Крыптасупольнасць абмяркоўвае, ці варта калі-небудзь выкарыстоўваць двухфактарную аўтэнтыфікацыю SMS (2FA) для бяспекі ўліковага запісу пасля паведамлення аб тым, што кліент Coinbase судзіцца з біржай криптовалют за 96,000 XNUMX долараў.
6 сакавіка Джарэд Фергюсан падаў заяву пазоў супраць Coinbase у акруговым судзе ЗША Паўночнай акругі Каліфорніі, сцвярджаючы, што ён страціў «90% сваіх зберажэнняў» пасля таго, як сродкі былі зняты з яго рахунку злодзеямі асабістых дадзеных, а Coinbase адмовілася кампенсаваць яму выдаткі.
Кажуць, што Фергюсан стаў ахвярай тыпу крадзяжу ідэнтыфікацыйных дадзеных, вядомага як «сім-свапінг», які дазваляе ашуканцам атрымаць кантроль над нумарам тэлефона, прымусіўшы правайдэра сувязі звязаць нумар з іх уласнай сім-картай.
Гэта дазваляе ім абысці любое SMS 2FA на ўліковым запісе і ў гэтай сітуацыі нібыта дазволіла ім пацвердзіць зняцце 96,000 XNUMX долараў з акаўнта Фергюсана ў Coinbase.
Фергюсан сцвярджаў, што страціў абслугоўванне пасля таго, як яго тэлефон быў узламаны 9 мая, і заўважыў, што сродкі былі зняты з яго ўліковага запісу Coinbase пасля атрымання новай сім-карты і аднаўлення абслугоўвання ў адпаведнасці з інструкцыямі ад пастаўшчыка паслуг T-Mobile.
T-Mobile быў раней пададзены ў суд ахвярай замены сім-карты у лютым 2021 года пасля крадзяжу біткойнаў на суму каля 450,000 XNUMX долараў (BTC).
Coinbase адмаўляе любую адказнасць за ўзлом уліковага запісу Фергюсана, паведамляючы яму ў электронным лісце, што ён «нясе адказнасць за бяспеку вашай электроннай пошты, вашых пароляў, вашых кодаў 2FA і вашых прылад».
Па тэме: Хакер вяртае скрадзеныя сродкі на Tender.fi і атрымлівае ўзнагароду ў памеры 97 тысяч долараў
Члены крыптасупольнасці ў цэлым сумняваліся, што пазоў Фергюсана будзе паспяховым, адзначаючы, што Coinbase заахвочвае выкарыстанне праграм аўтэнтыфікацыі для 2FA, а не SMS і апісвае апошнюю як «найменш бяспечную» форму аўтэнтыфікацыі.
Я мяркую, што яго пароль быў узламаны, таму што ён выкарыстоўваўся на іншых сайтах, адзін з якіх быў узламаны. Акрамя таго, Coinbase заахвочвае прыкладанне Authenticator для 2FA, пазначаючы яго як "бяспечнае", а SMS - як "умерана бяспечнае".
— Дэйв Фергюсан (@_sc0rn) Сакавік 7, 2023
Некаль забаронены, але адзначыў, што гэта адзіны варыянт аўтэнтыфікацыі, даступны для многіх сэрвісаў, як сказаў адзін карыстальнік:
«На жаль, многія сэрвісы, якімі я карыстаюся, пакуль не прапануюць Authenticator 2FA. Але я вызначана лічу, што падыход SMS апынуўся небяспечным і павінен быць забаронены».
Фірма бяспекі блокчейна CertiK папярэдзіла аб небяспекі выкарыстання SMS 2FA у верасні 2022 г., і яе эксперт па бяспецы Джэсі Леклер сказаў у інтэрв'ю Cointelegraph, што «SMS 2FA лепш, чым нічога, але гэта самая ўразлівая форма 2FA, якая выкарыстоўваецца ў цяперашні час».
Леклер сказаў, што спецыяльныя праграмы аўтэнтыфікацыі, такія як Google Authenticator або Duo, забяспечваюць практычна ўсе зручнасці выкарыстання SMS 2FA, пазбаўляючы ад гэтага рызыкі замены сім-карты.
Карыстальнікі Reddit падзяліліся падобнымі парадамі, але дададзеныя праграмы аўтэнтыфікацыі на тэлефонах таксама робяць гэтую прыладу адзінай кропкай адмовы і рэкамендуюць выкарыстоўваць асобныя апаратныя прылады аўтэнтыфікацыі.
Крыніца: https://cointelegraph.com/news/debate-over-2fa-using-sms-after-sim-swapping-victim-sues-coinbase