На компанию Intuit Inc. подали иск в суд за кражу крипты из кошельков Trezor.

На компанию Intuit Inc. подали иск в суд за кражу крипты из кошельков Trezor.

Автор

Финансовый софтверный гигант обвиняется в «плохих методах обеспечения безопасности»

На Intuit подали в суд в США после того, как сбой в системе безопасности ее почтовой маркетинговой службы Mailchimp якобы привел к краже криптовалюты из цифровых кошельков.

В коллективном иске, поданном в федеральный суд Северной Калифорнии, истец – Алан Левинсон из Иллинойса заявил, что он и, возможно, другие лица стали жертвами изощренной фишинговой атаки, в ходе которой к их криптовалютным кошелькам Trezor был получен незаконный доступ и оттуда похищены средства.

Неизвестный злоумышленник ранее в марте украл у Mailchimp данные о подписчиках списка рассылки Trezor и использовал эту информацию, чтобы связаться с этими пользователями с помощью электронной почты, созданной для того, чтобы заставить их установить вредоносное ПО, предназначенное для захвата их цифровых кошельков. Левинсон сказал, что, по его мнению, в ходе этой атаки были украдены криптовалюты на миллионы долларов, в том числе 87 000 долларов из его собственного кошелька.

Иск обвиняет Intuit и Rocket Science Group – дочернюю компанию, управляющую Mailchimp, в плохой практике безопасности, которая позволила совершить это предполагаемое ограбление.

«Хакеры смогли получить доступ к списку адресов электронной почты Trezor (и, вероятно, к другой конфиденциальной информации) через учетные записи сотрудников Mailchimp и/или Intuit», – написал Левинсон в своем 22-страничном иске. «Действительно, ответчики подтвердили, что хакеры использовали внутренний инструмент сотрудников для кражи данных более чем у 100 своих клиентов, причем данные использовались для организации фишинговых атак на пользователей криптовалютных сервисов».

Утверждается, что Intuit «умышленно, по опрометчивости или по небрежности» не приняла мер, которые обеспечили бы защиту данных людей и предотвратили бы такое нарушение, а затем не смогла своевременно раскрыть нарушение.

Прошлой осенью Intuit приобрела сервис Mailchimp примерно за 12 миллиардов долларов.

Как действовали злоумышленники?

В иске говорится, что 2 апреля пользователи Trezor получили фишинговые электронные письма, утверждающие, что их данные были взломаны, а их криптовалюта находится под угрозой кражи. Эти сообщения были отправлены на адреса электронной почты, украденные из Mailchimp.

В этих поддельных электронных письмах Марку было сказано перейти на сайт, который оказался вредоносным – suite.trẹzor.com. Вредоносный сайт по названию был практически неотличим от оригинала, за исключением одной буквы – спецсимвола с точкой внизу «ẹ» и предложил загрузить новую версию пакета программного обеспечения Trezor для настольных ПК. «Новая версия» оказалась вредоносной программой опустошающей кошельки. Согласно иску, это стало возможным благодаря тому, что сотрудники Intuit, по-видимому, сами стали жертвами фишинговой атаки, в ходе которой они непреднамеренно передали свои внутренние учетные данные одному или нескольким мошенникам.

«Ответчики стали жертвой одной из старейших киберуловок: один из сотрудников ответчиков стал жертвой фишингового письма и перешел по вредоносной ссылке», – заявил истец. «Соответственно, неизвестные хакеры смогли украсть криптовалюту пользователей платформы Trezor со взломанных аккаунтов, что привело к убыткам в миллионы долларов».

В иске утверждается, что мошенники смогли просмотреть около 300 учетных записей клиентов Mailchimp и извлечь данные, включая адреса электронной почты подписчиков, из 102 из них. Одним из аккаунтов клиентов был Trezor.

Ранее в этом месяце директор по информационной безопасности Mailchimp Шивон Смит сказала, что инженеры по безопасности компании впервые узнали о нарушении безопасности 26 марта, когда злоумышленник получил доступ к инструменту, используемому командами, работающими с клиентами, для поддержки клиентов и администрирования учетных записей.

Левинсон указал на дату 26 марта в своем иске, заявив, что это было «за неделю до того, как были отправлены фишинговые электронные письма», но Intuit не поднимала тревогу, пока это не сделал Трезор, когда обнаружил фишинговую атаку.

«Это бездействие было особо критичным, поскольку ответчики признали, что хакеры нацеливались на клиентов в криптовалютном и финансовом секторах и что хакеры получили доступ к ключам API для нераскрытого числа клиентов, что позволило злоумышленникам рассылать фишинговые электронные письма», – говорится в иске.

Левинсон требует, чтобы Intuit оплатила реальные убытки, судебные издержки и как минимум три года мониторинга кредитоспособности пострадавших.

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *