Կրիպտո համայնքը քննարկում է, թե արդյոք SMS երկգործոն նույնականացումը (2FA) երբևէ պետք է օգտագործվի հաշվի անվտանգության համար այն լուրերից հետո, որ Coinbase-ի հաճախորդը դատի է տվել կրիպտոարժույթի փոխանակմանը 96,000 դոլարով:
Մարտի 6-ին Ջարեդ Ֆերգյուսոնը ներկայացրել է ա դատավարություն Միացյալ Նահանգների Կալիֆորնիայի Հյուսիսային շրջանի շրջանային դատարանում Coinbase-ի դեմ՝ պնդելով, որ նա կորցրել է «իր կյանքի խնայողությունների 90%-ը» այն բանից հետո, երբ ինքնությունը գողերի կողմից միջոցները հանվել են իր հաշվից, և Coinbase-ը հրաժարվել է փոխհատուցել իրեն:
Նշվում է, որ Ֆերգյուսոնը դարձել է ինքնության գողության մի տեսակ, որը հայտնի է որպես «sim-swapping», որը թույլ է տալիս խարդախներին վերահսկել հեռախոսահամարը` խաբելով հեռահաղորդակցման մատակարարին` կապելու համարը սեփական SIM քարտի հետ:
Սա թույլ է տալիս նրանց շրջանցել ցանկացած SMS 2FA հաշվում, և այս իրավիճակում իբր թույլ է տվել նրանց հաստատել 96,000 ԱՄՆ դոլարի դուրսբերումը Ֆերգյուսոնի Coinbase հաշվից:
Ֆերգյուսոնը պնդեց, որ կորցրել է ծառայությունը այն բանից հետո, երբ իր հեռախոսը կոտրել են մայիսի 9-ին, և նկատել է, որ միջոցները վերցվել են իր Coinbase հաշվից՝ նոր SIM քարտ ստանալու և իր ծառայությունը վերականգնելուց հետո՝ համաձայն իր ծառայություններ մատուցող T-Mobile-ի հրահանգների:
T-Mobile-ը նախկինում էր դատի է տվել sim-swapping տուժողը 2021 թվականի փետրվարին՝ մոտավորապես 450,000 դոլար արժողությամբ բիթքոյնի գողությունից հետո (BTC).
Coinbase-ը հերքել է որևէ պատասխանատվություն Ֆերգյուսոնի հաշիվը կոտրելու համար՝ նամակում նրան ասելով, որ նա «պատասխանատու է ձեր էլ. փոստի, ձեր գաղտնաբառերի, ձեր 2FA կոդերի և ձեր սարքերի անվտանգության համար»:
Related: Հաքերը վերադարձնում է գողացված միջոցները Tender.fi-ին և ստանում 97 հազար դոլար պարգև
Կրիպտո համայնքի անդամները, ընդհանուր առմամբ, կասկածում էին, որ Ֆերգյուսոնի հայցը հաջող կլինի՝ նշելով, որ Coinbase-ը խրախուսում է վավերացնող հավելվածների օգտագործումը 2FA-ի համար, քան SMS-ի և SMS-ի համար: նկարագրում է վերջինս որպես նույնականացման «նվազ անվտանգ» ձև:
Ես ենթադրում եմ, որ նրա գաղտնաբառը վտանգված է, քանի որ այն օգտագործվել է այլ կայքերում, որոնցից մեկը խախտվել է: Նաև Coinbase-ը խրախուսում է Authenticator հավելվածը 2FA-ի համար՝ այն պիտակավորելով «անվտանգ», իսկ SMS-ը՝ որպես «չափավոր անվտանգ»:
— Դեյվ Ֆերգյուսոն (@_sc0rn) Մարտի 7, 2023
Reddit-ի որոշ օգտատերեր, ովքեր քննարկում էին հայցը «Երբեք մի օգտագործիր SMS 2FA» վերնագրով գրառման մեջ, գնացին այնքան հեռու, որքան առաջարկում էին SMS 2FA-ն: արգելել, բայց նշեց, որ դա նույնականացման միակ տարբերակն է, որը հասանելի է բազմաթիվ ծառայությունների համար, ինչպես ասաց օգտատերերից մեկը.
«Ցավոք սրտի, շատ ծառայություններ, որոնք ես օգտագործում եմ, դեռ չեն առաջարկում Authenticator 2FA: Բայց միանշանակ կարծում եմ, որ SMS մոտեցումն ապացուցել է, որ անվտանգ չէ և պետք է արգելվի»:
Բլոկչեյն անվտանգության CertiK ընկերությունը նախազգուշացրել է SMS-ի օգտագործման վտանգները 2FA-ն 2022 թվականի սեպտեմբերին, որի անվտանգության փորձագետ Ջեսի Լեկլերը Cointelegraph-ին տված հարցազրույցում ասաց, որ «SMS 2FA-ն ավելի լավ է, քան ոչինչ, բայց այն ներկայումս օգտագործվող 2FA-ի ամենախոցելի ձևն է»:
Leclere-ն ասաց, որ հատուկ վավերացնող հավելվածները, ինչպիսիք են Google Authenticator-ը կամ Duo-ն, առաջարկում են SMS 2FA-ի օգտագործման գրեթե ողջ հարմարավետությունը՝ միաժամանակ հեռացնելով sim-ի փոխանակման վտանգը:
Reddit-ի օգտատերերը կիսվել են նմանատիպ խորհուրդներով, սակայն հեռախոսներում ավելացված վավերացման հավելվածները նույնպես այդ սարքը դարձնում են խափանման մեկ կետ և խորհուրդ են տալիս օգտագործել առանձին ապարատային նույնականացման սարքեր:
Աղբյուր՝ https://cointelegraph.com/news/debate-over-2fa-using-sms-after-sim-swapping-victim-sues-coinbase