נשדדה חברה מהרשימה המודלפת של ה-USMS בהקשר למכרז 30,000 הביטקוין
מאת:
מערכת Telecom News, 2.7.14, 00:02
טעות הדואר האלקטרוני, שביצע US Marchals Service לפני מכרז 30,000 הביטקוין, שהובילה לפרסום פרטים של 16 משתתפים במכרז, הובילה לתקיפות מצד האקרים על המשתתפים, כאשר תקיפה אחת הצליחה.
ב-18.6.14 דיווחנו –
כאן, ששירות
US Marshals Service - USMS כתב מכתב בדואר אלקטרוני ל-16מתמודדים בקניית 30,000 ה
ביטקוין, שהוחרמו מ-
SilkRoad על מנת לענות לשאלות ולעדכנם לגבי הפרטים השונים וההליכים של המכירה, שהוא עומד לבצע . אולם, טעות במשלוח, שמיקמה את רשימת הנמענים ב
CC- במקום ב-
BCC הובילה לחשיפת המתמודדים. כלומר, ה-
USMS עשה טעות חמורה והוא אכן התנצל על כך. אולם הנזק כבר נעשה כאשר הכל דלף לתקשורת הבינלאומית.
ברשימה הופיעה החברה האוסטרלית ממלבורן
Bitcoin Reserve ואחד ממייסדיה -
Sam Lee.
עתה מסתבר, עפ"י startupsmart.com.au, שהטעות של
USMS עלתה ביוקר לחברה זו, כי היא הובילה לגניבה מתוחכמת של 100 ביטקוין במה שהמייסד מכנה "מתקפה רצינית".
מאחר שפרטי ההתקשרות של
Lee דלפו לתקשורת כמו פרטי שאר 15 המשתתפים, פורץ/גנב התקשר עם
Lee לכתובת שדלפה במסווה של עיתונאי, שרוצה לראיין אותו. בדיעבד, כתובת המייל של "העיתונאי" הייתה גנובה. הוא הצליח "לעבוד" על
Lee לשתף עימו מסמך
Google Doc, ש-
Lee האמין, שמכיל שאלות לראיון העיתונאי. אולם, בקשת הגישה למסמך הייתה למעשה לגישה לחשבון הדואר האלקטרוני שלו ואז הפורץ/פורצים יכלו להתגבר על נושא הסיסמאות ולקבל גישה לכל הסיסמאות בדפדפן הכרום שלו.
הם התחברו לדומיין של
Bitcoin Reserve, הוסיפו
DNS חדש, שאישר לגוגל שהם הבעלים של החשבון ויכלו להגיע לכתובות הדואר האלקטרוני של כל עובדי החברה. אולם, הם לא יכלו להגיע לביטקוין של החברה, שמנוהל ע"י מומחה אבטחה.
לכן, הם התחזו ל-
Lee ושלחו דואר אלקטרוני מתוך תיבת הדואר האלקטרוני של
Lee ל-
CTO של החברה ובקשו לשלוח 100 ביטקוין לכתובת ביטקוין מסוימת.
ה-
CTO רצה לשוחח עם
Lee כדי לוודא, שהוא אכן מבקש זאת. אך הגנב הסביר, שזה בסדר, אך זה יתקיים מאוחר יותר כי
Lee עסוק. בצירוף מקרים של ביש מזל
Lee אכן היה עסוק באותה העת ולא ענה לטלפון וזה הפך את הגנב ליותר מהימן.
ה-
CTO התקשר ל-
CFO, שאישר את הטרנזקציה כי חשב, שהוא מבצע בקשת מכירה של לקוח.
Lee טוען, שהכל נבע מהטעות החמורה של ה-
USMS ושהוא דיבר עם משתתפים אחרים מהרשימה שטענו, שגם הם היו מטרות לנסיונות של פריצות וגניבות. הוא אמר, שהוא יספוג את ההפסד של 65,400 דולרים.
Lee אמר, שהפורץ ניסה לסחוט אותו לאחר מכן ב-200 ביטקוין נוספים כדי לא לפרסם את תכתובות הדואר האלקטרוני שלו מ-7 השנים האחרונות.
Lee מאשים את ה-USMS:
Is it the US Marshals’ fault that the attack occurred? Absolutely! Is it their fault that we lost some Bitcoins? No,” Lee says