Крипто общността обсъжда дали SMS двуфакторното удостоверяване (2FA) трябва някога да се използва за сигурност на акаунта след новината, че клиент на Coinbase съди борсата за криптовалута за $96,000 XNUMX.
На 6 март Джаред Фъргюсън подаде а съдебен процес срещу Coinbase в Окръжния съд на Съединените щати за Северния окръг на Калифорния, твърдейки, че е загубил „90% от спестяванията си“, след като средствата са били изтеглени от сметката му от крадци на самоличност и Coinbase е отказала да му възстанови сумата.
Твърди се, че Фъргюсън е станал жертва на вид кражба на самоличност, известна като „размяна на SIM карта“, която позволява на измамниците да получат контрол над телефонен номер, като подмамят телекомуникационния доставчик да свърже номера със собствената си SIM карта.
Това им позволява да заобиколят всеки SMS 2FA на акаунт и в тази ситуация се твърди, че им е позволило да потвърдят тегленето на $96,000 XNUMX от акаунта на Ferguson в Coinbase.
Фъргюсън твърди, че е загубил услугата, след като телефонът му е бил хакнат на 9 май, и е забелязал, че средствата са били взети от акаунта му в Coinbase, след като е получил нова SIM карта и е възстановил услугата си според инструкциите от своя доставчик на услуги T-Mobile.
T-Mobile беше преди съден от жертва на смяна на SIM през февруари 2021 г., след кражбата на биткойни на стойност около $450,000 XNUMX (BTC).
Coinbase отхвърли всякаква отговорност за хакването на акаунта на Фъргюсън, като му каза в имейл, че той е „отговорен за сигурността на вашата електронна поща, вашите пароли, вашите 2FA кодове и вашите устройства“.
Свързани: Хакерът връща откраднатите средства на Tender.fi, получава награда от $97K
Членовете на крипто общността като цяло се съмняваха, че делото на Фъргюсън ще бъде успешно, отбелязвайки, че Coinbase насърчава използването на приложения за удостоверяване за 2FA, а не за SMS и описва последното като „най-малко сигурната“ форма на удостоверяване.
Предполагам, че паролата му е била компрометирана, защото е била използвана на други сайтове, един от които е бил пробит. Освен това Coinbase насърчава приложението Authenticator за 2FA, като го обозначава като „сигурно“, а SMS като „умерено защитено“.
— Дейв Фъргюсън (@_sc0rn) Март 7, 2023
Някои потребители на Reddit, обсъждащи делото в публикация, озаглавена „Никога не използвайте SMS 2FA“, стигнаха до там, че да предложат SMS 2FA да бъде забранени, но отбеляза, че това е единствената налична опция за удостоверяване за много услуги, както каза един потребител:
„За съжаление много услуги, които използвам, все още не предлагат Authenticator 2FA. Но определено смятам, че SMS подходът се оказа несигурен и трябва да бъде забранен.
Фирмата за сигурност на блокчейн CertiK предупреди за опасности от използването на SMS 2FA през септември 2022 г., като неговият експерт по сигурността Джеси Леклер каза на Cointelegraph в интервю, че „SMS 2FA е по-добре от нищо, но е най-уязвимата форма на 2FA, която се използва в момента“.
Leclere каза, че специални приложения за удостоверяване като Google Authenticator или Duo предлагат почти цялото удобство на използването на SMS 2FA, като същевременно премахват риска от смяна на SIM.
Потребителите на Reddit споделиха подобен съвет, но добавените приложения за удостоверяване на телефони също правят това устройство единична точка на повреда и препоръчват използването на отделни устройства за хардуерно удостоверяване.
Източник: https://cointelegraph.com/news/debate-over-2fa-using-sms-after-sim-swapping-victim-sues-coinbase