Kripto zajednica raspravlja o tome treba li ikada koristiti SMS dvofaktornu autentifikaciju (2FA) za sigurnost računa nakon vijesti da Coinbase kupac tuži mjenjačnicu kriptovaluta za 96,000 dolara.
Dana 6. marta Jared Ferguson je podnio a tužba protiv Coinbasea u Okružnom sudu Sjedinjenih Država za Sjeverni okrug Kalifornije, tvrdeći da je izgubio "90% svoje životne ušteđevine" nakon što su kradljivci identiteta podigli sredstva s njegovog računa i Coinbase je odbio da mu nadoknadi.
Za Fergusona se kaže da je postao žrtvom vrste krađe identiteta poznatog kao "sim-zamjena", koja omogućava prevarantima da steknu kontrolu nad telefonskim brojem tako što prevari telekom provajdera da taj broj poveže sa vlastitom SIM karticom.
To im omogućava da zaobiđu bilo koji SMS 2FA na nalogu, iu ovoj situaciji im je navodno omogućilo da potvrde povlačenje 96,000 dolara sa Fergusonovog Coinbase računa.
Ferguson je tvrdio da je izgubio uslugu nakon što mu je telefon hakiran 9. maja, i primijetio je da su sredstva uzeta sa njegovog Coinbase računa nakon što je dobio novu SIM karticu i vratio uslugu prema uputama njegovog provajdera T-Mobilea.
T-Mobile je ranije bio tužila žrtva zamjene sim-a februara 2021., nakon krađe bitkoina u vrijednosti od približno 450,000 dolara (BTC).
Coinbase je negirao bilo kakvu odgovornost za hakiranje Fergusonovog računa, rekavši mu u e-poruci da je “odgovoran za sigurnost vaše e-pošte, vaših lozinki, vaših 2FA kodova i vaših uređaja”.
Povezano: Haker vraća ukradena sredstva Tender.fi, dobija nagradu od 97 hiljada dolara
Članovi kripto zajednice su općenito sumnjali da će Fergusonova tužba biti uspješna, napominjući da Coinbase ohrabruje korištenje aplikacija za autentifikaciju za 2FA umjesto SMS-a i opisuje ovo drugo kao "najmanje siguran" oblik autentifikacije.
Pretpostavljam da je njegova lozinka kompromitovana jer je korištena na drugim stranicama, od kojih je jedna provaljena. Također, Coinbase ohrabruje aplikaciju Authenticator za 2FA označavajući je kao "sigurnu" i SMS kao "umjereno sigurnu".
— Dave Ferguson (@_sc0rn) Mart 7, 2023
Neki korisnici Reddita koji su raspravljali o tužbi u postu pod naslovom "Nikad ne koristi SMS 2FA" otišli su toliko daleko da sugerirali da bi SMS 2FA trebao biti zabranjena, ali je napomenuo da je to bila jedina opcija autentifikacije dostupna za mnoge usluge, kao što je jedan korisnik rekao:
“Nažalost, mnoge usluge koje koristim još uvijek ne nude Authenticator 2FA. Ali definitivno mislim da se SMS pristup pokazao nesigurnim i da ga treba zabraniti.”
Blockchain sigurnosna firma CertiK upozorila je na opasnosti upotrebe SMS-a 2FA u septembru 2022., sa svojim stručnjakom za sigurnost Jesse Leclereom koji je rekao Cointelegraphu u intervjuu da je “SMS 2FA bolji od ničega, ali je najranjiviji oblik 2FA koji se trenutno koristi.”
Leclere je rekao da namjenske aplikacije za autentifikaciju poput Google Authenticator ili Duo nude gotovo svu pogodnost korištenja SMS 2FA, a istovremeno uklanjaju rizik od zamjene sim-a.
Korisnici Reddita dijelili su slične savjete, ali dodane aplikacije za autentifikaciju na telefonima također čine taj uređaj jedinstvenom točkom kvara i preporučuju korištenje odvojenih uređaja za autentifikaciju hardvera.
Izvor: https://cointelegraph.com/news/debate-over-2fa-using-sms-after-sim-swapping-victim-sues-coinbase