Sàn giao dịch Bittrex chuẩn bị phải hầu tòa vì vụ kiện về hành vi hoán đổi SIM, tạo cơ hội cho bọn tội phạm đánh cắp 100 Bitcoin, tương ứng với giá trị hiện nay là 1 triệu đô la.
Vụ án này giống như những vụ lừa đảo tinh vi khác gần đây, theo đó tin tặc chiếm quyền kiểm soát điện thoại di động của nạn nhân để cướp tài khoản tiền điện tử trực tuyến: quá trình hoán đổi được thực hiện từ nhà mạng di động AT&T, tiền được lấy từ Bittrex và hacker giành quyền kiểm soát ID trực tuyến của nạn nhân.
Những tên trộm đã tấn công tài khoản của nhà đầu tư thiên thần có trụ sở tại Seattle, Gregg Bennett, tuy nhiên cơ quan điều tra tội phạm vẫn chưa giải quyết, vì vẫn chưa thu thập đủ hồ sơ pháp lý.
Đối diện với tình huống như vậy, Bennett đã đệ đơn kiện lên Tòa án cấp cao hạt King của bang Washington để cáo buộc Bittrex vi phạm các giao thức bảo mật do chính nền tảng công bố và bỏ qua các tiêu chuẩn ngành, bỏ lỡ cơ hội ngăn chặn vụ trộm gây thiệt hại nặng nề. Ngoài ra, ông còn cáo buộc Bittrex không có động thái rõ ràng vào lúc vụ hack xảy ra vào ngày 15/4/2019 hoặc nhanh chóng hành động khi được ông thông báo trực tiếp.
Theo thẩm tra pháp lý tài chính viên của cơ quan quản lý Washington chuyên xử lý các khiếu nại của người tiêu dùng, tổ chức tài chính, Bittrex “đã không thực hiện các hành động hợp lý để trả lời” thông báo của Bennett và “có vẻ” như đã vi phạm điều khoản dịch vụ của mình.
Mặc dù nhiều thực thể pháp lý đã được thông báo về vụ hack nhưng họ vẫn chưa công bố bất kỳ trách nhiệm hình sự nào trong vụ án, do đó, vẫn chưa biết Bitcoin của Bennett hiện ở đâu.
Phản ứng của Bittrex
Bittrex từ chối bình luận cụ thể về vụ hack Bennett và đơn kiện.
Nhưng CEO Bill Shihara chấp nhận trả lời phỏng vấn về các vụ hack SIM gần đây. Ông cho biết sàn giao dịch có bảo mật mạnh mẽ để ngăn chặn xâm phạm tài khoản, bao gồm xác thực hai yếu tố và xác minh email khi có địa chỉ IP không xác định đăng nhập vào tài khoản.
Những giải pháp này có thể khiến nhiều người thấy phiền, nhưng “chúng thực sự đã hỗ trợ rất vô số tài khoản tránh bị hack”.
Nhưng email cũng có thể trở thành mục tiêu cho hacker. Tốt nhất là đừng bao giờ xem điện thoại là điểm dừng bảo mật cuối cùng – một khi nó bị chiếm quyền, mọi thứ đều có thể truy cập được. Ông chia sẻ:
“Tôi nghĩ rằng đây là một vấn đề đòi hỏi rất nhiều giải pháp và lớp bảo mật. Thật không may, một trong những câu thần chú mà chúng tôi sử dụng và thường nêu trên các mặt báo là đừng tin tưởng vào điện thoại của mình. Bạn phải lưu ý rằng bạn có thể mất quyền kiểm soát nó”.
Vai trò của AT&T
Bennett nghi ngờ vụ hack của mình là cấu kết nội bộ, vì mã PIN tài khoản và thậm chí số an sinh xã hội trên tài khoản đã bị thay đổi, điều này có nghĩa là ai đó ở công ty điện thoại đã nhúng tay vào.
Mặc dù AT&T không được nêu tên trong vụ kiện của Bennett nhưng lại là trọng tâm của các vụ án tương tự do Seth Shapiro và Michael Terpin nộp đơn.
Trong vụ án hiện tại của Bennett, vấn đề được nhắc đến nhiều nhất là lỗ hổng bảo mật tại Bittrex. Ông khẳng định AT&T “sẽ không thoát khỏi cơn thịnh nộ của tôi”.
Khi được hỏi, người phát ngôn của AT&T Jim Greer cho biết mình chỉ có thể nhắc lại các phản hồi trước đây đối với các vụ hack SIM: khách hàng không nên xem điện thoại di động là công cụ bảo mật.
“Hoán đổi SIM là hình thức trộm cắp được thực hiện bởi những tên tội phạm tinh vi. Chúng tôi đang làm việc chăm chỉ trong ngành công nghiệp này, gắn kết chặt chẽ với người tiêu dùng và nghiêm chỉnh thực hiện pháp luật để ngăn chặn tội phạm mạng kiểu mới”, Greer cho biết.
Thiếu khả năng dự báo
Bennett nói rằng Bittrex phải dự liệu được tình hình.
Các vụ hack xảy ra từ địa chỉ IP của Florida và từ một hệ điều hành NT mà ông chưa từng sử dụng trước đây. Như vậy, rõ ràng rằng ông không phải là người truy cập vào tài khoản.
Bennett cho biết hacker đã rút 100 Bitcoin từ tài khoản của ông – số tiền rút tối đa hàng ngày được phép. Thực tế, ông đã lấy lại được một loạt các coin mà hacker dump tại thị trường giá rẻ sau khi đổi thành 30 Bitcoin và nhanh chóng tẩu thoát.
Bọn trộm thậm chí đã trả lại 35 Bitcoin còn lại vào ngày hôm sau. Nhưng vào thời điểm đó, Bennett đã có thể buộc Bittrex đóng tài khoản và cáo buộc hành vi rút tiền không được phép.
Đơn kiện của Bennett cho rằng Bittrex không tuân theo các tiêu chuẩn an ninh công nghiệp trong trường hợp của ông.
Ngoài địa chỉ IP và hệ điều hành khác nhau, các luật sư của ông còn khẳng định Bittrex phải áp dụng lệnh rút tiền trong 24 giờ sau khi thay đổi mật khẩu như các sàn giao dịch khác đang làm.
“Sai lầm của Bittrex là họ không có khả năng phán đoán trước về hoạt động đáng ngờ”.
- Bittrex trấn an người dùng sau khi di chuyển 875.102.912 XRP sang ví không xác định
- Bittrex chuyển trụ sở khỏi Malta ngay tại thời điểm chính phủ thắt chặt chính sách AML
Minh Anh
Tạp chí Bitcoin | Coindesk
