket, Preston Blankenship, sobre uma compra de 1.000 BTC.

"O e-mail solicita que 1.000 bitcoins sejam transferidos para o SecondMarket em um endereço de carteira específico fornecido. Às 3:33 PM, os bitcoins são enviados da carteira HOT do BitPay", afirmou a carta da Massachusetts Bay.

Menos de uma hora depois, o indivíduo que controlava o e-mail de Krohn solicitou que 1.000 BTC adicionais fossem enviados para o mesmo endereço de Bitcoin . Essa quantia foi então transferida de uma conta mantida na Bitstamp pela Gallippi após a Pair indicar por e-mail que não havia fundos suficientes na carteira "quente" da BitPay após a segunda Request.

No dia seguinte, o e-mail de Krohn foi usado para Request que a Pair enviasse mais 3.000 BTC para outro endereço supostamente controlado pela SecondMarket.

O par respondeu "para confirmar que esta Request, que excedeu a quantia diária usual de 1000-2000 Bitcoin entre as empresas, era válida". O agressor respondeu copiando um endereço de e-mail supostamente do SecondMarket e confirmando que a Request era válida.

Após processar a transação, a Pair confirmou a mudança por e-mail e enviou uma cópia para a funcionária do SecondMarket, Gina Guarnaccia.

Guarnaccia respondeu "que ela não enviou o e-mail anterior informando os 3.000 bitcoins e o endereço para onde eles deveriam ser enviados, e que a SecondMarket não comprou os bitcoins".

Disputa de reivindicações surge

Após uma investigação, a reivindicação da BitPay foi rejeitada pela seguradora. A Massachusetts Bay argumentou em sua carta de rejeição que a BitPay sofreu uma perda indireta em vez de uma ONE, excluindo assim o incidente da cobertura.

A carta afirmava:

“Os fatos apresentados não suportam uma perda direta, já que não houve invasão ou entrada não autorizada no sistema de computador da BitPay, causando uma transferência fraudulenta de dinheiro. Em vez disso, o sistema de computador de David Bailey, parceiro de negócios da BitPay, foi comprometido, resultando em e-mails fictícios recebidos pela BitPay."

"A Política não oferece cobertura para perdas indiretas causadas por invasão de sistema de computador de alguém que não seja o segurado", acrescentou a carta.

Além disso, a seguradora argumentou que, como os bitcoins existem em um meio eletrônico, qualquer incidente que resultasse em sua perda T seria considerado como tendo ocorrido nas "instalações" da BitPay.

"É entendimento da Hanover que os bitcoins foram mantidos online, e transferidos online, e não estão nas instalações físicas da BitPay. Não parece que as transações de Bitcoin envolveram uma transferência de propriedade de dentro das instalações para fora das instalações", escreveu a seguradora. "Como tal, a Hanover deve respeitosamente se recusar a fornecer cobertura para esta perda sob o Computer Fraud Insuring Agreement."

Uma semana depois, Morris, Manning & Martin LLP, um escritório de advocacia que representa a BitPay, respondeu exigindo que a seguradora rescindisse a rejeição da reivindicação e pagasse os US$ 950.000 solicitados.

A BitPay contestou a afirmação de que suas perdas foram indiretas, postulando que a Massachusetts Bay estava interpretando mal sua própria provisão de Política sobre fraude de computador. A empresa declarou ainda que, conforme seu acordo com a seguradora, suas participações em Bitcoin estavam sujeitas a consideração especial, dadas as particularidades da moeda digital.

“A MBIC concordou em adicionar Bitcoin à definição de Política de 'dinheiro', assegurando assim a BitPay contra perda de Bitcoin. Diferentemente do dinheiro tradicional, o Bitcoin não existe em forma física em nenhum local ou premissa, e não pode ser transferido de ou para nenhum local físico", escreveu a advogada Jessica Pardi na carta.

"Consequentemente, qualquer acordo para segurar Bitcoin que supostamente exija que o Bitcoin esteja nas instalações da BitPay é ilusório, e a interpretação da MBIC não tem mérito e evidencia má-fé", acrescentou ela.

Em uma carta de resposta enviada pelo escritório de advocacia LEO & Weber, a seguradora reafirmou sua recusa em honrar a reivindicação e contestou os contra-argumentos da BitPay sobre as perdas serem diretas e não indiretas.

"Não temos conhecimento de nenhuma evidência que sustente que o perpetrador obteve acesso ao sistema de computador ou dispositivo BitPay. A transferência final de bitcoins não resultou do acesso do perpetrador ao sistema de computador ou dispositivo BitPay", afirmou a carta. "No final das contas, os superiores do Sr. Krohn tomaram a decisão de enviar bitcoins em três transações separadas, antes de receber o pagamento, para quem eles acreditavam ser a SecondMarket."

Dias depois, a BitPay reiterou suas exigências e ameaçou processar se T fosse paga. A seguradora se recusou a aceitar a reivindicação ou pagar o valor solicitado, de acordo com a reclamação.

A BitPay e a Massachusetts Bay não responderam imediatamente aos pedidos de comentários.

A reclamação da BitPay, juntamente com documentos adicionais, pode ser encontrada abaixo:

Reclamação e documentos da BitPay

Imagem do martelovia Shutterstock

Isenção de responsabilidade: O fundador da CoinDesk, Shakil Khan, é um investidor da BitPay.