بحث بر سر 2FA با استفاده از پیامک پس از شکایت قربانی تعویض سیم کارت از Coinbase

در حالی که اعضای جامعه رمزنگاری نسبت به موفقیت آمیز بودن شکایت علیه کوین بیس شک داشتند، پیامک بحثی را در مورد این مشکلات با 2FA به راه انداخت.

پس از گزارش‌های خبری مبنی بر شکایت یک مشتری کوین‌بیس از صرافی ارز دیجیتال به مبلغ 96000 دلار، جامعه ارزهای دیجیتال در حال بحث در مورد استفاده از احراز هویت دو مرحله‌ای پیامکی (2FA) برای امنیت حساب است.

جرد فرگوسن در 6 مارس شکایتی علیه کوین بیس در دادگاه منطقه ای ایالات متحده در ناحیه شمالی کالیفرنیا تنظیم کرد و مدعی شد که “90٪ پس انداز زندگی خود” را پس از برداشتن پول از حسابش توسط سارقان هویت و امتناع کوین بیس از انجام این کار از دست داده است. . جبران کردن.

گفته می شود فرگوسن قربانی نوعی سرقت هویت به نام “تعویض سیم کارت” شده است، که به کلاهبرداران اجازه می دهد تا با فریب دادن ارائه دهنده مخابرات برای پیوند دادن شماره به سیم کارت خود، کنترل شماره تلفن را به دست آورند.

این به آن‌ها اجازه می‌دهد هر گونه پیامک 2FA را در یک حساب دور بزنند و ظاهراً در این مورد، به آنها اجازه می‌دهد تا تأیید کنند که فرگوسن 96000 دلار از حساب Coinbase خود برداشت کرده است.

فرگوسن ادعا کرد که پس از هک شدن تلفنش در 9 می، سرویس خود را از دست داده است و متوجه شد که پس از خرید یک سیم کارت جدید و بازیابی سرویس خود، طبق دستورالعمل های ارائه دهنده خدمات T-Mobile، پول از حساب Coinbase او برداشت شده است.

T-Mobile قبلاً توسط قربانی تعویض سیم کارت در فوریه 2021 پس از سرقت حدود 450000 دلار بیت کوین (BTC) شکایت کرده بود.

کوین بیس هیچ مسئولیتی در قبال هک کردن حساب فرگوسن بر عهده نگرفت و گفت که “مسئول امنیت ایمیل، رمزهای عبور، کدهای 2FA و دستگاه های شما” در ایمیلی به فرگوسن است.

مرتبط با: هکر وجوه دزدیده شده را به Tender.fi برمی گرداند و 97 هزار دلار جایزه دریافت می کند

اعضای جامعه کریپتو اغلب نسبت به موفقیت پرونده فرگوسن شک داشتند و خاطرنشان کردند که کوین بیس استفاده از برنامه‌های احراز هویت برای 2FA را از طریق پیامک تشویق می‌کند و دومی را به عنوان «کم‌ایمن‌ترین» شکل احراز هویت توصیف می‌کند.

فکر می کنم رمزش به خطر افتاده چون در سایت های دیگر استفاده شده و یکی از آنها نقض شده است. همچنین، Coinbase برنامه Authenticator را با برچسب گذاری آن برای 2FA تشویق می کند. "قابل اعتماد" و بصورت اس ام اس "نسبتاً ایمن".

دیو فرگوسن (@_sc0rn) 7 مارس 2023

در مورد بحث در پستی با عنوان “هرگز از SMS 2FA استفاده نکنید”، برخی از کاربران Reddit تا آنجا پیش رفتند که پیشنهاد کردند SMS 2FA باید ممنوع شود، اما خاطرنشان کردند که این تنها گزینه احراز هویت در دسترس برای بسیاری از خدمات است، همانطور که یکی از کاربران گفت:

“متاسفانه، بسیاری از سرویس‌هایی که من استفاده می‌کنم هنوز Authenticator 2FA را ارائه نمی‌دهند. اما قطعاً فکر می‌کنم رویکرد پیامک ناامن است و باید ممنوع شود.”

شرکت امنیتی بلاک چین CertiK در سپتامبر 2022 در مورد خطرات استفاده از SMS 2FA هشدار داد و Jesse Leclere، کارشناس امنیتی به Cointelegraph گفت: “SMS 2FA بهتر از هیچ است، اما آسیب پذیرترین شکل 2FA است که در حال حاضر استفاده می شود.”

Leclere گفت که برنامه های احراز هویت سفارشی مانند Google Authenticator یا Duo تقریباً تمام راحتی استفاده از SMS 2FA را ارائه می دهند و در عین حال خطر تغییر سیم کارت را از بین می برند.

کاربران Reddit توصیه های مشابهی را به اشتراک گذاشتند، اما برنامه های احراز هویت اضافه شده به تلفن ها نیز این دستگاه را به یک نقطه نقص تبدیل کرده و استفاده از دستگاه های احراز هویت سخت افزاری جداگانه را پیشنهاد کردند.

نویسنده: Luke Huigsloot