Pinagtatalunan ng komunidad ng crypto kung dapat bang gamitin ang SMS two-factor authentication (2FA) para sa seguridad ng account kasunod ng balita na ang isang customer ng Coinbase ay nagdemanda sa cryptocurrency exchange para sa $96,000.
Noong Marso 6, nag-file si Jared Ferguson ng a kaso laban sa Coinbase sa Korte ng Distrito ng Estados Unidos para sa Northern District ng California, na sinasabing nawalan siya ng "90% ng kanyang mga naipon sa buhay" pagkatapos na bawiin ang mga pondo mula sa kanyang account ng mga magnanakaw ng pagkakakilanlan at tumangging bayaran siya ng Coinbase.
Sinasabing si Ferguson ay naging biktima ng isang uri ng pagnanakaw ng pagkakakilanlan na kilala bilang "sim-swapping," na nagpapahintulot sa mga manloloko na makakuha ng kontrol sa isang numero ng telepono sa pamamagitan ng panlilinlang sa telecom provider na i-link ang numero sa kanilang sariling sim card.
Ito ay nagpapahintulot sa kanila na i-bypass ang anumang SMS 2FA sa isang account, at sa sitwasyong ito ay pinahihintulutan umano silang kumpirmahin ang pag-withdraw ng $96,000 mula sa Ferguson's Coinbase account.
Sinabi ni Ferguson na nawalan siya ng serbisyo matapos ma-hack ang kanyang telepono noong Mayo 9, at napansin niyang kinuha ang mga pondo mula sa kanyang Coinbase account pagkatapos makakuha ng bagong sim card at ibalik ang kanyang serbisyo ayon sa mga tagubilin mula sa kanyang service provider na T-Mobile.
Ang T-Mobile ay dati idinemanda ng biktimang nagpapalitan ng sim noong Peb. 2021, kasunod ng pagnanakaw ng humigit-kumulang $450,000 na halaga ng Bitcoin (BTC).
Tinanggihan ng Coinbase ang anumang responsibilidad para sa pag-hack ng account ni Ferguson, na sinabi sa kanya sa isang email na siya ay "responsable para sa seguridad ng iyong e-mail, iyong mga password, iyong 2FA code, at iyong mga device."
Nauugnay: Ibinalik ng hacker ang mga ninakaw na pondo sa Tender.fi, nakakakuha ng $97K bounty reward
Ang mga miyembro ng komunidad ng crypto ay karaniwang nag-aalinlangan na ang demanda ni Ferguson ay magiging matagumpay, na binabanggit na hinihikayat ng Coinbase ang paggamit ng mga app ng authenticator para sa 2FA kaysa sa SMS at naglalarawan ang huli bilang ang "hindi gaanong ligtas" na paraan ng pagpapatunay.
I'm guessing nakompromiso ang kanyang password dahil ginamit ito sa ibang mga site, na ang isa ay nasira. Gayundin, hinihikayat ng Coinbase ang Authenticator app para sa 2FA sa pamamagitan ng pag-label dito na "secure" at SMS bilang "moderately secure".
— Dave Ferguson (@_sc0rn) Marso 7, 2023
Ang ilang mga user ng Reddit na tinatalakay ang demanda sa isang post na pinamagatang "Huwag Gumamit ng SMS 2FA" ay umabot hanggang sa nagmumungkahi na ang SMS 2FA ay dapat pinagbawalan, ngunit nabanggit na ito lamang ang opsyon sa pagpapatunay na magagamit para sa maraming serbisyo, gaya ng sinabi ng isang user:
"Sa kasamaang palad, maraming mga serbisyong ginagamit ko ang hindi pa nag-aalok ng Authenticator 2FA. Ngunit talagang sa tingin ko ang SMS approach ay napatunayang hindi ligtas at dapat ipagbawal."
Binalaan ng Blockchain security firm na CertiK ang panganib ng paggamit ng SMS 2FA noong Setyembre 2022, kasama ang eksperto sa seguridad nitong si Jesse Leclere na nagsabi sa Cointelegraph sa isang panayam na “Mas maganda ang SMS 2FA kaysa wala, ngunit ito ang pinaka-mahina na anyo ng 2FA na kasalukuyang ginagamit.”
Sinabi ni Leclere na nag-aalok ang mga dedikadong authenticator app tulad ng Google Authenticator o Duo ng halos lahat ng kaginhawahan ng paggamit ng SMS 2FA habang inaalis ang panganib ng pagpapalit ng sim.
Ang mga user ng Reddit ay nagbahagi ng katulad na payo ngunit ang pagdagdag ng mga authenticator na app sa mga telepono ay ginagawa rin ang device na iyon na isang punto ng pagkabigo at inirerekumenda ang paggamit ng mga hiwalay na hardware authentication device.
Pinagmulan: https://cointelegraph.com/news/debate-over-2fa-using-sms-after-sim-swapping-victim-sues-coinbase