Kryptogemenskapen diskuterar om SMS tvåfaktorsautentisering (2FA) någonsin ska användas för kontosäkerhet efter nyheter om att en Coinbase-kund stämmer kryptovalutabörsen för 96,000 XNUMX dollar.
Den 6 mars lämnade Jared Ferguson in en stämning mot Coinbase i USA:s distriktsdomstol för Northern District of California, och hävdade att han förlorade "90% av sina livsbesparingar" efter att pengar drogs från hans konto av identitetstjuvar och Coinbase hade vägrat att ersätta honom.
Ferguson sägs ha fallit offer för en typ av identitetsstöld känd som "sim-swapping", som gör att bedragare kan få kontroll över ett telefonnummer genom att lura telekomleverantören att koppla numret till sitt eget sim-kort.
Detta tillåter dem att kringgå alla SMS 2FA på ett konto, och i den här situationen påstås ha tillåtit dem att bekräfta uttaget på $96,000 XNUMX från Fergusons Coinbase-konto.
Ferguson hävdade att han förlorade tjänsten efter att hans telefon hackades den 9 maj, och märkte att pengarna hade tagits från hans Coinbase-konto efter att ha fått ett nytt sim-kort och återställt sin tjänst enligt instruktioner från hans tjänsteleverantör T-Mobile.
T-Mobile var tidigare stämd av ett simbyteoffer i februari 2021, efter stöld av Bitcoin till ett värde av cirka 450,000 XNUMX USD (BTC).
Coinbase förnekade allt ansvar för hacket på Fergusons konto och berättade i ett e-postmeddelande att han är "ansvarig för säkerheten för din e-post, dina lösenord, dina 2FA-koder och dina enheter."
Relaterat: Hacker returnerar stulna pengar till Tender.fi, får 97 XNUMX USD i prisbelöning
Medlemmar av kryptogemenskapen var generellt tveksamma till att Fergusons rättegång skulle bli framgångsrik, och noterade att Coinbase uppmuntrar användningen av autentiseringsappar för 2FA snarare än SMS och beskriver den senare som den "minst säkra" formen av autentisering.
Jag antar att hans lösenord komprometterades eftersom det användes på andra webbplatser, varav en har brutits. Dessutom uppmuntrar Coinbase Authenticator-appen för 2FA genom att märka den "säker" och SMS som "måttligt säker".
— Dave Ferguson (@_sc0rn) Mars 7, 2023
Vissa Reddit-användare som diskuterade rättegången i ett inlägg med titeln "Använd aldrig SMS 2FA" gick så långt som att föreslå att SMS 2FA borde vara förbjudits, men noterade att det var det enda autentiseringsalternativet som var tillgängligt för många tjänster, som en användare sa:
"Tyvärr erbjuder många tjänster jag använder inte Authenticator 2FA än. Men jag tycker definitivt att SMS-metoden har visat sig vara osäker och borde förbjudas.”
Blockchain-säkerhetsföretaget CertiK varnade för detta faror med att använda SMS 2FA i september 2022, med dess säkerhetsexpert Jesse Leclere som sa till Cointelegraph i en intervju att "SMS 2FA är bättre än ingenting, men det är den mest sårbara formen av 2FA som används för närvarande."
Leclere sa att dedikerade autentiseringsappar som Google Authenticator eller Duo erbjuder nästan all bekvämlighet med att använda SMS 2FA samtidigt som man tar bort risken för simbyte.
Reddit-användare delade liknande råd men tillagda autentiseringsappar på telefoner gör också den enheten till en enda felpunkt och rekommenderade användningen av separata hårdvaruautentiseringsenheter.
Källa: https://cointelegraph.com/news/debate-over-2fa-using-sms-after-sim-swapping-victim-sues-coinbase