A mobiltársaság tényleg nem tett meg mindent, hogy ne lophassák el az adatait, majd pedig a pénzét.
(fotó: Xapo)
220 millió dollárnyi kártérítéshez szeretne jutni Michael Terpin, egy amerikai bitcoin befektető, mert ellopták a kriptopénzben tartott megtakarításait – írja a Motherboard. Az ügy azért érdekes, mert nem a tárcaszolgáltatót vagy a tőzsdét pereli, hanem az AT&T mobilszolgáltatót, amely a sértett szerint nem vigyázott eléggé a biztonságára.
Terpin 24 millió dollárnyi kriptovalutát vesztett azért, mert kétszer is meghackelték a telefonját. Az ügyért az AT&T-t tartja felelősnek, mert szerinte a társaság ugyan tudta, hogy egyre több bűnöző próbál gyors pénzhez jutni kriptobefektetők kirablásával, mégsem szigorítottak az ellenőrzéseken.
Ha béna az ügyfélszolgálat, hiába a a biztonság
A SIM-cserés támadásnak nevezett módszer lényege, hogy a támadók felhívják a szolgáltató ügyfélszolgálatát, beadják az ott dolgozóknak, hogy elhagyták, tönkretették, elromlott a korábbi SIM-kártyájuk, és kérik, hogy régi telefonszámot kössék össze egy új, már beszerzett SIM-mel. Ha a támadók elég ügyesen beszélnek lyukat az ügyfélszolgálatos hasába, akkor megkapják a telefonszámot, onnantól pedig minden smsben érkező kódhoz hozzáférnek, ismert számról hívhatnak más ügyfélszolgálatokat és így tovább.
A Motherboard nyomozása szerint tucatnyi kriptobefektető esett áldozatul hasonló támadásonak. Terpin ráadásul nem is csak egyszer, hanem két alkalommal: először 2017. nyarán, másodszor pedig az idei év januárjában. Az utóbbi hackre annak ellenére került sor, hogy az első rablás után az AT&T kiemelt biztonsági intézkedésekkel kezdte védeni Terper fiókját.
A mobilszolgáltató egyelőre annyit nyilatkozott, hogy vitatják a befektető állításait és várják, hogy a bíróságon védhessék meg magukat. A szakértők szerint azonban valószínűleg bíróságon kívül, mediáció során jut majd megegyezésre a két fél.
Az eset tanulsága mindenki számára az kell, hogy legyen, hogy a kétlépcsős azonosításban az SMS-ben érkező kód nem megfelelő második lépcső. Még a mobilon futó kódgenerátor is jobb megoldás. De ha a tárcaszolgáltató támogatja, akkor a Yubikey-hez hasonló USB-s eszközök azok, amik igazi biztonságot nyújtanak.
Szólj hozzá