Що сталося?
Оператор зв’язку T-Mobile зобов’язаний виплатити 33 мільйони доларів компенсації Джозефу “Джошу” Джонсу, жертві SIM-swapping. Суд встановив, що саме халатність компанії дозволила хакерам перевипустити SIM-карту, отримавши доступ до його криптовалютних гаманців.
Злому піддалися 1 500 BTC і 60 000 BCH, які на той момент коштували близько 38 мільйонів доларів. Найбільш вражаюче, що зловмисники обійшли 2FA (двофакторну аутентифікацію) та навіть захист із восьмизначним PIN-кодом.
Атака стала можливою через дірки у безпеці внутрішньої інфраструктури T-Mobile. Позивач стверджував, що використовувався не лише метод соціальної інженерії, а й, можливо, бекдор у системах оператора.
Як працює SIM-swapping?
Це класична техніка злому, коли хакер переконує мобільного оператора перевипустити SIM-карту на своє ім’я. Як тільки шахраї отримують контроль над номером, вони зламують акаунти жертви, обходячи SMS-аутентифікацію та інші захисти.
Ця схема не нова, і експерти з кібербезпеки неодноразово застерігали про її небезпеку. Проте мобільні оператори роками ігнорували проблему, не впроваджуючи достатніх заходів захисту.
Що вирішив суд?
🔹 T-Mobile несе відповідальність за халатність у безпеці.
🔹 Компанія має виплатити 33 млн $ компенсації Джонсу.
🔹 6,5 млн $ підуть на оплату адвокатських витрат.
🔹 Спроби T-Mobile приховати рішення суду не вдалися.
Чому це важливо?
Це рішення може створити небезпечний прецедент для всіх операторів зв’язку. Якщо суди й надалі визнаватимуть їх відповідальними за SIM-swapping, компаніям доведеться кардинально переглянути свою політику безпеки.
Зараз головне питання: чи покращать оператори свої системи захисту, чи просто піднімуть тарифи, щоб компенсувати нові ризики?
Як захиститися?
1️⃣ Використовуйте апаратні ключі замість SMS-авторизації (наприклад, YubiKey).
2️⃣ Заблокуйте можливість віддаленого перевипуску SIM-карти через підтримку оператора.
3️⃣ Встановіть на акаунтах двофакторну аутентифікацію через додатки (Google Authenticator, Authy), а не через SMS.
4️⃣ Відстежуйте підозрілі активності та негайно реагуйте на сповіщення про зміну SIM-карти.
Висновок
Ця історія — ще одне нагадування, що мобільний номер більше не можна вважати надійним фактором ідентифікації. Криптовалютні інвестори, бізнесмени та звичайні користувачі мають подбати про свою безпеку заздалегідь.
Чи зроблять висновки мобільні оператори? Питання відкрите. Але суд вже дав зрозуміти: за бездіяльність доведеться платити — і дуже дорого.
Більше захопливих новин зі світу кібербезпеки — у нашому телеграм каналі 404, news found! Підписуйся, щоб не пропустити найцікавіше.
