Bittrex é alvo do mais recente processo de hack de US$ 1 milhão por Cripto SIM

A exchange de Cripto Bittrex está sendo processada por uma troca de SIM que rendeu aos criminosos 100 Bitcoin, atualmente avaliados em quase US$ 1 milhão.

O caso se assemelha a outros assaltos recentes de grande repercussão, nos quais um hacker assume o controle do celular da vítima para então saquear contas de Cripto online: a troca foi feita pela operadora de celular AT&T, o dinheiro foi retirado da Bittrex e o hack assumiu o controle da identidade online da vítima.

O hack contra o investidor anjo Gregg Bennett, de Seattle, no entanto, não foi resolvido pelos investigadores criminais, como outros já foram feitos antespúblico em jurídico arquivamentos.

Neste caso, Bennett entrou com uma ação no Tribunal Superior do Condado de King, no estado de Washington, alegando que a Bittrex violou seus próprios protocolos de segurança publicados e ignorou os padrões da indústria, perdendo a chance de impedir o roubo de alto risco. Ele também alegou que a Bittrex falhou em agir enquanto o hack de 15 de abril de 2019 estava em andamento ou em responder rápido o suficiente quando notificada por ele diretamente.

O examinador jurídico financeiro do regulador do estado de Washington que lida com reclamações de consumidores, o Departamento de Instituições Financeiras, concluiu que a Bittrex não "tomou medidas razoáveis ​​para responder" à notificação de Bennett e "parece" ter violado seus próprios termos de serviço, em uma carta assinada datada de 30 de agosto de 2019 fornecida à CoinDesk por Bennett.

Embora várias entidades legais tenham sido notificadas sobre o hack, elas ainda não anunciaram nenhuma acusação criminal no caso e, portanto, o paradeiro do Bitcoin de Bennett é desconhecido.

Resposta da Bittrex

A Bittrex se recusou a comentar especificamente sobre o hack de Bennett e o processo judicial.

Mas o CEO Bill Shihara, falando ao CoinDesk sobre outros hacks recentes de SIM, disse que a exchange tem uma segurança robusta para evitar violações de contas, incluindo autenticação de dois fatores e verificação de e-mail quando um endereço IP desconhecido faz login em uma conta.

Esses “redutores de velocidade” podem resultar em algumas reclamações dos usuários, ele disse, mas “na verdade, eles evitam que muitas contas sejam hackeadas”.

Mas, dado que o e-mail de um alvo também pode ser violado, é melhor nunca confiar no telefone como a última parada de segurança – uma vez que ele é assumido, tudo pode ser acessível, ele disse:

“Acho que esse é um problema que requer muitas soluções e muitas camadas de segurança. E infelizmente um dos mantras que usamos e sobre os quais frequentemente publicamos artigos é que, no fim das contas, você T pode confiar no seu telefone. Você tem que estar ciente de que pode perder o controle do seu telefone.”

O papel da AT&T

Bennett disse ao CoinDesk que suspeita que seu hack tenha sido "um trabalho interno", pois ele disse que o PIN de sua conta e até mesmo o número do Seguro Social da conta foram alterados, o que implicaria que alguém da companhia telefônica teve alguma participação.

No entanto, a AT&T não é nomeada no processo Bennett, embora seja o foco de casos semelhantes movidos por Seth Shapiro e Michael Terpin.

Embora o caso atual de Bennett se concentre apenas nas falhas de segurança na Bittrex, ele disse que a porta permaneceu aberta; a AT&T “não escapará da minha ira”, disse ele.

O porta-voz da AT&T, Jim Greer, disse que só poderia reiterar suas respostas anteriores aos hacks de SIM: os clientes devem evitar depender de seus celulares para segurança.

“Swaps fraudulentos de SIM são uma forma de roubo cometida por criminosos sofisticados. Estamos trabalhando em conjunto com nossa indústria, autoridades policiais e consumidores para impedir e prevenir esse tipo de crime”, disse Greer.

Bandeiras vermelhas

Bennett diz que a Bittrex deveria saber que algo estranho estava acontecendo.

Os hacks estavam vindo de um endereço IP da Flórida e de um sistema operacional NT, ele disse, nenhum dos quais ele nunca havia usado antes — ambos sinais, em sua mente, de que deveria estar claro que ele não era quem estava acessando a conta.

Bennett alega no processo que os hackers acabaram drenando 100 Bitcoin de sua conta — o saque diário máximo permitido. Na verdade, ele tinha uma série de moedas que os hackers despejaram a preços abaixo do mercado, converteram em mais 30 Bitcoin e fugiram com elas.

Eles até retornaram no dia seguinte para pegar os 35 Bitcoin restantes, mas, naquela época, Bennett disse que já havia conseguido fazer com que a Bittrex encerrasse a conta e os saques não autorizados.

O processo de Bennett alega que a Bittrex não Siga os padrões de segurança da indústria em seu caso.

Além do endereço IP e do sistema operacional diferentes, seus advogados afirmaram que a Bittrex também deveria ter imposto uma retenção de retirada de 24 horas após as alterações de senha, o que ele disse que outras exchanges fazem.

“O que eu critico na Bittrex é sua incapacidade de ver atividades suspeitas óbvias”, disse Bennett.

Cartão SIMimagem via Shutterstock