Krypto-fellesskapet diskuterer om SMS-tofaktorautentisering (2FA) noen gang skal brukes for kontosikkerhet etter nyheter om at en Coinbase-kunde saksøker kryptovalutabørsen for $96,000 XNUMX.
Den 6. mars sendte Jared Ferguson inn en Søksmålet mot Coinbase i United States District Court for Northern District of California, og hevdet at han mistet "90% av sparepengene sine" etter at midler ble trukket fra kontoen hans av identitetstyver og Coinbase hadde nektet å refundere ham.
Ferguson sies å ha blitt offer for en type identitetstyveri kjent som «sim-swapping», som lar svindlere få kontroll over et telefonnummer ved å lure telekomleverandøren til å koble nummeret til sitt eget sim-kort.
Dette lar dem omgå enhver SMS 2FA på en konto, og i denne situasjonen tillot dem angivelig å bekrefte uttaket på $96,000 XNUMX fra Fergusons Coinbase-konto.
Ferguson hevdet at han mistet tjenesten etter at telefonen hans ble hacket 9. mai, og la merke til at pengene hadde blitt tatt fra Coinbase-kontoen hans etter å ha fått et nytt sim-kort og gjenopprettet tjenesten i henhold til instruksjoner fra tjenesteleverandøren hans T-Mobile.
T-Mobile var tidligere saksøkt av et sim-bytteoffer i februar 2021, etter tyveri av Bitcoin verdt omtrent $450,000 XNUMX (BTC).
Coinbase nektet ethvert ansvar for hacket av Fergusons konto, og fortalte ham i en e-post at han er "ansvarlig for sikkerheten til e-posten din, passordene dine, 2FA-kodene dine og enhetene dine."
Relatert: Hacker returnerer stjålne midler til Tender.fi, får en dusørbelønning på $97
Medlemmer av kryptosamfunnet var generelt i tvil om at Fergusons søksmål ville bli vellykket, og la merke til at Coinbase oppfordrer til bruk av autentiseringsapper for 2FA i stedet for SMS og beskriver sistnevnte som den "minst sikre" formen for autentisering.
Jeg tipper passordet hans ble kompromittert fordi det ble brukt på andre nettsteder, hvorav ett ble brutt. Dessuten oppfordrer Coinbase Authenticator-appen for 2FA ved å merke den "sikker" og SMS som "moderat sikker".
— Dave Ferguson (@_sc0rn) Mars 7, 2023
Noen Reddit-brukere som diskuterte søksmålet i et innlegg med tittelen "Bruk aldri SMS 2FA" gikk så langt som å foreslå at SMS 2FA burde være utestengt, men bemerket at det var det eneste autentiseringsalternativet tilgjengelig for mange tjenester, som en bruker sa:
"Dessverre tilbyr mange tjenester jeg bruker ikke Authenticator 2FA ennå. Men jeg tror definitivt at SMS-tilnærmingen har vist seg å være utrygg og bør forbys.»
Blockchain-sikkerhetsfirmaet CertiK advarte om farene ved bruk av SMS 2FA i september 2022, med sikkerhetseksperten Jesse Leclere som sa til Cointelegraph i et intervju at "SMS 2FA er bedre enn ingenting, men det er den mest sårbare formen for 2FA som er i bruk for tiden."
Leclere sa at dedikerte autentiseringsapper som Google Authenticator eller Duo tilbyr nesten all bekvemmeligheten ved å bruke SMS 2FA samtidig som de fjerner risikoen for sim-bytte.
Reddit-brukere delte lignende råd, men lagt til autentiseringsapper på telefoner gjør også den enheten til et enkelt feilpunkt og anbefalte bruk av separate maskinvareautentiseringsenheter.
Kilde: https://cointelegraph.com/news/debate-over-2fa-using-sms-after-sim-swapping-victim-sues-coinbase