ชุมชน crypto กำลังถกเถียงกันว่าควรใช้ SMS two-factor authentication (2FA) เพื่อความปลอดภัยในบัญชีหรือไม่ หลังจากมีข่าวว่าลูกค้าของ Coinbase กำลังฟ้องบริษัทแลกเปลี่ยน cryptocurrency ในราคา $96,000
เมื่อวันที่ 6 มี.ค. จาเร็ด เฟอร์กูสันยื่นฟ้อง คดีความ ต่อ Coinbase ในศาลแขวงสหรัฐในเขต Northern District of California โดยอ้างว่าเขาสูญเสีย “90% ของเงินออมในชีวิตของเขา” หลังจากที่เงินถูกถอนออกจากบัญชีของเขาโดยโจรขโมยข้อมูลส่วนตัว และ Coinbase ปฏิเสธที่จะคืนเงินให้เขา
กล่าวกันว่าเฟอร์กูสันตกเป็นเหยื่อของการโจรกรรมข้อมูลประจำตัวประเภทหนึ่งที่เรียกว่า “การแลกเปลี่ยนซิม” ซึ่งทำให้ผู้โจมตีสามารถควบคุมหมายเลขโทรศัพท์ได้โดยการหลอกผู้ให้บริการโทรคมนาคมให้เชื่อมโยงหมายเลขเข้ากับซิมการ์ดของตนเอง
ซึ่งช่วยให้พวกเขาสามารถเลี่ยงผ่าน SMS 2FA ใดๆ ในบัญชีได้ และในสถานการณ์นี้ถูกกล่าวหาว่าอนุญาตให้พวกเขายืนยันการถอนเงินจำนวน 96,000 ดอลลาร์จากบัญชี Coinbase ของ Ferguson
Ferguson อ้างว่าเขาสูญเสียบริการหลังจากโทรศัพท์ของเขาถูกแฮ็กเมื่อวันที่ 9 พฤษภาคม และสังเกตเห็นว่าเงินถูกถอนออกจากบัญชี Coinbase ของเขาหลังจากได้รับซิมการ์ดใหม่และกู้คืนบริการตามคำแนะนำจากผู้ให้บริการ T-Mobile
T-Mobile เคยเป็นมาก่อน ฟ้องโดยเหยื่อที่เปลี่ยนซิม ในเดือนกุมภาพันธ์ 2021 หลังจากการขโมย Bitcoin มูลค่าประมาณ 450,000 ดอลลาร์ (BTC).
Coinbase ปฏิเสธความรับผิดชอบใด ๆ ต่อการแฮ็กบัญชีของ Ferguson โดยบอกเขาในอีเมลว่าเขา “รับผิดชอบต่อความปลอดภัยของอีเมล รหัสผ่าน รหัส 2FA และอุปกรณ์ต่าง ๆ ของคุณ”
ที่เกี่ยวข้อง แฮ็กเกอร์คืนเงินที่ถูกขโมยไปที่ Tender.fi รับรางวัลมูลค่า 97 ดอลลาร์
สมาชิกของชุมชน crypto มักสงสัยว่าการฟ้องร้องของ Ferguson จะประสบความสำเร็จ โดยสังเกตว่า Coinbase สนับสนุนการใช้แอปยืนยันตัวตนสำหรับ 2FA มากกว่า SMS และ อธิบาย หลังเป็นรูปแบบการตรวจสอบสิทธิ์ที่ "ปลอดภัยน้อยที่สุด"
ฉันเดาว่ารหัสผ่านของเขาถูกบุกรุกเพราะถูกใช้ในเว็บไซต์อื่น ซึ่งหนึ่งในนั้นถูกละเมิด นอกจากนี้ Coinbase สนับสนุนแอป Authenticator สำหรับ 2FA โดยติดป้ายว่า "ปลอดภัย" และ SMS ว่า "ปลอดภัยปานกลาง"
— เดฟเฟอร์กูสัน (@_sc0rn) March 7, 2023
ผู้ใช้ Reddit บางคนพูดคุยเกี่ยวกับคดีความในโพสต์ที่ชื่อว่า "ไม่ใช้ SMS 2FA" ไปไกลถึงการแนะนำ SMS 2FA ห้ามแต่โปรดสังเกตว่ามันเป็นตัวเลือกการตรวจสอบสิทธิ์เพียงตัวเลือกเดียวสำหรับบริการต่างๆ มากมาย ดังที่ผู้ใช้รายหนึ่งกล่าวว่า:
“น่าเสียดายที่บริการจำนวนมากที่ฉันใช้ยังไม่มี Authenticator 2FA แต่ฉันคิดว่าวิธีการทาง SMS ได้รับการพิสูจน์แล้วว่าไม่ปลอดภัยและควรถูกแบน”
บริษัทรักษาความปลอดภัยบล็อคเชน CertiK เตือนว่า อันตรายจากการใช้ SMS 2FA ในเดือนกันยายน 2022 โดย Jesse Leclere ผู้เชี่ยวชาญด้านความปลอดภัยบอกกับ Cointelegraph ในการให้สัมภาษณ์ว่า “SMS 2FA ดีกว่าไม่มีอะไรเลย แต่เป็นรูปแบบ 2FA ที่อ่อนแอที่สุดที่ใช้อยู่ในปัจจุบัน”
Leclere กล่าวว่าแอพตรวจสอบสิทธิ์โดยเฉพาะ เช่น Google Authenticator หรือ Duo ให้ความสะดวกสบายเกือบทั้งหมดของการใช้ SMS 2FA ในขณะที่ลดความเสี่ยงในการสลับซิม
ผู้ใช้ Reddit แบ่งปันคำแนะนำที่คล้ายกัน แต่การเพิ่มแอพตรวจสอบความถูกต้องบนโทรศัพท์ยังทำให้อุปกรณ์นั้นล้มเหลวเพียงจุดเดียว และแนะนำให้ใช้อุปกรณ์ตรวจสอบสิทธิ์ฮาร์ดแวร์แยกต่างหาก
ที่มา: https://cointelegraph.com/news/debate-over-2fa-using-sms-after-sim-swapping-victim-sues-coinbase