Kripto zajednica raspravlja o tome treba li se ikada koristiti SMS dvofaktorska autentifikacija (2FA) za sigurnost računa nakon vijesti da korisnik Coinbasea tuži mjenjačnicu kriptovaluta za 96,000 dolara.
Dana 6. ožujka Jared Ferguson podnio je zahtjev parnica protiv Coinbasea na Okružnom sudu Sjedinjenih Država za Sjeverni okrug Kalifornije, tvrdeći da je izgubio "90% svoje životne ušteđevine" nakon što su kradljivci identiteta povukli sredstva s njegovog računa, a Coinbase mu je odbio nadoknaditi troškove.
Rečeno je da je Ferguson postao žrtva vrste krađe identiteta poznate kao "zamjena SIM kartice", koja omogućuje prevarantima da steknu kontrolu nad telefonskim brojem prevarom davatelja telekomunikacijskih usluga da poveže broj s njihovom vlastitom SIM karticom.
To im omogućuje da zaobiđu bilo koji SMS 2FA na računu, au ovoj situaciji im je navodno omogućilo da potvrde povlačenje 96,000 dolara s Fergusonovog Coinbase računa.
Ferguson je tvrdio da je izgubio uslugu nakon što mu je telefon hakiran 9. svibnja, te je primijetio da su sredstva uzeta s njegovog Coinbase računa nakon što je dobio novu SIM karticu i vratio svoju uslugu prema uputama svog pružatelja usluga T-Mobilea.
T-Mobile je prethodno bio tužila ga je žrtva zamjene sim-a u veljači 2021., nakon krađe Bitcoina vrijednog približno 450,000 USD (BTC).
Coinbase je odbacio bilo kakvu odgovornost za hakiranje Fergusonova računa, rekavši mu u e-poruci da je on “odgovoran za sigurnost vaše e-pošte, vaših lozinki, vaših 2FA kodova i vaših uređaja”.
Povezano: Haker vraća ukradena sredstva na Tender.fi, dobiva nagradu od 97 tisuća dolara
Članovi kripto zajednice općenito su sumnjali da će Fergusonova tužba biti uspješna, napominjući da Coinbase potiče korištenje aplikacija za autentifikaciju za 2FA umjesto SMS-a i opisuje potonji kao "najmanje siguran" oblik autentifikacije.
Pretpostavljam da je njegova zaporka bila ugrožena jer je korištena na drugim stranicama, od kojih je jedna probijena. Također, Coinbase potiče aplikaciju Authenticator za 2FA označavajući je "sigurnom", a SMS kao "umjereno sigurnom".
— Dave Ferguson (@_sc0rn) Ožujak 7, 2023
Neki korisnici Reddita koji su raspravljali o tužbi u objavi pod naslovom "Nikada ne koristite SMS 2FA" otišli su toliko daleko da su sugerirali da bi SMS 2FA trebao biti zabranjen, ali je primijetio da je to jedina opcija provjere autentičnosti dostupna za mnoge usluge, kao što je jedan korisnik rekao:
“Nažalost, mnoge usluge koje koristim još ne nude Autentifikator 2FA. Ali definitivno mislim da se SMS pristup pokazao nesigurnim i da bi ga trebalo zabraniti.”
Sigurnosna tvrtka za blockchain CertiK upozorila je na opasnosti korištenja SMS-a 2FA u rujnu 2022., a njegov stručnjak za sigurnost Jesse Leclere rekao je za Cointelegraph u intervjuu da je "SMS 2FA bolji nego ništa, ali je najranjiviji oblik 2FA koji se trenutno koristi."
Leclere je rekao da namjenske aplikacije za autentifikaciju kao što su Google Authenticator ili Duo nude gotovo svu pogodnost korištenja SMS 2FA dok istovremeno uklanjaju rizik od zamjene SIM kartice.
Korisnici Reddita dijelili su slične savjete, ali dodane aplikacije za autentifikaciju na telefonima također čine taj uređaj jedinstvenom točkom kvara i preporučuju upotrebu zasebnih hardverskih uređaja za autentifikaciju.
Izvor: https://cointelegraph.com/news/debate-over-2fa-using-sms-after-sim-swapping-victim-sues-coinbase