Калифорнийские юристы выиграли многомиллионный иск против оператора мобильной связи.
Калифорнийская юридическая фирма Greenberg Glusker добилась в арбитражном суде взыскания $33 млн с компании T-Mobile. Причиной иска стали серьёзные нарушения безопасности, приведшие к успешной атаке методом подмены SIM-карты.
Инцидент произошёл 21 февраля 2020 года, когда сотрудник T-Mobile перенёс номер телефона клиента Джозефа «Джоша» Джонса на SIM-карту, находившуюся под контролем злоумышленника. В результате атаки были похищены более 1500 биткоинов и около 60000 Bitcoin Cash, что на момент кражи оценивалось в $38 млн.
Аккаунт Джонса в T-Mobile имел повышенную защиту, включая восьмизначный PIN-код, который должен был предотвратить любые изменения. Это заставило пострадавшего предположить, что злоумышленники использовали уязвимость в системах мобильного оператора для получения контроля над его аккаунтом.
Петиция Greenberg Glusker о подтверждении арбитражного решения, поданная в суд Лос-Анджелеса и предоставленная изданию SecurityWeek , раскрывает, что расследование правоохранительных органов установило факт причастности к взлому 17-летнего подростка с диагнозом СДВГ. По имеющимся данным, он был связан с хакерами Нима Фазели и Джозефом О'Коннором, которые в том же 2020 году участвовали во взломе десятков аккаунтов Twitter.
Арбитражное решение по делу T-Mobile держалось в тайне с осени 2023 года. Согласно заявлению юридической фирмы, оператор сотовой связи пытался сохранить конфиденциальность деталей о недостатках своей системы безопасности.
Пол Блехнер из Greenberg Glusker подчеркнул, что проблема подмены SIM-карт многие годы оставалась нерешённой уязвимостью. По его словам, операторы связи, включая T-Mobile, знали об этой проблеме, но не предпринимали достаточных мер предосторожности для защиты своих клиентов.
Атака с подменой SIM-карты представляет серьёзную угрозу, поскольку номера телефонов часто используются для двухфакторной аутентификации в различных онлайн-сервисах. Получив контроль над номером, злоумышленники могут изменять данные для входа и захватывать учётные записи пользователей.
Одним из самых известных случаев применения этой техники стал масштабный взлом Twitter в 2020 году. Тогда хакеры атаковали 130 аккаунтов и захватили 45 из них, включая учётные записи известных личностей: Билла Гейтса, Джеффа Безоса, Джо Байдена, Илона Маска и Майка Блумберга.