Nastolatek okradł najbogatszego właściciela kryptowalut. Winny? T-Mobile
W jednej z najbardziej zaskakujących spraw cyberprzestępczości ostatnich lat międzynarodowy gigant telekomunikacyjny T-Mobile został zobowiązany do zapłaty 33 milionów dolarów odszkodowania. Powodem była spektakularna kradzież kryptowalut, której dopuścił się 17-letni haker. Jak to możliwe, że operator telekomunikacyjny stał się współodpowiedzialny? W tle jest luka bezpieczeństwa, ogromna suma pieniędzy i największy w historii atak na indywidualnego właściciela Bitcoina.
Gdzie zawinił T-Mobile?
Sprawa dotyczy Josepha „Josha” Jonesa, inwestora, który padł ofiarą ataku SIM swapping, czyli techniki polegającej na przejęciu numeru telefonu ofiary przez przestępców. Mimo aktywnych zabezpieczeń, w tym ośmiocyfrowego PIN-u na koncie, numer Jonesa został bez wiedzy właściciela przeniesiony na inną kartę SIM. To umożliwiło hakerowi dostęp do cyfrowych portfeli kryptowalutowych i rozpoczęcie przelewu środków. Przestępcy przejęli w ten sposób ponad 1500 bitcoinów i około 60 000 Bitcoin Cash – ówcześnie wycenianych na 38 milionów dolarów. Do ataku doszło w lutym 2020 roku, a zebrane dowody jednoznacznie wykazały, że pracownik T-Mobile zignorował protokoły bezpieczeństwa, co umożliwiło przestępcom przejęcie numeru.
SIM swapping – kiedy nie masz kontroli nad swoim numerem
Atak typu SIM swapping polega na tym, że oszuści przejmują numer telefonu ofiary i przenoszą go na kartę SIM, którą sami kontrolują. Może do tego dojść poprzez socjotechnikę, przekupienie pracownika operatora, a nawet bezpośrednie włamanie do systemów firmy telekomunikacyjnej. Gdy ofiara traci zasięg, bo jej numer został „przeniesiony”, zazwyczaj jest już za późno. Przestępcy mogą przejąć konta, zresetować hasła i uzyskać dostęp do aplikacji bankowych lub portfeli kryptowalutowych.
Młodociany sprawca i reakcja służb
Jak się później okazało, za atakiem stał 17-letni gracz Fortnite, który miał zdiagnozowane ADHD. Jego motywacja i dokładny sposób działania pozostają w dużej mierze tajemnicą, ale śledztwo prowadzone przez FBI i Secret Service wykazało, że nastolatek doskonale znał luki w systemach T-Mobile. To właśnie zabezpieczenia zawiodły operatora, który – mimo oznaczenia konta Jonesa jako wysoko chronionego – nie zapobiegł manipulacjom.
T-Mobile zapłaci 33 miliony dolarów
W prywatnym postępowaniu arbitrażowym kancelaria Greenberg Glusker uzyskała rekordowe odszkodowanie. Panel arbitrów uznał, że T-Mobile dopuścił się poważnych zaniedbań w zakresie ochrony danych klientów. Wysokość ugody miała zrekompensować zarówno utracone aktywa cyfrowe, jak i koszty prowadzenia postępowania. Co ciekawe, orzeczenie zostało wydane już w 2023 roku, ale firma próbowała zataić szczegóły sprawy i tłumaczyć to tajemnicą handlową i ochroną reputacji. Dopiero złożenie oficjalnej petycji do sądu w Los Angeles pozwoliło opinii publicznej poznać kulisy jednej z największych cyberkradzieży ostatnich lat.
Lekcja dla każdego użytkownika
Choć trudno przewidzieć wszystkie możliwe scenariusze ataków, sprawa Josepha Jonesa jest ostrzeżeniem dla każdego użytkownika smartfona i internetu. Nawet najbardziej zaawansowane zabezpieczenia nie wystarczą, gdy zawodzą procedury po stronie operatora. W dobie cyfrowej transformacji i dynamicznego rozwoju kryptowalut odpowiedzialność za bezpieczeństwo danych powinna spoczywać na wszystkich – użytkownikach, dostawcach usług i instytucjach finansowych.
Redaktorka, korektorka, copywriterka. Studentka dziennikarstwa i medioznawstwa na Uniwersytecie Warszawskim, absolwentka podyplomowej redakcji językowej tekstu na UW. Miłośniczka motoryzacji, podróży, fotografii oraz literatury.
