Криптовалюта қауымдастығы Coinbase тұтынушысы криптовалюта биржасын 2 96,000 долларға сотқа бергені туралы жаңалықтан кейін SMS екі факторлы аутентификацияны (XNUMXFA) есептік жазба қауіпсіздігі үшін пайдалану керек пе, жоқ па деген мәселені талқылап жатыр.
6 наурызда Джаред Фергюсон а сот процесі АҚШ-тың Калифорния штатының Солтүстік округінің округтік сотында Coinbase-ке қарсы, ол жеке басын куәландыратын ұрылар оның шотынан қаражатты алып тастағаннан кейін «өмірлік жинақтарының 90% жоғалтты» деп мәлімдеді және Coinbase оған өтемақы төлеуден бас тартты.
Фергюсон алаяқтарға телекоммуникация провайдерін нөмірді өздерінің SIM картасына жалғау үшін алдап телефон нөмірін басқаруға мүмкіндік беретін «sim-swapping» деп аталатын жеке басын ұрлаудың құрбаны болды делінеді.
Бұл оларға шоттағы кез келген SMS 2FA-ны айналып өтуге мүмкіндік береді және бұл жағдайда Фергюсонның Coinbase шотынан 96,000 XNUMX долларды алуды растауға мүмкіндік берді.
Фергюсон 9 мамырда телефоны бұзылғаннан кейін қызметтен айырылып қалғанын мәлімдеді және T-Mobile қызмет провайдерінің нұсқауларына сәйкес жаңа SIM картасын алғаннан кейін және қызметін қалпына келтіргеннен кейін оның Coinbase шотынан қаражат алынғанын байқады.
T-Mobile бұрын болған SIM картасын ауыстырған жәбірленуші сотқа берді 2021 жылдың ақпанында шамамен $450,000 XNUMX биткоин ұрланғаннан кейін (BTC).
Coinbase Фергюсонның есептік жазбасын бұзғаны үшін жауапкершіліктен бас тартып, оған электрондық пошта арқылы «электрондық поштаңыздың, құпия сөздеріңіздің, 2FA кодтарыңыздың және құрылғыларыңыздың қауіпсіздігіне жауап беретінін» айтты.
Қатысты: Хакер ұрланған қаражатты Tender.fi сайтына қайтарып, 97 мың доллар сыйақы алады
Криптовалюта қауымдастығының мүшелері, әдетте, Фергюсонның сот ісі сәтті болатынына күмәнданды, Coinbase SMS және SMS емес, 2FA үшін аутентификация қолданбаларын пайдалануды қолдайтынын атап өтті. сипаттайды соңғысы аутентификацияның «ең аз қауіпсіз» нысаны ретінде.
Менің ойымша, оның құпия сөзі бұзылған, себебі ол басқа сайттарда қолданылған, олардың біреуі бұзылған. Сондай-ақ, Coinbase 2FA үшін Authenticator қолданбасын «қауіпсіз» және SMS «орташа қауіпсіз» деп белгілеу арқылы қолдайды.
— Дэйв Фергюсон (@_sc0rn) Наурыз 7, 2023
Кейбір Reddit пайдаланушылары «SMS 2FA қолданбаңыз» деп аталатын жазбадағы сот ісін талқылап, SMS 2FA-ны ұсынуға дейін барды. тыйым, бірақ бір пайдаланушы айтқандай, бұл көптеген қызметтер үшін қол жетімді жалғыз аутентификация опциясы екенін атап өтті:
«Өкінішке орай, мен пайдаланатын көптеген қызметтер әлі Authenticator 2FA ұсынбайды. Бірақ менің ойымша, SMS тәсілі қауіпті болып шықты және оған тыйым салу керек».
Blockchain қауіпсіздік фирмасы CertiK бұл туралы ескертті SMS пайдаланудың қауіптілігі 2FA 2022 жылдың қыркүйегінде, оның қауіпсіздік жөніндегі сарапшысы Джесси Леклер Cointelegraph-қа берген сұхбатында «SMS 2FA жоқтан жақсы, бірақ бұл қазіргі уақытта қолданылып жүрген 2FA-ның ең осал түрі» деп айтты.
Леклере Google Authenticator немесе Duo сияқты арнайы аутентификация қолданбалары SIM-карталарды ауыстыру қаупін жоя отырып, SMS 2FA пайдаланудың барлық дерлік ыңғайлылығын ұсынатынын айтты.
Reddit пайдаланушылары ұқсас кеңестермен бөлісті, бірақ телефондарға аутентификация қолданбалары қосылды, сонымен қатар бұл құрылғыны бір сәтсіздік нүктесіне айналдырады және бөлек аппараттық аутентификация құрылғыларын пайдалануды ұсынды.
Дереккөз: https://cointelegraph.com/news/debate-over-2fa-using-sms-after-sim-swapping-victim-sues-coinbase