Die US-amerikanische Krypto-Börse Bittrex Inc. wurde von einer Klage getroffen. Der Kläger ist Angel Investor Gregg Bennett, der behauptet, am 15. April 2019 aufgrund eines SIM-Swap-Hacks mehr als 1,2 Millionen Dollar verloren zu haben.

Laut Bennett hat Bittrex Inc. es versäumt, die Sicherheitsstandards der Branche einzuhalten und seine eigenen Sicherheitsprotokolle verletzt. Der angebliche Grund für die Klage ist ein so genannter SIM-Swap-Betrug, durch den Kriminelle 130 Bitcoins gestohlen haben.

Durch diese Methode erhält ein Betrüger Zugriff auf die persönlichen Daten von jemandem und fordert, dass eine SIM-Karte erneut an den Hacker ausgegeben wird. Danach nutzt der Hacker telefonische Verifizierungssysteme, um Zugang zu Konten zu erhalten, die ihre Opfer mit ihrer Handynummer verbunden hatten. Infolgedessen konnten die Hacker 100 Bitcoins von Bennetts Bittrex Inc.-Konto stehlen, seine Altcoins verkaufen und weitere 30 Bitcoins gewinnen.

Bennett glaubt, dass die Börse sich des Hacks bewusst sein musste. Er sagt, dass die IP-Adresse und das Betriebssystem völlig anders waren als sein eigenes. Bennett behauptet auch, dass er Bittrex Inc. rechtzeitig informiert hat, aber die Börse hat nicht die richtigen Schritte unternommen, um sein Konto zu sichern. Seine Anwälte erklären, dass es eine bewährte Praxis der Branche war, alle Auszahlungen für 24 Stunden zu sperren, nachdem der Kontoinhaber das Passwort geändert hatte, aber Bittrex Inc. hatte keine solche Richtlinie eingeführt. 

„Wie in unserer Beschwerde behauptet, ignorierte Bittrex Inc. eine Reihe von Warnhinweisen, die Bittrex Inc. warnten, dass die Person, die die Auszahlung einleitete, nicht Gregg Bennett war“, sagt Bennett. „Wir planen, vor Gericht zu zeigen, dass Bittrex Inc. entweder ignoriert oder keine Kenntnis von branchenüblichen Sicherheitsvorkehrungen hatte, um Hacks, wie diesen, zu verhindern.“

Bennett vermutet auch, dass sich die Hacker auf Hilfe innerhalb der Telefongesellschaft AT&T verlassen haben, da seine Sozialversicherungsnummer und seine Konto-PIN geändert wurden, was darauf hindeutet, dass ein Telefonbetreiber beteiligt gewesen sein könnte. AT&T wird in Bennetts Prozess nicht erwähnt, aber er kündigte an, dass AT&T „meinem Zorn nicht entkommen wird“.

Fall läuft; Bittrex Inc. warnt vor Mobiltelefonen als Angriffspunkt

Bennett reichte die Klage beim King County Superior Court in Washington ein. Das Department of Financial Institutions Legal Examiner für ihre Niederlassung in Washington kam zu dem Schluss, dass Bittrex Inc. offensichtlich gegen seine eigenen Nutzungsbedingungen verstossen hat und nicht angemessen reagiert hat.

Bittrex Inc. hat noch keinen offiziellen Kommentar abgegeben. CEO Bill Shihara sprach mit Coindesk über andere aktuelle SIM-Hacks und sagte, dass Bittrex Inc. über solide Sicherheitsmechanismen verfügt, einschliesslich Zwei-Faktor-Authentifizierung und E-Mail-Verifizierung, wenn sich eine unbekannte IP-Adresse bei einem Konto anmeldet.

Er erinnerte die Benutzer auch daran, sich nicht auf ihr Handy zu verlassen: „Ich denke, das ist ein Problem, das viele Lösungen und viele Sicherheitsebenen erfordert. Und leider ist eines der Mantras, die wir benutzen und oft Artikel darüber veröffentlichen, dass man seinem Handy letztendlich nicht vertrauen kann. Du musst dir bewusst sein, dass du die Kontrolle über dein Handy verlieren könntest.“

Ebenso sagte AT&T-Sprecher Jim Greer, dass Kunden es vermeiden sollten, sich auf ihre Mobiltelefone zu verlassen, um die Sicherheit zu gewährleisten: „Betrügerische SIM-Swaps sind eine Form von Diebstahl, die von anspruchsvollen Kriminellen begangen wird. Wir arbeiten eng mit unserer Industrie, den Strafverfolgungsbehörden und den Verbrauchern zusammen, um diese Art von Kriminalität zu stoppen und zu verhindern.“

Das Gerichtsverfahren ist noch nicht abgeschlossen. Es wurden noch keine Strafanzeige gegen eine Person wegen des Hacks gestellt, und bisher sind Bennetts Bitcoins nirgendwo zu finden.

Bild: ©Shutterstock