Quản lý hiệu thuốc kiện công ty viễn thông Rogers và Match Transact vì mất 12,58 bitcoin trong vụ lừa đảo SIM-swap do nhân viên sơ suất.
Một vụ kiện có thể tạo tiền lệ quan trọng cho ngành viễn thông Canada đang diễn ra khi Raelene Vandenbosch, quản lý hiệu thuốc tại Squamish, British Columbia, cáo buộc Rogers Communications và Match Transact Inc. phải chịu trách nhiệm về việc bà mất 12,58 bitcoin trị giá hơn 1,36 triệu USD trong một vụ lừa đảo SIM-swap tinh vi.
Vụ tấn công diễn ra vào ngày 30/6/2021 tại một quầy WOW! Mobile Boutique ở Montreal, thuộc sở hữu của Match Transact Inc. Theo hồ sơ tòa án, một kẻ lừa đảo đã gọi điện giả mạo kỹ thuật viên Rogers và thuyết phục nhân viên cửa hàng chia sẻ màn hình máy tính, tạo điều kiện cho hacker truy cập trực tiếp vào cơ sở dữ liệu khách hàng của Rogers.
Mặc dù Vandenbosch sống cách xa hàng nghìn kilometer tại British Columbia, kẻ tấn công đã sử dụng thông tin thu thập được để chuyển tài khoản của bà sang một thẻ SIM mới dưới quyền kiểm soát của chúng. Điều này cho phép hacker kiểm soát hoàn toàn số điện thoại, email, tin nhắn và các ứng dụng nhắn tin của Vandenbosch, bao gồm WhatsApp.
Vandenbosch chỉ phát hiện ra sự cố vào ngày hôm sau khi bà không thể truy cập vào số điện thoại và dữ liệu di động. Tuy nhiên, thiệt hại đã xảy ra khi kẻ tấn công đã nhanh chóng truy cập vào các ví tiền mã hóa của bà trên Ledger và Shakepay, rút toàn bộ 12,58 bitcoin có giá trị 392.704 USD tại thời điểm đó.
Tranh chấp pháp lý và quyết định trọng tài
Trong đơn kiện, Vandenbosch cáo buộc Rogers đã hành động sơ suất khi không tăng cường các biện pháp an ninh mặc dù đã biết rõ về nguy cơ ngày càng gia tăng của các vụ tấn công SIM-swap kể từ năm 2015. Bà cho rằng công ty viễn thông này đã vi phạm quyền riêng tư khi cho phép nhân viên các quầy hàng truy cập quá mức vào thông tin cá nhân mà không áp dụng các quy trình xác minh cần thiết.
Match Transact Inc. cũng bị cáo buộc vi phạm nghĩa vụ bảo vệ thông tin cá nhân của khách hàng và hành động sơ suất trong việc đào tạo nhân viên về các biện pháp an ninh mạng. Các cáo buộc bao gồm sơ suất, vi phạm quyền riêng tư và vi phạm hợp đồng.
Cả Rogers và Match Transact đều không thừa nhận hay phủ nhận các cáo buộc, thay vào đó đề xuất chuyển vụ việc sang trọng tài riêng, viện dẫn thỏa thuận trọng tài trong hợp đồng dịch vụ mà Vandenbosch đã ký.
Tuy nhiên, vụ việc đã trở nên phức tạp hơn sau phán quyết của Thẩm phán Anita Chan tại Tòa án Tối cao British Columbia ngày 27/6. Bà Chan yêu cầu phần lớn vụ kiện phải chuyển sang trọng tài, nhưng cho phép một phần quan trọng – yêu cầu Rogers công khai thừa nhận sai phạm – được tiếp tục xét xử công khai vì liên quan đến lợi ích cộng đồng.
Quyết định này có thể tạo ra tiền lệ quan trọng cho ngành viễn thông Canada trong việc xử lý các vụ tấn công SIM-swap. Các chuyên gia bảo mật cho rằng vụ việc này nêu bật những lỗ hổng nghiêm trọng trong quy trình bảo vệ dữ liệu khách hàng của các nhà mạng.
SIM-swap đã trở thành một trong những hình thức tấn công phổ biến nhất nhắm vào chủ sở hữu tiền mã hóa, khi kẻ tấn công sử dụng kỹ thuật xã hội để chiếm quyền kiểm soát số điện thoại của nạn nhân, từ đó vượt qua xác thực hai yếu tố và truy cập vào các tài khoản tài chính.
Nhóm pháp lý của Vandenbosch, do luật sư Alexia Majidi từ hãng luật Hammerco Lawyers dẫn dắt, vẫn chưa công bố chiến lược tiếp theo. Bản thân Vandenbosch từ chối bình luận với truyền thông về vụ việc đang trong quá trình tố tụng.
