Wenn 2FA zu wenig ist: Krypto-Investor verklagt AT&T auf 224 Millionen Dollar

Dem US-Investor Michael Terpin wurden Kryptocoins im Wert von 24 Millionen Dollar von Börsen gestohlen. Weil er meint, dass ein Mitarbeiter des Telekommunikationsdienstleisters AT&T involviert gewesen sein muss, verklagt er den Konzern auf 224 Millionen Dollar.

Man sollte meinen, mit einer Two-Factor-Authorisierung sei man auf der sicheren Seite: Man loggt sich nicht nur mit der Email-Adresse und einem Passwort ein, sondern liefert auch noch ein Einmalpasswort, das von einem externen Gerät, wie ein Smartphone oder ein Yubikey-Stick, generiert wird. Damit man nun einem Hack zum Opfer fällt, müssten beide Geräte betroffen sein.

Wie sich zeigt, kann das aber auch zuwenig sein. Der Investor Michael Terpin wurde offenbar trotz 2-Faktor-Authorisierung zweimal im Lauf der letzten 12 Monate gehackt. Die Details über den Vorgang sind nicht genau bekannt. Wir wissen, dass Terpin insgesamt 24 Millionen Dollar in Kryptowährungen abhanden gekommen sind, und dass diese Token vermutlich von Accounts von großen Kryptobörsen gestohlen worden sind.

Der Hergang war vermutlich, dass es einem Hacker gelungen ist, gezielt sowohl den PC als auch das Smartphone von Terpin zu hacken. Da Terpin als Mitgründer der BitAngels-Investoren und eines dazugehörigen Fonds gut sichtbar ist, dürfte der Hacker explizit auf ihn gezielt haben. Auf irgendeine Weise ist es ihm gelungen, sich Zugang zu Terpins Börsenaccounts zu verschaffen, eventuell durch einen Hack der Börsenseite oder von Terpins Computer.

Der vertrackste Teil der Operation, Terpins Kryptocoins zu hacken, begann aber erst danach. Da Terpin offenbar eine Zwei-Faktor-Autorisierung benutzt, um Auszahlungen zu legitimieren, musste der Hacker also irgendwie in sein Smartphone kommen. Laut Terpin geschah dies dadurch, dass zuerst die Telefonnummer herausfand und anschließend den Telekommunikations-Anbieter (AT&T) überzeugte, ihm Zugang zum Telefon zu geben. Auf diese Weise konnte er die 2-Faktor-Autorisierung durchführen und die Coins, die in Terpins Smartphone-Wallets lagen, stehlen. Ob so oder so – Terpin verlor Kryptocoins im Wert vo 24 Millionen Dollar.

Laut Terpin konnte dies nur durch Fahrlässigkeit oder gar bewusste Mithilfe von Mitarbeitern seines Providers AT&T geschehen sein. Er wirft dem Unternehmen vor, “willentlich mit dem Hacker kooperiert, grob fahrlässigkeit gehandelt und vertragliche Pflichten verletzt zu haben.” Er geht sogar so weit, zu behaupten, der Hack mache es notwendig, dass ein Insider kooperiert habe.

Von AT&T verlangt Terpin nun nicht nur einen Schadenersatz von 24 Millionen Dollar. Er klagt zudem auf eine “bestrafende” Geldbuße von weiteren 200 Millionen Dollar.

About Christoph Bergmann (1328 Articles)
Das Bitcoinblog wird von Bitcoin.de gesponsort, ist inhaltlich aber unabhängig und gibt die Meinung des Redakteurs Christoph Bergmann wieder, es es seit Mitte 2013 führt. Christoph hat vor kurzem ein Buch geschrieben: Bitcoin: Die verrückte Geschichte vom Aufstieg eines neuen Geldes. Das Buch stellt Bitcoin in seiner ganzen Pracht dar. Ihr könnt es direkt auf der Webseite Bitcoin-Buch.org bestellen - natürlich auch mit Bitcoin - oder auch per Amazon. Natürlich freuen wir uns auch über Spenden in Bitcoin oder Bitcoin Cash an die folgende Adresse: 1BvayiASVCmGmg4WUJmyRHoNevWWo5snqC. Weitere Adressen (bech32, SegWit, Litecoin, Ethereum) finden Sie HIER. Tipps für Stories sind an christoph.bergmann@mailbox.org immer erwünscht. Wer dies privat machen möchte, sollte meinen PGP-Schlüssel verwenden.

3 Comments on Wenn 2FA zu wenig ist: Krypto-Investor verklagt AT&T auf 224 Millionen Dollar

  1. schluss aus // 17. August 2018 at 22:25 // Reply

    Wer token im Wert von 24000000$ dauerhaft auf einer Börse lagert hat das Prinzip Cryptowährung auch nicht verstanden. war die Vision nicht, dass man Banken ersetzen soll? Letztlich sind die Exchanges schlimmer als jede Bank, die sie ersetzen sollten.

  2. Coins auf Exchange und als Betriebsystem bestimmt Windows 10. Scheiß auf 2fa..

    Dann lieber Clean Linux und solid Passwort ohne 2fa. Dann müsste der Hacker das email Passwort ergaunern( am besten auf anderen device) und das vom Login.

    Würde zweite Option immer ersterer vorziehen.

    Und wer in Zeiten von Hardware Wallets Millionen auf Exchanges bunkert sollte nochmal paar Satoshi Zitate lesen..

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s