קהילת הקריפטו מתלבטת אם אי פעם יש להשתמש באימות דו-גורמי SMS (2FA) לאבטחת חשבון בעקבות החדשות שלקוח Coinbase תובע את הבורסה למטבעות קריפטוגרפיים תמורת 96,000 דולר.
ב-6 במרץ ג'ארד פרגוסון הגיש א תביעה משפטית נגד Coinbase בבית המשפט המחוזי של ארצות הברית עבור המחוז הצפוני של קליפורניה, בטענה שהוא הפסיד "90% מחסכונות חייו" לאחר שהכספים נמשכו מחשבונו על ידי גנבי זהות ו-Coinbase סירבה להחזיר לו.
אומרים כי פרגוסון נפל טרף לסוג של גניבת זהות המכונה "החלפת סים", המאפשרת לרמאים להשיג שליטה על מספר טלפון על ידי הטעיית ספקית הטלקום לקשר את המספר לכרטיס ה-SIM שלהם.
זה מאפשר להם לעקוף כל SMS 2FA בחשבון, ובמצב זה אפשר להם לכאורה לאשר את המשיכה של 96,000$ מחשבון Coinbase של פרגוסון.
פרגוסון טען שהוא איבד את השירות לאחר שהטלפון שלו נפרץ ב-9 במאי, ושם לב שהכספים נלקחו מחשבון ה-Coinbase שלו לאחר שקיבל כרטיס סים חדש ושחזר את השירות שלו בהתאם להוראות מספק השירות שלו T-Mobile.
T-Mobile היה בעבר נתבע על ידי קורבן החלפת סים בפברואר 2021, בעקבות גניבת ביטקוין בשווי של כ-450,000 דולר (BTC).
Coinbase הכחישה כל אחריות לפריצה לחשבון של פרגוסון, ואמרה לו באימייל שהוא "אחראי לאבטחת הדואר האלקטרוני שלך, הסיסמאות שלך, קודי ה-2FA שלך והמכשירים שלך".
מידע נוסף: האקר מחזיר כספים גנובים ל-Tender.fi, מקבל פרס של 97 אלף דולר
חברי קהילת הקריפטו היו בספק אם התביעה של פרגוסון תצליח, וציינו כי Coinbase מעודדת שימוש באפליקציות אימות עבור 2FA ולא SMS ו מתאר האחרון כצורת האימות "הכי פחות מאובטחת".
אני מנחש שהסיסמה שלו נפגעה בגלל שהיא הייתה בשימוש באתרים אחרים, שאחד מהם נפרץ. כמו כן, Coinbase מעודדת את אפליקציית Authenticator עבור 2FA על ידי תיוגה "מאבטחת" ו-SMS כ"מאובטחת בינונית".
- דייב פרגוסון (@_sc0rn) במרץ 7, 2023
חלק ממשתמשי Reddit שדנו בתביעה בפוסט שכותרתו "לעולם אל תשתמש ב-SMS 2FA" הרחיק לכת עד שהציעו ל-SMS 2FA אסר, אך ציין שזו הייתה אפשרות האימות היחידה הזמינה עבור שירותים רבים, כפי שאמר משתמש אחד:
"לצערי הרבה שירותים שאני משתמש בהם עדיין לא מציעים את Authenticator 2FA. אבל אני בהחלט חושב שגישת ה-SMS הוכחה כלא בטוחה ויש לאסור אותה".
חברת האבטחה בלוקצ'יין CertiK הזהירה מפני הסכנות בשימוש ב-SMS 2FA בספטמבר 2022, כאשר מומחה האבטחה שלו, ג'סי לקלר, אמר ל-Cointelegraph בראיון כי "SMS 2FA עדיף מכלום, אבל זו הצורה הפגיעה ביותר של 2FA שנמצאת כיום בשימוש."
Leclere אמר כי אפליקציות אימות ייעודיות כמו Google Authenticator או Duo מציעות כמעט את כל הנוחות של שימוש ב-SMS 2FA תוך הסרת הסיכון של החלפת סים.
משתמשי Reddit שיתפו עצות דומות אך הוסיפו אפליקציות אימות בטלפונים הופכות את המכשיר הזה לנקודת כשל בודדת והמליצו להשתמש בהתקני אימות חומרה נפרדים.
מקור: https://cointelegraph.com/news/debate-over-2fa-using-sms-after-sim-swapping-victim-sues-coinbase