T-Mobile a payé 33 millions de dollars d'amendes après qu'un client a perdu des millions de crypto-monnaies lors d'une attaque d'échange de sim. Le cabinet d'avocats basé à Los Angeles, Greenberg Glusker, a annoncé qu'il avait obtenu une bourse d'arbitrage massive contre T-Mobile sur les mésaventures du télécommunications liées au piratage d'échange SIM.
Un client T-Mobile a perdu sa fortune crypto en raison d'une défaillance de sécurité majeure
Les énormes sommes d'amendes sur le T-Mobile proviennent d'une attaque d'échange de SIM de février 2020 qui ciblait l'entrepreneur technologique Joseph «Josh» Jones. Glusker suggère que les attaquants ont volé plus de 1 500 Bitcoin (BTC) et près de 60 000 Bitcoin Cash (BCH), évalués à 38 millions de dollars à l'époque.
De nombreux échecs de sécurité à T-Mobile ont conduit à l'incident SIM Swap, ce qui a déclenché une bataille juridique massive. Le cabinet d'avocats note que les parties ont maintenu la décision du tribunal dans le procès en cours depuis la chute de 2023. T-Mobile ne voulait pas que les détails des défauts de sécurité sortent. Cependant, une récente pétition pour confirmer l'attribution du procès a mis ces détails à la vue du public.
L'infiltration des systèmes du transporteur a permis aux acteurs de la menace de mener l'attaque
Selon la source, les acteurs de la menace ont réussi à détourner le compte T-Mobile de Jones, même avec la protection améliorée des broches. Un employé du transporteur a facilité l'attaque en consentissant à déplacer le numéro de mobile de Jones vers une carte SIM en vertu de la propriété de l'acteur de menace. Cependant, la protection des broches sur le compte aurait dû être suffisante pour empêcher le pirate de modifier. Cela a conduit Jones à soupçonner que l'acteur de menace a utilisé une porte dérobée sur les systèmes du transporteur.
«L'échange de sim est un défaut de sécurité incontrôlé depuis des années. Des transporteurs comme T-Mobile l'ont connu et n'ont pas réussi à prendre des précautions de base. Ce prix le rend clairement: ils doivent faire mieux,» dit Paul Blechner de Greenberg Glusker.
Les enquêtes sur l'incident ont révélé qu'un adolescent de 17 ans avait mené l'attaque d'échange de sim dans l'affaire. Il aurait eu des liens avec d'autres cybercriminels, qui ont ciblé plus de 100 comptes Twitter en 2020, y compris ceux appartenant à Joe Biden, Elon Musk, Bill Gates et Jeff Bezos.
T-Mobile a déjà été impliqué dans des attaques d'échange de sim. En 2022, un homme américain a reçu une peine pour avoir volé 20 millions de dollars en crypto via une attaque d'échange de sim. Un an plus tard, une attaque d'échange de sim impliquant le cabinet consultatif ciblé T-Mobile Kroll. L'attaque a exposé les données de nombreuses entreprises cryptographiques en faillite, notamment Genesis, FTX et BlockFI.
