Криптовалютное сообщество обсуждает, следует ли когда-либо использовать двухфакторную аутентификацию SMS (2FA) для безопасности учетной записи после новостей о том, что клиент Coinbase подает в суд на биржу криптовалюты на 96 000 долларов.
6 марта Джаред Фергюсон подал иск против Coinbase в Окружной суд Соединенных Штатов Северного округа Калифорнии, утверждая, что он потерял «90% своих сбережений» после того, как средства были сняты с его счета похитителями личных данных, а Coinbase отказалась это сделать. возместить ему.
Говорят, что Фергюсон стал жертвой кражи личных данных, известной как «подмена сим-карты», которая позволяет мошенникам получить контроль над номером телефона, обманом заставив оператора связи связать номер с их собственной сим-картой.
Это позволяет им обойти любые SMS 2FA на аккаунте и в этой ситуации якобы позволило им подтвердить вывод 96 000 долларов со счета Фергюсона в Coinbase.
Фергюсон утверждал, что он потерял обслуживание после того, как его телефон был взломан 9 мая, и заметил, что средства были сняты с его счета Coinbase после получения новой сим-карты и восстановления обслуживания в соответствии с инструкциями его поставщика услуг T-Mobile.
Ранее в феврале 2021 года на T-Mobile подавала в суд жертва подмены сим-карты после кражи биткойнов (BTC) на сумму около 450 000 долларов.
Coinbase отрицает какую-либо ответственность за взлом учетной записи Фергюсона, сообщив ему в электронном письме, что он «несет ответственность за безопасность вашей электронной почты, ваших паролей, ваших кодов 2FA и ваших устройств».
Связанный: Хакер возвращает украденные средства Tender.fi и получает вознаграждение в размере 97 тысяч долларов
Члены криптосообщества в целом сомневались в успехе иска Фергюсона, отмечая, что Coinbase поощряет использование приложений-аутентификаторов для 2FA, а не SMS, и описывает последнюю как «наименее безопасную» форму аутентификации.
Я предполагаю, что его пароль был скомпрометирован, потому что он использовался на других сайтах, один из которых был взломан. Кроме того, Coinbase поощряет приложение Authenticator для 2FA, помечая его как «безопасное», а SMS как «умеренно безопасное».
— Дэйв Фергюсон (@_sc0rn) 7 марта 2023 г.
Некоторые пользователи Reddit, обсуждая судебный процесс в сообщении под названием «Никогда не используйте SMS 2FA», дошли до того, что предложили запретить SMS 2FA, но отметили, что это был единственный вариант аутентификации, доступный для многих сервисов, как сказал один пользователь:
«К сожалению, многие сервисы, которыми я пользуюсь, еще не предлагают Authenticator 2FA. Но я определенно считаю, что SMS-подход оказался небезопасным и должен быть запрещен».
Фирма по безопасности блокчейна CertiK предупредила об опасностях использования SMS 2FA в сентябре 2022 года, а ее эксперт по безопасности Джесси Леклер сказал в интервью, что «SMS 2FA лучше, чем ничего, но это наиболее уязвимая форма 2FA, используемая в настоящее время. ”
Леклер сказал, что специальные приложения для проверки подлинности, такие как Google Authenticator или Duo, предлагают почти все удобства использования SMS 2FA, устраняя риск подмены сим-карты.
Пользователи Reddit поделились аналогичным советом, но добавленные приложения для аутентификации на телефоны также сделали это устройство единой точкой отказа и рекомендовали использовать отдельные аппаратные устройства аутентификации.
Источник: Сointеlеgrаph
