Krypto-fællesskabet diskuterer, om SMS-tofaktor-autentificering (2FA) nogensinde skal bruges til kontosikkerhed efter nyheder om, at en Coinbase-kunde sagsøger kryptovalutabørsen for $96,000.
Den 6. marts indgav Jared Ferguson en retssag mod Coinbase i den amerikanske distriktsdomstol for det nordlige distrikt i Californien, og hævdede, at han mistede "90% af sin livsopsparing", efter at midler blev trukket fra hans konto af identitetstyve, og Coinbase havde nægtet at tilbagebetale ham.
Ferguson siges at være blevet ofre for en form for identitetstyveri kendt som "sim-swapping", som gør det muligt for svindlere at få kontrol over et telefonnummer ved at narre teleudbyderen til at knytte nummeret til deres eget sim-kort.
Dette giver dem mulighed for at omgå enhver SMS 2FA på en konto, og i denne situation tillod dem angiveligt at bekræfte tilbagetrækningen på $96,000 fra Fergusons Coinbase-konto.
Ferguson hævdede, at han mistede tjenesten, efter at hans telefon blev hacket den 9. maj, og bemærkede, at pengene var blevet taget fra hans Coinbase-konto efter at have fået et nyt sim-kort og gendannet sin tjeneste i henhold til instruktionerne fra hans tjenesteudbyder T-Mobile.
T-Mobile var tidligere sagsøgt af et sim-bytteoffer i februar 2021 efter tyveri af Bitcoin til en værdi af cirka $450,000 (BTC).
Coinbase nægtede ethvert ansvar for hacket af Fergusons konto og fortalte ham i en e-mail, at han er "ansvarlig for sikkerheden af din e-mail, dine adgangskoder, dine 2FA-koder og dine enheder."
Relateret: Hacker returnerer stjålne penge til Tender.fi, får en dusørbelønning på $97
Medlemmer af kryptofællesskabet var generelt i tvivl om, at Fergusons retssag ville blive vellykket, idet de bemærkede, at Coinbase opfordrer til brugen af autentificeringsapps til 2FA frem for SMS og beskriver sidstnævnte som den "mindst sikre" form for autentificering.
Jeg gætter på, at hans adgangskode blev kompromitteret, fordi den blev brugt på andre websteder, hvoraf den ene blev brudt. Coinbase opfordrer også Authenticator-appen til 2FA ved at mærke den "sikker" og SMS som "moderat sikker".
— Dave Ferguson (@_sc0rn) Marts 7, 2023
Nogle Reddit-brugere, der diskuterede retssagen i et indlæg med titlen "Brug aldrig SMS 2FA", gik så langt som at foreslå, at SMS 2FA skulle være bandlyst, men bemærkede, at det var den eneste godkendelsesmulighed, der var tilgængelig for mange tjenester, som en bruger sagde:
“Desværre tilbyder mange tjenester, jeg bruger, ikke Authenticator 2FA endnu. Men jeg synes bestemt, at SMS-tilgangen har vist sig at være usikker og bør forbydes.”
Blockchain-sikkerhedsfirmaet CertiK advarede om farer ved at bruge SMS 2FA i september 2022, hvor dens sikkerhedsekspert Jesse Leclere fortalte Cointelegraph i et interview, at "SMS 2FA er bedre end ingenting, men det er den mest sårbare form for 2FA, der er i brug i øjeblikket."
Leclere sagde, at dedikerede autentificeringsapps som Google Authenticator eller Duo tilbyder næsten al den bekvemmelighed ved at bruge SMS 2FA, mens de fjerner risikoen for sim-swapping.
Reddit-brugere delte lignende råd, men tilføjede autentificeringsapps på telefoner gør også denne enhed til et enkelt fejlpunkt og anbefalede brugen af separate hardwaregodkendelsesenheder.
Kilde: https://cointelegraph.com/news/debate-over-2fa-using-sms-after-sim-swapping-victim-sues-coinbase