Comunitatea cripto dezbate dacă autentificarea cu doi factori prin SMS (2FA) ar trebui vreodată să fie utilizată pentru securitatea contului, după știrea că un client Coinbase dă în judecată schimbul de criptomonede pentru 96,000 USD.
Pe 6 martie, Jared Ferguson a depus a proces împotriva Coinbase la Tribunalul Districtual al Statelor Unite pentru Districtul de Nord al Californiei, susținând că a pierdut „90% din economiile sale” după ce fondurile i-au fost retrase din cont de hoții de identitate și Coinbase a refuzat să-i ramburseze.
Se spune că Ferguson a căzut pradă unui tip de furt de identitate cunoscut sub numele de „schimbare de sim”, care permite fraudătorilor să obțină controlul asupra unui număr de telefon, păcălind furnizorul de telecomunicații să conecteze numărul la propria cartelă SIM.
Acest lucru le permite să ocolească orice SMS 2FA dintr-un cont și, în această situație, le-ar fi permis să confirme retragerea a 96,000 USD din contul Coinbase al lui Ferguson.
Ferguson a susținut că a pierdut serviciul după ce telefonul i-a fost spart pe 9 mai și a observat că fondurile au fost preluate din contul său Coinbase după ce a obținut o nouă cartelă SIM și și-a restabilit serviciul conform instrucțiunilor furnizorului său de servicii T-Mobile.
T-Mobile a fost anterior dat în judecată de o victimă a schimbului de sim în februarie 2021, în urma furtului de Bitcoin în valoare de aproximativ 450,000 USD (BTC).
Coinbase a negat orice responsabilitate pentru piratarea contului lui Ferguson, spunându-i într-un e-mail că el este „responsabil pentru securitatea e-mailului, a parolelor, a codurilor tale 2FA și a dispozitivelor tale”.
Related: Hackerul returnează fondurile furate către Tender.fi și primește recompensă de 97 USD
Membrii comunității cripto au fost în general îndoieli că procesul lui Ferguson va avea succes, observând că Coinbase încurajează utilizarea aplicațiilor de autentificare pentru 2FA, mai degrabă decât SMS-uri și descrie aceasta din urmă ca formă de autentificare „cel mai puțin sigură”.
Bănuiesc că parola lui a fost compromisă pentru că a fost folosită pe alte site-uri, dintre care unul a fost încălcat. De asemenea, Coinbase încurajează aplicația Authenticator pentru 2FA etichetând-o „securizat” și SMS-ul ca „moderat sigur”.
— Dave Ferguson (@_sc0rn) Martie 7, 2023
Unii utilizatori Reddit care discutau despre procesul într-o postare intitulată „Nu utilizați niciodată SMS 2FA” au sugerat că SMS-ul 2FA ar trebui să fie interzis, dar a remarcat că este singura opțiune de autentificare disponibilă pentru multe servicii, așa cum a spus un utilizator:
„Din păcate, multe servicii pe care le folosesc nu oferă încă Authenticator 2FA. Dar cu siguranță cred că abordarea prin SMS sa dovedit a fi nesigură și ar trebui interzisă.”
Firma de securitate Blockchain CertiK a avertizat despre pericolele utilizării SMS-urilor 2FA în septembrie 2022, cu expertul în securitate Jesse Leclere spunând lui Cointelegraph într-un interviu că „SMS 2FA este mai bine decât nimic, dar este cea mai vulnerabilă formă de 2FA utilizată în prezent”.
Leclere a spus că aplicațiile de autentificare dedicate, cum ar fi Google Authenticator sau Duo, oferă aproape toată comoditatea utilizării SMS 2FA, eliminând în același timp riscul schimbului de SIM.
Utilizatorii Reddit au împărtășit sfaturi similare, dar aplicațiile de autentificare adăugate pe telefoane fac, de asemenea, din acel dispozitiv un singur punct de defecțiune și au recomandat utilizarea unor dispozitive de autentificare hardware separate.
Sursa: https://cointelegraph.com/news/debate-over-2fa-using-sms-after-sim-swapping-victim-sues-coinbase