BitPay a intentat un proces împotriva unei companii de asigurări din Massachusetts după ce a pierdut 1,8 milioane de dolari din cauza atacului de tip phishing în luna decembrie a anului trecut.
Conform documentelor obținte de Atlanta Business Chronicle, procesorul de plăți bitcoin a fost ținta unei fraude la mijlocul lunii decembrie, din partea unui individ necunoscut care se dădea drept directorul executiv al BTC Media, David Bailey, al cărui calculator a fost spart înainte de atac.
Atacatorul a obținut date de email pentru directorul financiar de la BitPay Brian Krohn, date care au fost apoi folosite pentru a-l determina pe directorul executiv Stephen Pair și pe acționarul Tony Gallippi să autorizeze trei plăți în totalul lor de 5000 BTC pe 11 și 12 decembrie, inclusiv o tranzacție dintr-un portofel de la schimbul de bitcoin Bitstamp.
BitPay a înaintat o cerere pentru pierderile suferite la câteva zile după eveniment, către compania de asigurări din Massachusetts, care mai târziui a refuzat cererea într-o scrisoare oficială. Reprezentanții legali ai BitPay au disputat respingerea, iar asiguratorul și-a reiterat decizia în luna următoare.
După ce a cerut ca cererea să îi fie onorată, BitPay a deschis un proces în Curtea Districtuală americană. Din câte se pare, compania a încălcat contractul și vrea să obțină și daune și comisioane judiciare pe lângă cei 950 000 de dolari.
Atacul demonstrează riscurile cu care se confruntă companiile care manevrează monedă digitală în urma acestor atacuri, pe lângă costurile fraudei rezultate din eșecul politicilor operaționale care ar trebui să prevină astfel de intruziuni.
Cronologia atacului
Docuementele judecătorești de la proces, inclusiv plângerea și corespondența dintre BitPay și avocații companiei de asigurări, subliniază felul în care atacatorul, pretinzând că este Bailey, a inițiat atacul trimițând un email care conținea un link către un document Google.
Calculatorul lui Bailey a fost compromis înainte de aceasta, dar nu există detalii legate de acest incident.
În plângere se precizează :
”Email-ul fals trimis de persoana care a spart calculatorul D-lui Bailey, l-a direcționat pe Dl. Krohn către un site controlat de hacker în care Dl. Krohn furniza datele pentru contul de e-mail al corporației BitPay. Fupă ce a obținut datele, hackerul a folosit informația pentru a sparge contul D-lui Krohn și pentru a transfera fraudulor suma de bitcoin”
O cronologie inclusă în scrisoarea de refuz a firmei de asigurări intră în mai multe detalii.
”Imediat după ce a dat click pe link-ul de la documentul Google, Dl. Krohn își introduce informațiile de autentificare ce i se cer pentru a accesa presupusul document Google și primește un mesaj de eroare. Krohn crede că informațiile sale private au fost furate în acel moment și că răspunsul său a dat acces la adresa de email hackerului.”
Un detaliu cheie inclus în email a devenit accesibil pentru hacker, și anume faptul că BitPay nu are nevoie de SecondMarket pentru a avansa plata pentru bitcoinii primiți de la companie.
Folosind această informație, individul a creat un lanț de email care îi arăta o conversație dintre Krohn și vice președintele SecondMarket, Preston Blankernship, privitor la cumpărarea a 1000BTC.
”Email-ul cere ca 1000BTC să fie transferați către SecondMarket la o adresă de portofel furnizată. La ora 15:33, bitcoinii sunt trimiși din portofelul păstrat la cald al BitPay.” Afirmă scrisoarea firmei de asigurări.
Cu mai puțin de o oră mai târziu, individul care controla email-ul lui Krohn a cerut încă 1000BTC care trebuiau trimiși către adresa bitcoin. Această suma a fost mai târziu transferată dintr-un cont deținut de Gallippi pe Bitstamp.
