Крипто заедницата дебатира дали СМС двофакторната автентикација (2FA) некогаш треба да се користи за безбедност на сметката по веста дека клиент на Coinbase ја тужи берзата за криптовалути за 96,000 долари.
На 6 март Џаред Фергусон поднесе а тужба против Coinbase во Окружниот суд на Соединетите Американски Држави за Северната област на Калифорнија, тврдејќи дека изгубил „90% од неговата животна заштеда“ откако средствата биле повлечени од неговата сметка од страна на крадци на идентитет и Coinbase одбил да му ги надомести трошоците.
Се вели дека Фергусон станал плен на еден вид кражба на идентитет познат како „замена на симнување“, што им овозможува на измамниците да добијат контрола над телефонскиот број со измамување на телекомуникацискиот провајдер да го поврзе бројот со сопствената СИМ-картичка.
Ова им овозможува да ја заобиколат секоја СМС 2FA на сметката и во оваа ситуација наводно им дозволиле да потврдат повлекување на 96,000 долари од сметката на Фергусон во Coinbase.
Фергусон тврдеше дека ја изгубил услугата откако неговиот телефон бил хакиран на 9 мај и забележал дека средствата биле земени од неговата сметка на Coinbase откако добил нова SIM-картичка и ја вратил услугата според упатствата од неговиот давател на услуги T-Mobile.
T-Mobile беше претходно тужена од жртва на размена на симпатична картичка во февруари 2021 година, по кражбата на биткоин во вредност од приближно 450,000 долари (БТК).
Coinbase негираше каква било одговорност за хакирањето на сметката на Фергусон, велејќи му во е-пошта дека тој е „одговорен за безбедноста на вашата е-пошта, вашите лозинки, вашите 2FA кодови и вашите уреди“.
Поврзани со: Хакер ги враќа украдените средства на Tender.fi и добива награда од 97 илјади долари
Членовите на крипто заедницата генерално се сомневаа дека тужбата на Фергусон ќе биде успешна, истакнувајќи дека Coinbase охрабрува употреба на апликации за автентикатори за 2FA наместо за СМС и опишува второто како „најмалку безбедна“ форма на автентикација.
Претпоставувам дека неговата лозинка е компромитирана затоа што се користела на други сајтови, од кои едната била пробиена. Исто така, Coinbase ја охрабрува апликацијата Authenticator за 2FA означувајќи ја како „безбедна“ и SMS како „умерено безбедна“.
- Дејв Фергусон (@_sc0rn) Март 7, 2023
Некои корисници на Reddit кои разговараа за тужбата во објавата со наслов „Никогаш не користете SMS 2FA“ отидоа дотаму што сугерираа дека SMS 2FA треба да биде забрането, но забележа дека тоа е единствената опција за автентикација достапна за многу услуги, како што рече еден корисник:
„За жал, многу услуги што ги користам сè уште не нудат Authenticator 2FA. Но, дефинитивно мислам дека пристапот на СМС се покажа како небезбеден и треба да се забрани“.
Безбедносната фирма за блокчејн CertiK предупреди на опасности од користење на СМС 2FA во септември 2022 година, со неговиот експерт за безбедност Џеси Леклер во интервју за Cointelegraph дека „SMS 2FA е подобро од ништо, но тоа е најранливата форма на 2FA што моментално се користи“.
Леклер рече дека посветените апликации за автентикатори како Google Authenticator или Duo ја нудат речиси целата погодност за користење на SMS 2FA додека го отстрануваат ризикот од замена на SIM.
Корисниците на Reddit споделија слични совети, но додадените апликации за автентикатор на телефоните, исто така, го прават тој уред единствена точка на неуспех и препорачаа употреба на посебни хардверски уреди за автентикација.
Извор: https://cointelegraph.com/news/debate-over-2fa-using-sms-after-sim-swapping-victim-sues-coinbase