Kriptoskupnost razpravlja o tem, ali bi bilo treba dvofaktorsko avtentikacijo SMS (2FA) kdaj uporabiti za varnost računa po novici, da stranka Coinbase toži borzo kriptovalut za 96,000 $.
6. marca je Jared Ferguson vložil a Tožbo proti Coinbase na okrožnem sodišču Združenih držav za severno okrožje Kalifornije, češ da je izgubil "90 % svojih življenjskih prihrankov", potem ko so tatovi identitete dvignili sredstva z njegovega računa, Coinbase pa mu ni hotel povrniti stroškov.
Ferguson naj bi postal žrtev vrste kraje identitete, znane kot "sim-swapping", ki goljufom omogoča pridobitev nadzora nad telefonsko številko tako, da pretentajo ponudnika telekomunikacij, da številko poveže z njihovo lastno sim kartico.
To jim omogoča, da zaobidejo kateri koli SMS 2FA na računu in v tej situaciji naj bi jim omogočili potrditev dviga 96,000 $ s Fergusonovega računa Coinbase.
Ferguson je trdil, da je izgubil storitev, potem ko so 9. maja vdrli v njegov telefon, in opazil, da so bila sredstva vzeta z njegovega računa Coinbase, potem ko je dobil novo kartico SIM in obnovil svojo storitev po navodilih svojega ponudnika storitev T-Mobile.
T-Mobile je bil prej toži žrtev zamenjave SIM februarja 2021 po kraji bitcoinov v vrednosti približno 450,000 $ (BTC).
Coinbase je zanikal kakršno koli odgovornost za vdor v Fergusonov račun in mu v e-pošti povedal, da je "odgovoren za varnost vaše e-pošte, vaših gesel, vaših kod 2FA in vaših naprav."
Povezano: Heker vrne ukradena sredstva na Tender.fi in prejme 97 $ nagrade
Člani kripto skupnosti so bili na splošno dvomljivi, da bo Fergusonova tožba uspešna, pri čemer so opozorili, da Coinbase spodbuja uporabo aplikacij za preverjanje pristnosti za 2FA namesto SMS in opisuje slednjo kot "najmanj varno" obliko avtentikacije.
Predvidevam, da je bilo njegovo geslo ogroženo, ker je bilo uporabljeno na drugih spletnih mestih, od katerih je bilo eno vlomljeno. Poleg tega Coinbase spodbuja aplikacijo Authenticator za 2FA tako, da jo označi kot »varno«, SMS pa kot »zmerno varno«.
— Dave Ferguson (@_sc0rn) Marec 7, 2023
Nekateri uporabniki Reddita, ki so razpravljali o tožbi v objavi z naslovom »Nikoli ne uporabljaj SMS 2FA«, so šli tako daleč, da so predlagali, da bi bilo treba SMS 2FA prepovedana, vendar je opozoril, da je to edina možnost preverjanja pristnosti, ki je na voljo za številne storitve, kot je rekel en uporabnik:
»Na žalost veliko storitev, ki jih uporabljam, še ne ponuja Authenticatorja 2FA. Vsekakor pa menim, da se je pristop SMS izkazal za nevarnega in bi ga bilo treba prepovedati.«
Podjetje za varnost blokovnih verig CertiK je opozorilo na nevarnosti uporabe SMS 2FA septembra 2022, njegov strokovnjak za varnost Jesse Leclere pa je v intervjuju za Cointelegraph povedal, da je "SMS 2FA boljši kot nič, vendar je najbolj ranljiva oblika 2FA, ki se trenutno uporablja."
Leclere je dejal, da namenske aplikacije za preverjanje pristnosti, kot sta Google Authenticator ali Duo, ponujajo skoraj vse udobje uporabe SMS 2FA, hkrati pa odpravljajo tveganje zamenjave kartice SIM.
Uporabniki Reddita so delili podobne nasvete, vendar dodane aplikacije za preverjanje pristnosti na telefonih prav tako naredijo to napravo eno samo točko napake in priporočajo uporabo ločenih naprav za preverjanje pristnosti strojne opreme.
Vir: https://cointelegraph.com/news/debate-over-2fa-using-sms-after-sim-swapping-victim-sues-coinbase