Społeczność kryptograficzna debatuje, czy uwierzytelnianie dwuskładnikowe SMS (2FA) powinno być kiedykolwiek używane do zabezpieczenia konta po wiadomościach, że klient Coinbase pozywa giełdę kryptowalut o 96,000 XNUMX USD.
6 marca Jared Ferguson złożył wniosek proces sądowy przeciwko Coinbase w Sądzie Okręgowym Stanów Zjednoczonych dla Północnego Dystryktu Kalifornii, twierdząc, że stracił „90% oszczędności całego życia” po tym, jak środki zostały wycofane z jego konta przez złodziei tożsamości, a Coinbase odmówił mu zwrotu pieniędzy.
Mówi się, że Ferguson padł ofiarą kradzieży tożsamości znanej jako „zamiana karty SIM”, która umożliwia oszustom przejęcie kontroli nad numerem telefonu poprzez nakłonienie operatora telekomunikacyjnego do powiązania numeru z własną kartą SIM.
Pozwala im to ominąć wszelkie SMS-y 2FA na koncie, aw tej sytuacji rzekomo pozwoliło im potwierdzić wypłatę 96,000 XNUMX USD z konta Coinbase firmy Ferguson.
Ferguson twierdził, że stracił usługę po tym, jak jego telefon został zhakowany 9 maja i zauważył, że środki zostały pobrane z jego konta Coinbase po otrzymaniu nowej karty SIM i przywróceniu usługi zgodnie z instrukcjami jego dostawcy usług T-Mobile.
Wcześniej był T-Mobile pozwany przez ofiarę wymiany karty SIM w lutym 2021 r., po kradzieży bitcoinów o wartości około 450,000 XNUMX USD (BTC).
Coinbase zaprzeczył jakiejkolwiek odpowiedzialności za włamanie na konto Fergusona, informując go w e-mailu, że jest „odpowiedzialny za bezpieczeństwo poczty e-mail, haseł, kodów 2FA i urządzeń”.
Związane z: Haker zwraca skradzione fundusze do Tender.fi i otrzymuje nagrodę bounty w wysokości 97 XNUMX $
Członkowie społeczności kryptograficznej generalnie wątpili, czy pozew Fergusona zakończy się sukcesem, zauważając, że Coinbase zachęca do korzystania z aplikacji uwierzytelniających dla 2FA zamiast SMS-ów i opisuje ta ostatnia jako „najmniej bezpieczna” forma uwierzytelnienia.
Zgaduję, że jego hasło zostało naruszone, ponieważ było używane na innych stronach, z których jedna została naruszona. Ponadto Coinbase zachęca do aplikacji Authenticator dla 2FA, oznaczając ją jako „bezpieczną”, a SMS-y jako „umiarkowanie bezpieczne”.
— Dave Ferguson (@_sc0rn) 7 marca 2023 r.
Niektórzy użytkownicy Reddit omawiający pozew w poście zatytułowanym „Nigdy nie używaj SMS 2FA” posunęli się nawet do sugestii, że SMS 2FA powinien być zakazany, ale zauważył, że była to jedyna opcja uwierzytelniania dostępna dla wielu usług, jak powiedział jeden z użytkowników:
„Niestety wiele usług, z których korzystam, nie oferuje jeszcze Authenticator 2FA. Ale zdecydowanie uważam, że podejście SMS okazało się niebezpieczne i powinno zostać zakazane”.
CertiK, firma zajmująca się bezpieczeństwem Blockchain, ostrzegła przed zagrożenia związane z korzystaniem z SMS-ów 2FA we wrześniu 2022 r., a jej ekspert ds. bezpieczeństwa Jesse Leclere powiedział Cointelegraph w wywiadzie, że „SMS 2FA jest lepszy niż nic, ale jest to obecnie najbardziej podatna na ataki forma 2FA”.
Leclere powiedział, że dedykowane aplikacje uwierzytelniające, takie jak Google Authenticator lub Duo, oferują prawie całą wygodę korzystania z SMS 2FA, jednocześnie eliminując ryzyko wymiany karty SIM.
Użytkownicy Reddit podzielili się podobnymi radami, ale dodali aplikacje uwierzytelniające na telefonach, co również powoduje, że to urządzenie jest pojedynczym punktem awarii i zalecili użycie oddzielnych sprzętowych urządzeń uwierzytelniających.
Źródło: https://cointelegraph.com/news/debate-over-2fa-using-sms-after-sim-swapping-victim-sues-coinbase