在 Coinbase 客戶以 2 美元起訴加密貨幣交易所的消息傳出後,加密社區正在爭論是否應該將 SMS 雙因素身份驗證 (96,000FA) 用於帳戶安全。
6 月 XNUMX 日,賈里德·弗格森 (Jared Ferguson) 提交了一份 訴訟 在美國加利福尼亞州北區地方法院對 Coinbase 提起訴訟,聲稱在身份竊賊從他的賬戶中提取資金並且 Coinbase 拒絕償還他後,他失去了“90% 的畢生積蓄”。
據說弗格森已經成為一種被稱為“sim-swapping”的身份盜竊的犧牲品,它允許欺詐者通過欺騙電信提供商將號碼鏈接到他們自己的 sim 卡來控制電話號碼。
這使他們能夠繞過帳戶上的任何 SMS 2FA,據稱在這種情況下允許他們確認從 Ferguson 的 Coinbase 帳戶中提取了 96,000 美元。
弗格森聲稱他的手機在 9 月 XNUMX 日被黑客入侵後失去了服務,並註意到在獲得新的 SIM 卡並按照服務提供商 T-Mobile 的指示恢復服務後,資金已從他的 Coinbase 賬戶中提取。
T-Mobile 以前是 被 sim 交換受害者起訴 2021 年 450,000 月,在價值約 XNUMX 美元的比特幣被盜後(BTC).
Coinbase 否認對 Ferguson 賬戶遭到黑客攻擊承擔任何責任,並在一封電子郵件中告訴他,他“對你的電子郵件、密碼、2FA 代碼和設備的安全負責”。
相關新聞: 黑客將被盜資金返還給 Tender.fi,獲得 97 萬美元的賞金
加密社區的成員普遍懷疑 Ferguson 的訴訟是否會成功,並指出 Coinbase 鼓勵使用驗證器應用程序進行 2FA 而不是 SMS 和 介紹 後者是“最不安全”的身份驗證形式。
我猜他的密碼被洩露是因為它被用在其他網站上,其中一個網站被攻破了。 此外,Coinbase 通過將其標記為“安全”並將 SMS 標記為“中等安全”來鼓勵 2FA 的身份驗證器應用程序。
— 戴夫·弗格森 (@_sc0rn) 2023 年 3 月 7 日
一些 Reddit 用戶在標題為“永遠不要使用短信 2FA”的帖子中討論訴訟,甚至建議短信 2FA 應該是 禁止,但指出它是許多服務唯一可用的身份驗證選項,正如一位用戶所說:
“不幸的是,我使用的很多服務還沒有提供 Authenticator 2FA。 但我絕對認為短信方式已被證明是不安全的,應該被禁止。”
區塊鏈安全公司 CertiK 警告稱 使用短信的危險 2 年 2022 月的 2FA,其安全專家 Jesse Leclere 在接受采訪時告訴 Cointelegraph,“短信 2FA 總比沒有好,但它是目前使用的最脆弱的 XNUMXFA 形式。”
Leclere 表示,像 Google Authenticator 或 Duo 這樣的專用驗證器應用程序提供了使用 SMS 2FA 的幾乎所有便利,同時消除了 sim 交換的風險。
Reddit 用戶分享了類似的建議,但在手機上添加身份驗證器應用程序也會使該設備成為單點故障,並建議使用單獨的硬件身份驗證設備。
資料來源:https://cointelegraph.com/news/debate-over-2fa-using-sms-after-sim-swapping-victim-sues-coinbase