Um processo contra a AT&T alega que os funcionários da operadora ajudaram hackers a realizar ataques de troca de SIM em um cliente e roubaram-lhe US $ 1,8 milhão em criptomoedas.
O requerente, Seth Shapiro, de Torrance, Califórnia, diz que a AT&T é responsável pelos atos de seus funcionários e não implementou sistemas e procedimentos para impedir que eles realizassem o esquema. A denúncia, apresentada no dia 17 de outubro no Tribunal Distrital dos EUA do Distrito Central da Califórnia, diz:
“Em pelo menos quatro ocasiões entre 16 de maio de 2018 e 18 de maio de 2019, os funcionários da AT&T obtiveram acesso não autorizado à conta wireless do AT&T do Sr. Shapiro, visualizaram suas informações pessoais confidenciais e proprietárias e transferiram o controle do número wireless da AT&T do Sr. Shapiro para um telefone controlado por hackers de terceiros em troca de dinheiro. Os hackers utilizaram seu controle sobre o número wireless da AT&T de Shapiro para acessar suas contas financeiras pessoais e digitais e roubar mais de US $ 1,8 milhão de Shapiro.”
Em um ataque de troca de SIM, “o cartão SIM associado à conta wireless da vítima é transferido do telefone da vítima” para o de outra pessoa, que “move efetivamente o telefone wireless da vítima – incluindo dados, textos e chamadas telefônicas associados ao telefone da vítima – do telefone para um telefone controlado por terceiros.”, observa o processo. “Enquanto isso, o telefone da vítima perde a conexão com a rede da operadora”.
O ataque foi exacerbado pelo fato de muitos serviços usarem números de telefone celular como o segundo fator em sistemas de login protegidos por autenticação de dois fatores. Os hackers também podem assumir o controle de várias contas explorando links de redefinição de senha enviados por mensagem de texto.
Os terceiros que obtiveram controle sobre o telefone de Shapiro acessaram e redefiniram as senhas das contas do requerente nas plataformas de criptomoedas, incluindo KuCoin, Bittrex, Wax, Coinbase, Huobi, Crytopia, LiveCoin, HitBTC, Coss.io , Liqui e Bitfinex. Os hackers também mudaram as senhas para aproximadamente 15 das contas online de Shapiro, incluindo quatro endereços de e-mail, sua conta Evernote e sua conta PayPal.
No caso de Shapiro, os funcionários da AT&T não deram, involuntariamente, controle aos hackers sobre seu telefone, diz o processo. “Os funcionários da AT&T lucraram ativamente com esse acesso não autorizado, dando conscientemente controle sobre seu número de telefone a hackers com o objetivo de roubá-lo.”
As contradições da AT&T
Shapiro diz que recebeu uma carta da AT&T em maio de 2019 informando que “um funcionário de um dos prestadores de serviços da [AT&T] acessou as informações de rede proprietárias de clientes [do Sr. Shapiro] sem autorização”. A carta também dizia que a AT&T “notificou as autoridades federais sobre o acesso não autorizado, conforme exigido pelos regulamentos da Federal Communications Commission”.
A AT&T também informou à polícia que o hacker envolvido na troca do SIM de Shapiro havia solicitado que 40 contas diferentes da AT&T fossem movidas para o telefone nos meses anteriores. A empresa, portanto, tinha a tecnologia para rastrear quantas contas diferentes estavam sendo movidas para o mesmo telefone, como demonstrado por sua capacidade de extrair essas informações para aplicação da lei. Apesar de sua capacidade de rastrear esse comportamento altamente suspeito, a empresa falhou em sinalizar o perigo e impedir os roubos.
Este não é o primeiro processo movido contra a AT&T. A empresa também foi processada por um homem chamado Michael Terpin, que diz que a AT&T permitiu um hack de troca de SIM que lhe custou quase US $ 24 milhões em criptomoedas.
