Криптовалютное сообщество обсуждает, следует ли когда-либо использовать двухфакторную аутентификацию SMS (2FA) для безопасности учетной записи после новостей о том, что клиент Coinbase подает в суд на биржу криптовалюты на 96,000 XNUMX долларов.
6 марта Джаред Фергюсон подал заявление судебный процесс против Coinbase в Окружном суде Соединенных Штатов Северного округа Калифорнии, утверждая, что он потерял «90% своих сбережений» после того, как средства были сняты с его счета похитителями личных данных, а Coinbase отказалась возместить ему возмещение.
Говорят, что Фергюсон стал жертвой кражи личных данных, известной как «подмена сим-карты», которая позволяет мошенникам получить контроль над номером телефона, обманом заставив оператора связи связать номер с их собственной сим-картой.
Это позволяет им обойти любые SMS 2FA на аккаунте и в этой ситуации якобы позволило им подтвердить вывод 96,000 XNUMX долларов со счета Фергюсона в Coinbase.
Фергюсон утверждал, что он потерял обслуживание после того, как его телефон был взломан 9 мая, и заметил, что средства были сняты с его счета Coinbase после получения новой сим-карты и восстановления обслуживания в соответствии с инструкциями его поставщика услуг T-Mobile.
Раньше T-Mobile подал в суд на жертву подмены сим-карты в феврале 2021 года после кражи биткойнов на сумму около 450,000 XNUMX долларов (BTC).
Coinbase отрицает какую-либо ответственность за взлом учетной записи Фергюсона, сообщив ему в электронном письме, что он «несет ответственность за безопасность вашей электронной почты, ваших паролей, ваших кодов 2FA и ваших устройств».
Связанный: Хакер возвращает украденные средства Tender.fi и получает вознаграждение в размере 97 тысяч долларов
Члены криптосообщества в целом сомневались, что судебный процесс Фергюсона будет успешным, отмечая, что Coinbase поощряет использование приложений-аутентификаторов для 2FA, а не SMS и описывает последний как «наименее безопасная» форма аутентификации.
Я предполагаю, что его пароль был скомпрометирован, потому что он использовался на других сайтах, один из которых был взломан. Кроме того, Coinbase поощряет приложение Authenticator для 2FA, помечая его как «безопасное», а SMS как «умеренно безопасное».
— Дэйв Фергюсон (@_sc0rn) 7 марта 2023
Некоторые пользователи Reddit, обсуждая судебный процесс в сообщении под названием «Никогда не используйте SMS 2FA», дошли до того, что предложили SMS 2FA. запрещенный, но отметил, что это был единственный вариант аутентификации, доступный для многих сервисов, как сказал один пользователь:
«К сожалению, многие сервисы, которыми я пользуюсь, еще не предлагают Authenticator 2FA. Но я определенно считаю, что SMS-подход оказался небезопасным и должен быть запрещен».
Компания CertiK, занимающаяся безопасностью блокчейна, предупредила о опасности использования смс 2FA в сентябре 2022 года, а ее эксперт по безопасности Джесси Леклер сказал Cointelegraph в интервью, что «SMS 2FA лучше, чем ничего, но это наиболее уязвимая форма 2FA, используемая в настоящее время».
Леклер сказал, что специальные приложения для проверки подлинности, такие как Google Authenticator или Duo, предлагают почти все удобства использования SMS 2FA, устраняя риск подмены сим-карты.
Пользователи Reddit поделились аналогичным советом, но добавленные приложения для аутентификации на телефоны также сделали это устройство единой точкой отказа и рекомендовали использовать отдельные аппаратные устройства аутентификации.
Источник: https://cointelegraph.com/news/debate-over-2fa-using-sms-after-sim-swapping-victim-sues-coinbase.