بحث بر سر 2FA با استفاده از SMS پس از شکایت قربانی تعویض سیم کارت از Coinbase

پس از انتشار اخباری مبنی بر شکایت یک مشتری کوین بیس از صرافی ارز دیجیتال به مبلغ 96000 دلار، جامعه ارزهای دیجیتال در حال بحث است که آیا احراز هویت دو مرحله ای پیامکی (2FA) باید برای امنیت حساب کاربری استفاده شود.

در 6 مارس، جرد فرگوسن یک درخواست را ثبت کرد طرح دعوی در دادگاه علیه کوین‌بیس در دادگاه ناحیه شمالی کالیفرنیا، ادعا می‌کند که «۹۰ درصد پس‌انداز زندگی‌اش» را پس از برداشتن وجه از حسابش توسط سارقان هویت از دست داده و کوین‌بیس از بازپرداخت وجه او خودداری کرده است.

گفته می شود فرگوسن طعمه نوعی سرقت هویت به نام «تعویض سیم» شده است، که به کلاهبرداران اجازه می دهد تا با فریب دادن ارائه دهنده مخابرات برای پیوند دادن شماره به سیم کارت خود، کنترل شماره تلفن را به دست آورند.

این به آن‌ها اجازه می‌دهد هر گونه پیامک 2FA را در یک حساب دور بزنند، و در این شرایط ظاهراً به آنها اجازه می‌دهد تا برداشت 96000 دلاری از حساب کوین‌بیس فرگوسن را تأیید کنند.

فرگوسن ادعا کرد که پس از هک شدن تلفنش در 9 می، سرویس خود را از دست داده است و متوجه شد که وجوه از حساب Coinbase وی پس از دریافت یک سیم کارت جدید و بازیابی سرویس خود طبق دستورالعمل های ارائه دهنده خدمات T-Mobile گرفته شده است.

T-Mobile قبلا بود یک قربانی تعویض سیم کارت شکایت کرد در فوریه 2021، پس از سرقت تقریباً 450000 دلار بیت کوین (بیت کوین).

کوین بیس هرگونه مسئولیتی در قبال هک اکانت فرگوسن را رد کرد و در ایمیلی به او گفت که “مسئول امنیت ایمیل، رمزهای عبور، کدهای 2FA و دستگاه های شماست.”

مربوط: هکر وجوه دزدیده شده را به Tender.fi برمی گرداند و پاداش 97 هزار دلاری دریافت می کند

اعضای جامعه رمزنگاری عموماً نسبت به موفقیت‌آمیز بودن شکایت فرگوسن شک داشتند و خاطرنشان کردند که Coinbase استفاده از برنامه‌های احراز هویت را برای 2FA به جای پیامک و پیامک تشویق می‌کند. توصیف دومی به عنوان “کمترین امنیت” شکل احراز هویت.

حدس می زنم رمز عبور او به خطر بیفتد زیرا در سایت های دیگر استفاده شده است که یکی از آنها نقض شده است. همچنین، Coinbase برنامه Authenticator را برای 2FA با برچسب‌گذاری “امن” و پیامک “متوسط ​​امن” تشویق می‌کند.

– دیو فرگوسن (@_sc0rn) 7 مارس 2023

برخی از کاربران Reddit که در پستی با عنوان “هرگز از SMS 2FA استفاده نکنید” در مورد این دعوی بحث کردند تا جایی که پیشنهاد کردند SMS 2FA باید باشد. ممنوع شد، اما اشاره کرد که این تنها گزینه احراز هویت در دسترس برای بسیاری از خدمات است، همانطور که یکی از کاربران گفت:

متأسفانه بسیاری از خدماتی که من استفاده می کنم هنوز Authenticator 2FA را ارائه نمی دهند. اما من قطعاً فکر می‌کنم که روش پیامکی ناامن است و باید ممنوع شود.»

شرکت امنیتی بلاک چین CertiK در مورد این هشدار داده است خطرات استفاده از پیامک 2FA در سپتامبر 2022، با کارشناس امنیتی آن، جسی لکلر، در مصاحبه ای به کوین تلگراف گفت که “SMS 2FA بهتر از هیچ است، اما آسیب پذیرترین شکل 2FA است که در حال حاضر استفاده می شود.”

Leclere گفت برنامه‌های احراز هویت اختصاصی مانند Google Authenticator یا Duo تقریباً تمام راحتی استفاده از SMS 2FA را ارائه می‌کنند و در عین حال خطر تعویض سیم‌کارت را از بین می‌برند.

کاربران Reddit توصیه‌های مشابهی را به اشتراک گذاشتند، اما برنامه‌های احراز هویت افزوده شده در تلفن‌ها نیز آن دستگاه را به یک نقطه شکست تبدیل می‌کند و استفاده از دستگاه‌های احراز هویت سخت‌افزاری جداگانه را توصیه می‌کند.