კრიპტო-საზოგადოება მსჯელობს იმაზე, უნდა იქნას თუ არა ოდესმე გამოყენებული SMS ორფაქტორიანი ავთენტიფიკაცია (2FA) ანგარიშის უსაფრთხოებისთვის, მას შემდეგ, რაც Coinbase მომხმარებელი უჩივის კრიპტოვალუტის ბირჟას 96,000 დოლარად.
6 მარტს ჯარედ ფერგიუსონმა შეიტანა ა სარჩელი Coinbase-ის წინააღმდეგ შეერთებული შტატების კალიფორნიის ჩრდილოეთ ოლქის საოლქო სასამართლოში, ამტკიცებს, რომ მან დაკარგა „სასიცოცხლო დანაზოგის 90%“ მას შემდეგ, რაც თანხა ამოიღეს მისი ანგარიშიდან პირადობის ქურდებმა და Coinbase-მა უარი თქვა მის ანაზღაურებაზე.
ამბობენ, რომ ფერგიუსონი გახდა პირადობის ქურდობის ტიპი, რომელიც ცნობილია როგორც "sim-swapping", რომელიც საშუალებას აძლევს თაღლითებს გააკონტროლონ ტელეფონის ნომერი ტელეკომის პროვაიდერის მოტყუებით და დააკავშირონ ნომერი საკუთარ სიმ ბარათთან.
ეს მათ საშუალებას აძლევს გვერდის ავლით ნებისმიერ SMS 2FA-ს ანგარიშზე და ამ სიტუაციაში, სავარაუდოდ, მათ საშუალებას აძლევდა დაადასტურონ 96,000 აშშ დოლარის გამოტანა ფერგიუსონის Coinbase ანგარიშიდან.
ფერგიუსონმა თქვა, რომ მან დაკარგა სერვისი მას შემდეგ, რაც მისი ტელეფონი გატეხეს 9 მაისს და შენიშნა, რომ თანხები ამოღებულია მისი Coinbase ანგარიშიდან ახალი სიმ ბარათის მიღებისა და სერვისის აღდგენის შემდეგ, მისი სერვისის პროვაიდერის T-Mobile-ის ინსტრუქციის შესაბამისად.
T-Mobile იყო ადრე უჩივლა sim-გაცვლის მსხვერპლმა 2021 წლის თებერვალში, დაახლოებით 450,000 აშშ დოლარის ღირებულების ბიტკოინის მოპარვის შემდეგ (BTC).
Coinbase-მა უარყო რაიმე პასუხისმგებლობა ფერგიუსონის ანგარიშის გატეხვაზე და უთხრა მას ელფოსტით, რომ ის იყო „პასუხისმგებელი თქვენი ელ. ფოსტის, თქვენი პაროლების, თქვენი 2FA კოდებისა და თქვენი მოწყობილობების უსაფრთხოებაზე“.
ამავე თემაზე: ჰაკერი უბრუნებს მოპარულ თანხებს Tender.fi-ს და იღებს 97 ათასი დოლარის ჯილდოს
კრიპტო საზოგადოების წევრებს ზოგადად ეჭვი ეპარებოდათ, რომ ფერგიუსონის სარჩელი წარმატებული იქნებოდა, აღნიშნეს, რომ Coinbase ხელს უწყობს ავტორიზაციის აპლიკაციების გამოყენებას 2FA-სთვის და არა SMS-ისთვის და არა. აღწერს ეს უკანასკნელი, როგორც ავთენტიფიკაციის „ნაკლებად უსაფრთხო“ ფორმა.
ვფიქრობ, მისი პაროლი გატეხილია, რადგან ის გამოიყენებოდა სხვა საიტებზე, რომელთაგან ერთი დაირღვა. ასევე, Coinbase წაახალისებს Authenticator აპს 2FA-სთვის, ასახელებს მას "უსაფრთხო" და SMS, როგორც "ზომიერად უსაფრთხო".
— დეივ ფერგიუსონი (@_sc0rn) მარტი 7, 2023
Reddit-ის ზოგიერთი მომხმარებელი, რომელიც განიხილავს სარჩელს პოსტში სახელწოდებით „არასოდეს გამოიყენო SMS 2FA“ იქამდე მივიდა, რომ SMS 2FA უნდა იყოს აკრძალული, მაგრამ აღნიშნა, რომ ეს იყო ავტორიზაციის ერთადერთი ვარიანტი ხელმისაწვდომი მრავალი სერვისისთვის, როგორც ერთმა მომხმარებელმა თქვა:
„სამწუხაროდ, ბევრი სერვისი, რომელსაც მე ვიყენებ, ჯერ არ გვთავაზობს Authenticator 2FA-ს. მაგრამ მე ნამდვილად ვფიქრობ, რომ SMS მიდგომა დადასტურდა, რომ არ არის უსაფრთხო და უნდა აიკრძალოს. ”
ბლოკჩეინის უსაფრთხოების ფირმა CertiK-მა გააფრთხილა ამის შესახებ SMS-ის გამოყენების საფრთხე 2FA 2022 წლის სექტემბერში, უსაფრთხოების ექსპერტმა ჯესი ლეკლერმა განუცხადა Cointelegraph-ს ინტერვიუში, რომ „SMS 2FA უკეთესია, ვიდრე არაფერი, მაგრამ ეს არის 2FA-ს ყველაზე დაუცველი ფორმა, რომელიც ამჟამად გამოიყენება“.
ლეკლერის თქმით, გამოყოფილი აუთენტიფიკატორის აპლიკაციები, როგორიცაა Google Authenticator ან Duo, გთავაზობთ თითქმის ყველა კომფორტს SMS 2FA-ს გამოყენებისას, ხოლო მოხსნის SIM-ის შეცვლის რისკს.
Reddit-ის მომხმარებლებმა გაიზიარეს მსგავსი რჩევები, მაგრამ ტელეფონებზე დამატებული ავთენტიფიკატორის აპლიკაციები ასევე აქცევს ამ მოწყობილობას წარუმატებლობის ერთ წერტილად და რეკომენდირებულია ცალკეული ტექნიკის ავთენტიფიკაციის მოწყობილობების გამოყენება.
წყარო: https://cointelegraph.com/news/debate-over-2fa-using-sms-after-sim-swapping-victim-sues-coinbase