Kriptovaliutų bendruomenė diskutuoja, ar SMS dviejų veiksnių autentifikavimas (2FA) kada nors turėtų būti naudojamas paskyros saugumui po žinios, kad „Coinbase“ klientas paduoda kriptovaliutų keityklai į teismą dėl 96,000 XNUMX USD.
Kovo 6 d. Jaredas Fergusonas pateikė a ieškinys prieš „Coinbase“ Jungtinių Valstijų Kalifornijos šiaurinės apygardos teisme, teigdamas, kad prarado „90 % savo santaupų“, kai tapatybės vagys iš jo sąskaitos išėmė lėšas, o Coinbase atsisakė jam kompensuoti.
Teigiama, kad Fergusonas tapo tapatybės vagystės, žinomos kaip „sim-swapping“, auka, kuri leidžia sukčiams valdyti telefono numerį apgaudinėjant telekomunikacijų paslaugų teikėją, kad šis susietų numerį su savo SIM kortele.
Tai leidžia jiems apeiti bet kokią SMS 2FA paskyroje ir šioje situacijoje tariamai leido jiems patvirtinti 96,000 XNUMX USD išėmimą iš Fergusono „Coinbase“ paskyros.
Fergusonas teigė, kad prarado paslaugą po to, kai į jo telefoną buvo įsilaužta gegužės 9 d., ir pastebėjo, kad lėšos buvo paimtos iš jo „Coinbase“ sąskaitos, gavus naują SIM kortelę ir atkūrus paslaugą pagal paslaugų teikėjo „T-Mobile“ nurodymus.
T-Mobile anksčiau buvo padavė į teismą SIM keitimo nukentėjusioji 2021 m. vasario mėn., po maždaug 450,000 XNUMX USD vertės Bitcoin vagystės (BTC).
„Coinbase“ neigė bet kokią atsakomybę už įsilaužimą į Fergusono paskyrą, el. laiške jam sakydamas, kad jis „atsako už jūsų el. pašto, slaptažodžių, 2FA kodų ir įrenginių saugumą“.
Susiję: Hakeris grąžina pavogtas lėšas Tender.fi ir gauna 97 XNUMX USD premiją
Kriptografijos bendruomenės nariai iš esmės abejojo, ar Fergusono ieškinys bus sėkmingas, ir pažymėjo, kad Coinbase skatina naudoti autentifikavimo programas 2FA, o ne SMS ir apibūdina pastaroji kaip „nepačiausiai saugi“ autentifikavimo forma.
Spėju, kad jo slaptažodis buvo pažeistas, nes jis buvo naudojamas kitose svetainėse, iš kurių viena buvo pažeista. Be to, „Coinbase“ skatina Authenticator programą, skirtą 2FA, pažymėdama ją „saugu“, o SMS – kaip „vidutiniškai saugią“.
– Dave'as Fergusonas (@_sc0rn) Kovo 7, 2023
Kai kurie „Reddit“ vartotojai, diskutuodami apie ieškinį įraše „Niekada nenaudokite SMS 2FA“, nuėjo iki to, kad SMS 2FA turėtų būti uždraustas, tačiau pažymėjo, kad tai buvo vienintelė daugelio paslaugų autentifikavimo parinktis, kaip sakė vienas vartotojas:
„Deja, daugelis paslaugų, kuriomis naudojuosi, dar nesiūlo Authenticator 2FA. Bet aš tikrai manau, kad SMS metodas pasirodė esąs nesaugus ir turėtų būti uždraustas.
„Blockchain“ saugos įmonė „CertiK“ perspėjo SMS žinučių naudojimo pavojai 2FA 2022 m. rugsėjo mėn., kai saugumo ekspertas Jesse'as Leclere'as interviu Cointelegraph pasakė, kad „SMS 2FA yra geriau nei nieko, bet tai yra labiausiai pažeidžiama šiuo metu naudojama 2FA forma“.
Leclere teigė, kad specialios autentifikavimo programos, tokios kaip „Google Authenticator“ ar „Duo“, siūlo beveik visą SMS 2FA naudojimo patogumą ir pašalina SIM keitimo riziką.
„Reddit“ naudotojai dalijosi panašiais patarimais, tačiau telefonuose pridėtos autentifikavimo programos taip pat daro tą įrenginį vienu gedimo tašku ir rekomendavo naudoti atskirus aparatinės įrangos autentifikavimo įrenginius.
Šaltinis: https://cointelegraph.com/news/debate-over-2fa-using-sms-after-sim-swapping-victim-sues-coinbase