Kriptokopiena apspriež, vai SMS divu faktoru autentifikācija (2FA) jebkad būtu jāizmanto konta drošībai pēc ziņām, ka Coinbase klients iesūdz tiesā kriptovalūtas biržu par 96,000 XNUMX USD.
6. martā Džareds Fergusons iesniedza a prāva pret Coinbase Amerikas Savienoto Valstu Kalifornijas Ziemeļu apgabala apgabaltiesā, apgalvojot, ka viņš zaudēja "90% no saviem mūža ietaupījumiem" pēc tam, kad identitātes zagļi no viņa konta izņēma līdzekļus un Coinbase atteicās viņam atmaksāt.
Tiek uzskatīts, ka Fergusons ir kļuvis par upuri identitātes zādzībai, kas pazīstama kā “sim-swapping”, kas ļauj krāpniekiem iegūt kontroli pār tālruņa numuru, piemānot telekomunikāciju pakalpojumu sniedzēju, lai tas saistītu numuru ar savu SIM karti.
Tas ļauj viņiem apiet jebkuru SMS 2FA kontā, un šajā situācijā it kā ļāva viņiem apstiprināt 96,000 XNUMX USD izņemšanu no Fergusona Coinbase konta.
Fergusons apgalvoja, ka zaudējis pakalpojumu pēc tam, kad viņa tālrunis tika uzlauzts 9. maijā, un pamanījis, ka līdzekļi tika izņemti no viņa Coinbase konta pēc jaunas SIM kartes iegūšanas un pakalpojuma atjaunošanas saskaņā ar pakalpojumu sniedzēja T-Mobile norādījumiem.
T-Mobile bija iepriekš iesūdzēja tiesā sim maiņas upuris 2021. gada februārī pēc Bitcoin zādzības aptuveni 450,000 XNUMX $ vērtībā (BTC).
Coinbase noliedza jebkādu atbildību par Fergusona konta uzlaušanu, e-pastā viņam norādot, ka viņš ir "atbildīgs par jūsu e-pasta, jūsu paroļu, 2FA kodu un ierīču drošību".
Saistītie: Hakeris atgriež nozagtos līdzekļus vietnei Tender.fi un saņem 97 XNUMX $ atlīdzību
Kriptokopienas locekļi parasti šaubījās, vai Fergusona prāva būs veiksmīga, norādot, ka Coinbase mudina izmantot autentifikācijas lietotnes 2FA, nevis SMS un apraksta pēdējais kā “vismaz drošākais” autentifikācijas veids.
Es domāju, ka viņa parole tika apdraudēta, jo tā tika izmantota citās vietnēs, no kurām viena tika uzlauzta. Turklāt Coinbase mudina lietotni Autentifikators 2FA, atzīmējot to kā “drošu” un īsziņu kā “vidēji drošu”.
— Deivs Fergusons (@_sc0rn) Marts 7, 2023
Daži Reddit lietotāji, apspriežot tiesvedību ziņojumā ar nosaukumu “Nekad neizmantojiet SMS 2FA”, bija tik tālu, ka ierosināja, ka SMS 2FA vajadzētu būt aizliegts, taču atzīmēja, ka tā bija vienīgā autentifikācijas iespēja, kas pieejama daudziem pakalpojumiem, kā teica viens lietotājs:
“Diemžēl daudzi pakalpojumi, kurus izmantoju, vēl nepiedāvā Authenticator 2FA. Bet es noteikti domāju, ka SMS pieeja ir izrādījusies nedroša, un tā ir jāaizliedz.
Blockchain drošības firma CertiK brīdināja par SMS lietošanas briesmas 2FA 2022. gada septembrī, un tās drošības eksperts Džesijs Leklers intervijā Cointelegraph teica, ka “SMS 2FA ir labāks par neko, taču tā ir visneaizsargātākā pašlaik izmantotā 2FA forma”.
Leclere teica, ka īpašas autentifikācijas lietotnes, piemēram, Google Authenticator vai Duo, piedāvā gandrīz visas SMS 2FA izmantošanas ērtības, vienlaikus novēršot sim apmaiņas risku.
Reddit lietotāji dalījās līdzīgiem padomiem, taču tālruņos pievienotās autentifikācijas lietotnes arī padara šo ierīci par vienu kļūmes punktu un ieteica izmantot atsevišķas aparatūras autentifikācijas ierīces.
Avots: https://cointelegraph.com/news/debate-over-2fa-using-sms-after-sim-swapping-victim-sues-coinbase