Komuniti crypto sedang membahaskan sama ada pengesahan dua faktor SMS (2FA) harus digunakan untuk keselamatan akaun berikutan berita bahawa pelanggan Coinbase menyaman pertukaran mata wang kripto untuk $96,000.
Pada 6 Mac Jared Ferguson memfailkan a tuntutan mahkamah terhadap Coinbase di Mahkamah Daerah Amerika Syarikat untuk Daerah Utara California, mendakwa dia kehilangan "90% daripada simpanan hidupnya" selepas dana dikeluarkan daripada akaunnya oleh pencuri identiti dan Coinbase enggan membayar baliknya.
Ferguson dikatakan telah menjadi mangsa kepada sejenis kecurian identiti yang dikenali sebagai "sim-swapping," yang membolehkan penipu mengawal nombor telefon dengan menipu penyedia telekomunikasi untuk memautkan nombor itu ke kad sim mereka sendiri.
Ini membolehkan mereka memintas mana-mana SMS 2FA pada akaun, dan dalam situasi ini didakwa membenarkan mereka mengesahkan pengeluaran $96,000 daripada akaun Coinbase Ferguson.
Ferguson mendakwa dia kehilangan perkhidmatan selepas telefonnya digodam pada 9 Mei, dan mendapati dana telah diambil daripada akaun Coinbasenya selepas mendapat kad sim baharu dan memulihkan perkhidmatannya mengikut arahan daripada pembekal perkhidmatannya T-Mobile.
T-Mobile sebelum ini disaman oleh mangsa tukar sim pada Feb. 2021, berikutan kecurian Bitcoin bernilai kira-kira $450,000 (BTC).
Coinbase menafikan sebarang tanggungjawab untuk penggodaman akaun Ferguson, memberitahunya dalam e-mel bahawa dia "bertanggungjawab untuk keselamatan e-mel anda, kata laluan anda, kod 2FA anda dan peranti anda."
Berkaitan: Penggodam mengembalikan dana yang dicuri kepada Tender.fi, mendapat ganjaran hadiah $97K
Ahli komuniti crypto pada umumnya ragu-ragu bahawa tuntutan mahkamah Ferguson akan berjaya, dengan menyatakan bahawa Coinbase menggalakkan penggunaan aplikasi pengesah untuk 2FA dan bukannya SMS dan menerangkan yang terakhir sebagai bentuk pengesahan "paling selamat".
Saya rasa kata laluannya telah terjejas kerana ia digunakan pada tapak lain, salah satunya telah dilanggar. Selain itu, Coinbase menggalakkan aplikasi Authenticator untuk 2FA dengan melabelkannya sebagai "selamat" dan SMS sebagai "secara sederhana selamat".
— Dave Ferguson (@_sc0rn) Mac 7, 2023
Sesetengah pengguna Reddit membincangkan tuntutan mahkamah dalam siaran bertajuk "Jangan Gunakan SMS 2FA" pergi sejauh mencadangkan SMS 2FA sepatutnya diharamkan, tetapi menyatakan bahawa ia adalah satu-satunya pilihan pengesahan yang tersedia untuk banyak perkhidmatan, seperti yang dikatakan oleh seorang pengguna:
“Malangnya banyak perkhidmatan yang saya gunakan masih belum menawarkan Pengesah 2FA. Tetapi saya pasti berpendapat pendekatan SMS telah terbukti tidak selamat dan harus diharamkan.”
Firma keselamatan Blockchain CertiK memberi amaran tentang bahaya menggunakan SMS 2FA pada September 2022, dengan pakar keselamatannya Jesse Leclere memberitahu Cointelegraph dalam temu bual bahawa "SMS 2FA lebih baik daripada tiada, tetapi ia adalah bentuk 2FA yang paling terdedah yang sedang digunakan."
Leclere berkata aplikasi pengesah khusus seperti Google Authenticator atau Duo menawarkan hampir semua kemudahan menggunakan SMS 2FA sambil menghapuskan risiko pertukaran sim.
Pengguna Reddit berkongsi nasihat yang sama tetapi menambahkan apl pengesah pada telefon juga menjadikan peranti itu satu titik kegagalan dan mengesyorkan penggunaan peranti pengesahan perkakasan yang berasingan.
Sumber: https://cointelegraph.com/news/debate-over-2fa-using-sms-after-sim-swapping-victim-sues-coinbase