在 Coinbase 客户以 96,000 美元起诉加密货币交易所的消息传出后,加密社区正在争论是否应该将 SMS 双因素身份验证 (2FA) 用于帐户安全。
3 月 6 日,Jared Ferguson 在美国加利福尼亚州北区地方法院对 Coinbase 提起诉讼,声称在身份窃贼从他的账户中提取资金后,他损失了“90% 的毕生积蓄”,而 Coinbase 拒绝提供报销他。
据说弗格森已经成为一种被称为“sim-swapping”的身份盗窃的牺牲品,它允许欺诈者通过欺骗电信提供商将号码链接到他们自己的 sim 卡来控制电话号码。
这使他们能够绕过帐户上的任何 SMS 2FA,据称在这种情况下允许他们确认从 Ferguson 的 Coinbase 帐户中提取了 96,000 美元。
弗格森声称他的手机在 5 月 9 日被黑客入侵后失去了服务,并注意到在获得新的 SIM 卡并按照服务提供商 T-Mobile 的指示恢复服务后,资金已从他的 Coinbase 账户中提取。
在价值约 450,000 美元的比特币 (BTC) 被盗后,T-Mobile 曾于 2021 年 2 月被一名模拟交换受害者起诉。
Coinbase 否认对 Ferguson 账户遭到黑客攻击承担任何责任,并在一封电子邮件中告诉他,他“对你的电子邮件、密码、2FA 代码和设备的安全负责”。
有关的: 黑客将被盗资金返还给 Tender.fi,获得 9.7 万美元的赏金
加密社区的成员普遍怀疑 Ferguson 的诉讼是否会成功,并指出 Coinbase 鼓励使用身份验证器应用程序进行 2FA 而不是 SMS,并将后者描述为“最不安全”的身份验证形式。
我猜他的密码被泄露是因为它被用在其他网站上,其中一个网站被攻破了。 此外,Coinbase 通过将其标记为“安全”并将 SMS 标记为“中等安全”来鼓励 2FA 的身份验证器应用程序。
— 戴夫·弗格森 (@_sc0rn) 2023 年 3 月 7 日
一些 Reddit 用户在一篇题为“永远不要使用 SMS 2FA”的帖子中讨论诉讼,甚至建议应该禁止 SMS 2FA,但指出这是许多服务唯一可用的身份验证选项,正如一位用户所说:
“不幸的是,我使用的很多服务还没有提供 Authenticator 2FA。 但我绝对认为短信方式已被证明是不安全的,应该被禁止。”
区块链安全公司 CertiK 在 2022 年 9 月警告使用 SMS 2FA 的危险,其安全专家 Jesse Leclere 在接受采访时告诉 Cointelegraph,“SMS 2FA 总比没有好,但它是目前使用的最脆弱的 2FA 形式。 ”
Leclere 表示,像 Google Authenticator 或 Duo 这样的专用验证器应用程序提供了使用 SMS 2FA 的几乎所有便利,同时消除了 sim 交换的风险。
Reddit 用户分享了类似的建议,但在手机上添加身份验证器应用程序也会使该设备成为单点故障,并建议使用单独的硬件身份验证设备。