În ziua următoare, mesajul lui Krohn a fost folosit pentru a-i cere lui Pair să trimită încă 3000BTC către altă adresă despre care pretindea că este controlată de SecondMarket.
Pair a răspuns că ”trebuie confirmată validitatea cererii, care depășește sumele obișnuite de 1000-2000BTC pe care companiile le schimbă zilnic”. Atacatorul a răspuns copiind o adresă de email care ar fi fost de la SecondMarket și a confirmat că cererea este validă.
După ce a procesat tranzacția, Pair a confirmat mișcarea printr-un email și a contactat angajata de la SecondMarket, Gina Guarnaccia.
Guarnaccia a răspuns că ”nu a trimis un email anterior în care să ceară 3000 de bitcoin și că SecondMarket nu a cumpărat bitcoin-ii.”
Se dispută revendicarea banilor
În urma unei investigații, cererea făcută de BitPay către casa de asigurări a fost respinsă. Aceștia au argumentat în scrisoarea de respingere faptul că BitPay a cauzat o pierdere indirectă și nu una directă, ceea ce exclude incidentul din clauzele contractuale.
”Situația așa cum este prezentată nu susține o pierdere directă din moment ce nu a existat o intrare neautorizată sau hacking în calculatoarele BitPay care să cauzeze transferul de bani. În schimb, sistemul calculatorului a fost compromis, ceea ce a rezultat în aceste mesaje fictive primite de BitPay.” Au scris aceștia în scrisoare.
”Politica noastră nu își permite acoperirea pierderilor indirecte cauzate de spargerea unui sistem computerizat al unor alte persoane decât cele asigurate” Mai mult, compania de asigurări a argumentat faptul că, din cauză că bitcoin-ii există într-un mediu electronic, orice incident care are ca rezultat pierderea lor nu se consideră ca fiind în ”incinta BitPay”
”Din câte înțelegem, bitcoin-ii erau păstrați online și transferați online și nu în incinta fizică a BitPay. Din câte se pare, tranzacțiile bitcoin implică un transfer de proprietate din incinta companiei în afară. Drept urmare, Hanover trebuie să respingă, cu tot respectul, cererea de acoperire a pierderii”
O săptămână mai târziu, firma de avocatură care reprezintă BitPay, a răspuns cerând ca asiguratorul să își retragă respingerea și să plătească suma cerută de 950 000$.
BitPay a disputat afirmația că pierderile sale au fost indirecte, spunând că firma de asigurări interpretează greșit propria politică referitoare la frauda electronică. Compania a spus că, așa cum arată înțelegerea, proprietățile în bitcoin erau supuse unor considerații speciale ținând cont de caracteristicile speciale ale monedei digitale.
”Asiguratorii au fost de acord să adauge moneda bitcoin la politica definiției banilor, asigurând în acest fel BitPay împotriva pierderilor de bitcoin. Spre deosebire de banii tradiționali, moneda bitcoin nu există în formă fizică sau într-o locație ori incintă și nu poate fi transferată din și către locații fizice” a scris avocatul Jessica Pardi în scrisoare. ”Drept urmare, orice acord de a asigura bitcoin care presupune ca aceștia să fie tranzacționați în incinta BitPay este iluzoriu, iar interpretarea asiguratorilor nu are nici o susținere și dovedește rea-credință” a adăugat aceasta.
Firma de asigurări și-a reafirmat refuzul de a onora cererea și a disputat contraargumentele BitPay.
”Nu avem cunoștință de vreo dovadă care susține că infractorul a câștigat acces în sistemele computerizate sau dispozitivele BitPay. În cele din urmă transferul de bitcoin nu a fost rezultatul accesului infractorului în sistemul BitPay sau pe dispozitivele deținute de acesta. În final, superiorii D-lui Krohn au luat decizia de a trimite bitcoin-i în trei tranzacții separate, înainte de a primi plata, către cineva despre care credeau că reprezintă SecondMarket”
Chiar și în urma amenințărilor că vor fi dați în judecată, asigratorii nu și-au schimbat răspunsul.
sursa – CoinDesk