在 Coinbase 客户以 2 美元起诉加密货币交易所的消息传出后,加密社区正在争论是否应该将 SMS 双因素身份验证 (96,000FA) 用于帐户安全。
6 月 XNUMX 日,贾里德·弗格森 (Jared Ferguson) 提交了一份 诉讼 在美国加利福尼亚州北区地方法院起诉 Coinbase,声称在身份窃贼从他的账户中提取资金并且 Coinbase 拒绝偿还他后,他失去了“90% 的毕生积蓄”。
据说弗格森已经成为一种被称为“sim-swapping”的身份盗窃的牺牲品,这种方法允许欺诈者通过欺骗电信提供商将号码链接到他们自己的 sim 卡来控制电话号码。
这使他们能够绕过帐户上的任何 SMS 2FA,据称在这种情况下允许他们确认从 Ferguson 的 Coinbase 帐户中提取了 96,000 美元。
弗格森声称他的手机在 9 月 XNUMX 日被黑客入侵后失去了服务,并注意到在获得新的 SIM 卡并按照服务提供商 T-Mobile 的指示恢复服务后,资金已从他的 Coinbase 账户中提取。
T-Mobile 以前是 被 sim 交换受害者起诉 2021 年 450,000 月,在价值约 XNUMX 美元的比特币被盗后(BTC).
Coinbase 否认对 Ferguson 账户遭到黑客攻击承担任何责任,并在一封电子邮件中告诉他,他“对你的电子邮件、密码、2FA 代码和设备的安全负责”。
相关新闻: 黑客将被盗资金返还给 Tender.fi,获得 97 万美元的赏金
加密社区的成员普遍怀疑 Ferguson 的诉讼是否会成功,并指出 Coinbase 鼓励使用验证器应用程序进行 2FA 而不是 SMS 和 介绍 后者是“最不安全”的身份验证形式。
我猜他的密码被泄露是因为它被用在其他网站上,其中一个网站被攻破了。 此外,Coinbase 通过将其标记为“安全”并将 SMS 标记为“中等安全”来鼓励 2FA 的身份验证器应用程序。
— 戴夫·弗格森 (@_sc0rn) 2023 年 3 月 7 日
一些 Reddit 用户在标题为“永远不要使用短信 2FA”的帖子中讨论诉讼,甚至建议短信 2FA 应该是 禁止,但指出它是许多服务唯一可用的身份验证选项,正如一位用户所说:
“不幸的是,我使用的很多服务还没有提供 Authenticator 2FA。 但我绝对认为短信方式已被证明是不安全的,应该被禁止。”
区块链安全公司 CertiK 警告称 使用短信的危险 2 年 2022 月的 2FA,其安全专家 Jesse Leclere 在接受采访时告诉 Cointelegraph,“短信 2FA 总比没有好,但它是目前使用的最脆弱的 XNUMXFA 形式。”
Leclere 表示,像 Google Authenticator 或 Duo 这样的专用验证器应用程序提供了使用 SMS 2FA 的几乎所有便利,同时消除了 sim 交换的风险。
Reddit 用户分享了类似的建议,但在手机上添加身份验证器应用程序也会使该设备成为单点故障,并建议使用单独的硬件身份验证设备。
资料来源:https://cointelegraph.com/news/debate-over-2fa-using-sms-after-sim-swapping-victim-sues-coinbase