پس از انتشار اخباری مبنی بر شکایت یک مشتری کوین بیس از صرافی ارز دیجیتال به مبلغ 96000 دلار، جامعه ارزهای دیجیتال در حال بحث است که آیا احراز هویت دو مرحله ای پیامکی (2FA) باید برای امنیت حساب کاربری استفاده شود.
در 6 مارس، جرد فرگوسن یک درخواست را ثبت کرد طرح دعوی در دادگاه علیه کوینبیس در دادگاه ناحیه شمالی کالیفرنیا، ادعا میکند که «۹۰ درصد پسانداز زندگیاش» را پس از برداشتن وجه از حسابش توسط سارقان هویت از دست داده و کوینبیس از بازپرداخت وجه او خودداری کرده است.
گفته می شود فرگوسن طعمه نوعی سرقت هویت به نام «تعویض سیم» شده است، که به کلاهبرداران اجازه می دهد تا با فریب دادن ارائه دهنده مخابرات برای پیوند دادن شماره به سیم کارت خود، کنترل شماره تلفن را به دست آورند.
این به آنها اجازه میدهد هر گونه پیامک 2FA را در یک حساب دور بزنند، و در این شرایط ظاهراً به آنها اجازه میدهد تا برداشت 96000 دلاری از حساب کوینبیس فرگوسن را تأیید کنند.
فرگوسن ادعا کرد که پس از هک شدن تلفنش در 9 می، سرویس خود را از دست داده است و متوجه شد که وجوه از حساب Coinbase وی پس از دریافت یک سیم کارت جدید و بازیابی سرویس خود طبق دستورالعمل های ارائه دهنده خدمات T-Mobile گرفته شده است.
T-Mobile قبلا بود یک قربانی تعویض سیم کارت شکایت کرد در فوریه 2021، پس از سرقت تقریباً 450000 دلار بیت کوین (بیت کوین).
کوین بیس هرگونه مسئولیتی در قبال هک اکانت فرگوسن را رد کرد و در ایمیلی به او گفت که “مسئول امنیت ایمیل، رمزهای عبور، کدهای 2FA و دستگاه های شماست.”
مربوط: هکر وجوه دزدیده شده را به Tender.fi برمی گرداند و پاداش 97 هزار دلاری دریافت می کند
اعضای جامعه رمزنگاری عموماً نسبت به موفقیتآمیز بودن شکایت فرگوسن شک داشتند و خاطرنشان کردند که Coinbase استفاده از برنامههای احراز هویت را برای 2FA به جای پیامک و پیامک تشویق میکند. توصیف دومی به عنوان “کمترین امنیت” شکل احراز هویت.
حدس می زنم رمز عبور او به خطر بیفتد زیرا در سایت های دیگر استفاده شده است که یکی از آنها نقض شده است. همچنین، Coinbase برنامه Authenticator را برای 2FA با برچسبگذاری “امن” و پیامک “متوسط امن” تشویق میکند.
– دیو فرگوسن (@_sc0rn) 7 مارس 2023
برخی از کاربران Reddit که در پستی با عنوان “هرگز از SMS 2FA استفاده نکنید” در مورد این دعوی بحث کردند تا جایی که پیشنهاد کردند SMS 2FA باید باشد. ممنوع شد، اما اشاره کرد که این تنها گزینه احراز هویت در دسترس برای بسیاری از خدمات است، همانطور که یکی از کاربران گفت:
متأسفانه بسیاری از خدماتی که من استفاده می کنم هنوز Authenticator 2FA را ارائه نمی دهند. اما من قطعاً فکر میکنم که روش پیامکی ناامن است و باید ممنوع شود.»
شرکت امنیتی بلاک چین CertiK در مورد این هشدار داده است خطرات استفاده از پیامک 2FA در سپتامبر 2022، با کارشناس امنیتی آن، جسی لکلر، در مصاحبه ای به کوین تلگراف گفت که “SMS 2FA بهتر از هیچ است، اما آسیب پذیرترین شکل 2FA است که در حال حاضر استفاده می شود.”
Leclere گفت برنامههای احراز هویت اختصاصی مانند Google Authenticator یا Duo تقریباً تمام راحتی استفاده از SMS 2FA را ارائه میکنند و در عین حال خطر تعویض سیمکارت را از بین میبرند.
کاربران Reddit توصیههای مشابهی را به اشتراک گذاشتند، اما برنامههای احراز هویت افزوده شده در تلفنها نیز آن دستگاه را به یک نقطه شکست تبدیل میکند و استفاده از دستگاههای احراز هویت سختافزاری جداگانه را توصیه میکند.
