Дебаты более 2FA с использованием SMS после того, как жертва смазывания симов подает в суд на Coinbase

Крипто-сообщество обсуждает, следует ли когда-либо использовать двухфакторную аутентификацию SMS (2FA) когда-либо для безопасности учетной записи после новостей о том, что клиент Coinbase подает в суд на обмен криптовалютами за 96 000 долларов.

6 марта Джаред Фергюсон подал иск против Coinbase в районный суд Соединенных Штатов в северном округе Калифорнии, утверждая, что он потерял «90% своих сбережений жизни» после того, как средства были отозваны с его счета ворами идентификаторов и Coinbase отказались возместить его.

Говорят, что Фергюсон стал жертвой кражи личных данных, известных как «смазывание симов», что позволяет мошенникам получать контроль над номером телефона, обманув поставщика телекоммуникаций, чтобы связать номер с собственной SIM-картой.

Это позволяет им обходить любые SMS 2FA на счете, и в этой ситуации якобы позволили им подтвердить отмену 96 000 долл. США с аккаунта Fergusons Coinbase.

Фергюсон утверждал, что потерял службу после того, как его телефон был взломан 9 мая, и заметил, что средства были взяты с его учетной записи Coinbase после получения новой SIM-карты и восстановления его службы в соответствии с инструкциями от его поставщика услуг T-Mobile.

T-Mobile ранее подвергался подаче жертвы смазания SIM-карты в феврале 2021 года, после кражи биткойнов на сумму около 450 000 долларов США (BTC).

Coinbase отрицал какую-либо ответственность за взлому учетной записи Фергюсона, сообщив ему в электронном письме, что он «несет ответственность за безопасность вашего электронного письма, ваши пароли, ваши коды 2FA и ваши устройства».

Члены крипто -сообщества, как правило, сомневались в том, что иск Фергюсона будет успешным, отмечая, что Coinbase поощряет использование приложений аутентификатора для 2FA, а не SMS и описывает последнее как «наименее безопасную» форму аутентификации.

Я предполагаю, что его пароль был скомпрометирован, потому что он использовался на других сайтах, один из которых был нарушен. Кроме того, Coinbase поощряет приложение Authenticator для 2FA, маркируя его «безопасное» и SMS как «умеренно безопасно».

- Дэйв Фергюсон (@_SC0RN) 7 марта 2023 г.

Некоторые пользователи Reddit, обсуждающие судебный процесс в посте под названием «Никогда не используйте SMS 2FA», зашли так далеко, как предположение, что SMS 2FA должен быть запрещен, но отметил, что это был единственный вариант аутентификации, доступный для многих сервисов, как сказал один пользователь:

«К сожалению, многие услуги, которые я использую, пока не предлагают аутентификатора 2FA. Но я определенно думаю, что SMS -подход оказался небезопасным и должен быть запрещен».

Компания Blockchain Security Firm Certik предупредила об опасности использования SMS 2FA в сентябре 2022 года, когда его эксперт по безопасности Джесси Леклере сообщил Cointelegraph в интервью, что «SMS 2FA лучше, чем ничего, но это самая уязвимая форма 2FA в настоящее время. "

Leclere сказал, что выделенные приложения Authenticator, такие как Google Authenticator или Duo, предлагают почти все удобство использования SMS 2FA при удалении риска сброса SIM-карты.

Пользователи Reddit поделились аналогичными советами, но добавили приложения Authenticator на телефонах, также делают это устройство одной точкой сбоя и рекомендовали использовать отдельные аппаратные устройства аутентификации.