Wenn 2FA zu wenig ist: Krypto-Investor verklagt AT&T auf 224 Millionen Dollar

Dem US-Investor Michael Terpin wurden Kryptocoins im Wert von 24 Millionen Dollar von Börsen gestohlen. Weil er meint, dass ein Mitarbeiter des Telekommunikationsdienstleisters AT&T involviert gewesen sein muss, verklagt er den Konzern auf 224 Millionen Dollar.

Man sollte meinen, mit einer Two-Factor-Authorisierung sei man auf der sicheren Seite: Man loggt sich nicht nur mit der Email-Adresse und einem Passwort ein, sondern liefert auch noch ein Einmalpasswort, das von einem externen Gerät, wie ein Smartphone oder ein Yubikey-Stick, generiert wird. Damit man nun einem Hack zum Opfer fällt, müssten beide Geräte betroffen sein.

Wie sich zeigt, kann das aber auch zuwenig sein. Der Investor Michael Terpin wurde offenbar trotz 2-Faktor-Authorisierung zweimal im Lauf der letzten 12 Monate gehackt. Die Details über den Vorgang sind nicht genau bekannt. Wir wissen, dass Terpin insgesamt 24 Millionen Dollar in Kryptowährungen abhanden gekommen sind, und dass diese Token vermutlich von Accounts von großen Kryptobörsen gestohlen worden sind.

Der Hergang war vermutlich, dass es einem Hacker gelungen ist, gezielt sowohl den PC als auch das Smartphone von Terpin zu hacken. Da Terpin als Mitgründer der BitAngels-Investoren und eines dazugehörigen Fonds gut sichtbar ist, dürfte der Hacker explizit auf ihn gezielt haben. Auf irgendeine Weise ist es ihm gelungen, sich Zugang zu Terpins Börsenaccounts zu verschaffen, eventuell durch einen Hack der Börsenseite oder von Terpins Computer.

Der vertrackste Teil der Operation, Terpins Kryptocoins zu hacken, begann aber erst danach. Da Terpin offenbar eine Zwei-Faktor-Autorisierung benutzt, um Auszahlungen zu legitimieren, musste der Hacker also irgendwie in sein Smartphone kommen. Laut Terpin geschah dies dadurch, dass zuerst die Telefonnummer herausfand und anschließend den Telekommunikations-Anbieter (AT&T) überzeugte, ihm Zugang zum Telefon zu geben. Auf diese Weise konnte er die 2-Faktor-Autorisierung durchführen und die Coins, die in Terpins Smartphone-Wallets lagen, stehlen. Ob so oder so – Terpin verlor Kryptocoins im Wert vo 24 Millionen Dollar.

Laut Terpin konnte dies nur durch Fahrlässigkeit oder gar bewusste Mithilfe von Mitarbeitern seines Providers AT&T geschehen sein. Er wirft dem Unternehmen vor, “willentlich mit dem Hacker kooperiert, grob fahrlässigkeit gehandelt und vertragliche Pflichten verletzt zu haben.” Er geht sogar so weit, zu behaupten, der Hack mache es notwendig, dass ein Insider kooperiert habe.

Von AT&T verlangt Terpin nun nicht nur einen Schadenersatz von 24 Millionen Dollar. Er klagt zudem auf eine “bestrafende” Geldbuße von weiteren 200 Millionen Dollar.

Original source: https://bitcoinblog.de/2018/08/17/wenn-2fa-zu-wenig-ist-krypto-investor-verklagt-att-auf-224-millionen-dollar/

Enter your Email Address