Η κοινότητα κρυπτογράφησης συζητά εάν ο έλεγχος ταυτότητας δύο παραγόντων SMS (2FA) θα πρέπει ποτέ να χρησιμοποιηθεί για την ασφάλεια του λογαριασμού μετά την είδηση ότι ένας πελάτης του Coinbase μηνύει το ανταλλακτήριο κρυπτονομισμάτων για 96,000 $.
Στις 6 Μαρτίου ο Jared Ferguson υπέβαλε ένα αγωγή εναντίον του Coinbase στο Επαρχιακό Δικαστήριο των Ηνωμένων Πολιτειών για τη Βόρεια Περιφέρεια της Καλιφόρνια, ισχυριζόμενος ότι έχασε το "90% των αποταμιεύσεών του" αφού τα κεφάλαια αποσύρθηκαν από τον λογαριασμό του από κλέφτες ταυτότητας και η Coinbase είχε αρνηθεί να του επιστρέψει τα χρήματα.
Ο Φέργκιουσον λέγεται ότι έπεσε θύμα ενός τύπου κλοπής ταυτότητας γνωστό ως «ανταλλαγή sim», το οποίο επιτρέπει στους απατεώνες να αποκτήσουν τον έλεγχο ενός αριθμού τηλεφώνου εξαπατώντας τον πάροχο τηλεπικοινωνιών να συνδέσει τον αριθμό με τη δική τους κάρτα sim.
Αυτό τους επιτρέπει να παρακάμψουν οποιοδήποτε SMS 2FA σε έναν λογαριασμό και σε αυτήν την κατάσταση φέρεται να τους επέτρεψε να επιβεβαιώσουν την ανάληψη 96,000 $ από τον λογαριασμό Coinbase του Ferguson.
Ο Φέργκιουσον ισχυρίστηκε ότι έχασε την υπηρεσία μετά την παραβίαση του τηλεφώνου του στις 9 Μαΐου και παρατήρησε ότι τα χρήματα είχαν αφαιρεθεί από τον λογαριασμό του στο Coinbase αφού έλαβε μια νέα κάρτα sim και αποκατέστησε την υπηρεσία του σύμφωνα με τις οδηγίες από τον πάροχο υπηρεσιών του T-Mobile.
Η T-Mobile ήταν παλαιότερα μήνυσε ένα θύμα ανταλλαγής sim τον Φεβ. 2021, μετά την κλοπή Bitcoin αξίας περίπου 450,000 $ (BTC).
Η Coinbase αρνήθηκε οποιαδήποτε ευθύνη για την παραβίαση του λογαριασμού του Φέργκιουσον, λέγοντάς του σε ένα email ότι «είναι υπεύθυνος για την ασφάλεια του e-mail σας, των κωδικών πρόσβασής σας, των κωδικών 2FA και των συσκευών σας».
Συγγενεύων: Ο χάκερ επιστρέφει κλεμμένα κεφάλαια στο Tender.fi, λαμβάνει επιβράβευση 97 $
Τα μέλη της κοινότητας κρυπτογράφησης ήταν γενικά αμφίβολα για την επιτυχία της αγωγής του Ferguson, σημειώνοντας ότι το Coinbase ενθαρρύνει τη χρήση εφαρμογών ελέγχου ταυτότητας για 2FA αντί για SMS και περιγράφει το τελευταίο ως η «λιγότερο ασφαλής» μορφή ελέγχου ταυτότητας.
Υποθέτω ότι ο κωδικός του παραβιάστηκε επειδή χρησιμοποιήθηκε σε άλλους ιστότοπους, ένας από τους οποίους παραβιάστηκε. Επίσης, το Coinbase ενθαρρύνει την εφαρμογή Authenticator για 2FA χαρακτηρίζοντάς την "ασφαλή" και τα SMS ως "μέτρια ασφαλή".
— Ντέιβ Φέργκιουσον (@_sc0rn) Μαρτίου 7, 2023
Ορισμένοι χρήστες του Reddit που συζητούν την αγωγή σε μια ανάρτηση με τίτλο «Μην χρησιμοποιείτε ποτέ SMS 2FA» έφτασαν στο σημείο να προτείνουν το SMS 2FA απαγορευθεί, αλλά σημείωσε ότι ήταν η μόνη διαθέσιμη επιλογή ελέγχου ταυτότητας για πολλές υπηρεσίες, όπως είπε ένας χρήστης:
«Δυστυχώς πολλές υπηρεσίες που χρησιμοποιώ δεν προσφέρουν ακόμη το Authenticator 2FA. Αλλά σίγουρα πιστεύω ότι η προσέγγιση των SMS έχει αποδειχθεί μη ασφαλής και πρέπει να απαγορευτεί».
Η εταιρεία ασφάλειας blockchain CertiK προειδοποίησε για το κίνδυνοι από τη χρήση SMS 2FA τον Σεπτέμβριο του 2022, με τον ειδικό ασφαλείας Jesse Leclere να λέει στην Cointelegraph σε μια συνέντευξη ότι «το SMS 2FA είναι καλύτερο από το τίποτα, αλλά είναι η πιο ευάλωτη μορφή 2FA που χρησιμοποιείται αυτήν τη στιγμή».
Η Leclere είπε ότι οι αποκλειστικές εφαρμογές ελέγχου ταυτότητας, όπως το Google Authenticator ή το Duo, προσφέρουν σχεδόν όλη την ευκολία χρήσης του SMS 2FA, ενώ εξαλείφουν τον κίνδυνο ανταλλαγής sim.
Οι χρήστες του Reddit μοιράστηκαν παρόμοιες συμβουλές, αλλά οι πρόσθετες εφαρμογές ελέγχου ταυτότητας στα τηλέφωνα καθιστούν επίσης τη συσκευή αυτή ένα μόνο σημείο αποτυχίας και συνέστησαν τη χρήση ξεχωριστών συσκευών ελέγχου ταυτότητας υλικού.
Πηγή: https://cointelegraph.com/news/debate-over-2fa-using-sms-after-sim-swapping-victim-sues-coinbase