La comunità crittografica sta discutendo se l'autenticazione a due fattori SMS (2FA) debba mai essere utilizzata per la sicurezza dell'account in seguito alla notizia che un cliente Coinbase ha citato in giudizio l'exchange di criptovalute per $ 96,000.
Il 6 marzo Jared Ferguson ha presentato una denuncia querela contro Coinbase presso il tribunale distrettuale degli Stati Uniti per il distretto settentrionale della California, sostenendo di aver perso "il 90% dei risparmi di una vita" dopo che i fondi erano stati prelevati dal suo conto da ladri di identità e Coinbase si era rifiutato di rimborsarlo.
Si dice che Ferguson sia caduto preda di un tipo di furto di identità noto come "sim-swapping", che consente ai truffatori di ottenere il controllo di un numero di telefono inducendo il provider di telecomunicazioni a collegare il numero alla propria scheda SIM.
Ciò consente loro di aggirare qualsiasi SMS 2FA su un account e, in questa situazione, avrebbe consentito loro di confermare il prelievo di $ 96,000 dall'account Coinbase di Ferguson.
Ferguson ha affermato di aver perso il servizio dopo che il suo telefono è stato violato il 9 maggio e ha notato che i fondi erano stati prelevati dal suo account Coinbase dopo aver ottenuto una nuova scheda SIM e aver ripristinato il suo servizio secondo le istruzioni del suo fornitore di servizi T-Mobile.
T-Mobile era in precedenza citato in giudizio da una vittima dello scambio di sim nel febbraio 2021, in seguito al furto di circa $ 450,000 di Bitcoin (BTC).
Coinbase ha negato ogni responsabilità per l'hacking dell'account di Ferguson, dicendogli in una e-mail che è "responsabile della sicurezza della tua e-mail, delle tue password, dei tuoi codici 2FA e dei tuoi dispositivi".
Correlato: L'hacker restituisce i fondi rubati a Tender.fi, riceve una ricompensa di $ 97
I membri della comunità crittografica erano generalmente dubbiosi sul successo della causa legale di Ferguson, osservando che Coinbase incoraggia l'uso di app di autenticazione per 2FA piuttosto che SMS e descrive quest'ultima come forma di autenticazione “meno sicura”.
Immagino che la sua password sia stata compromessa perché utilizzata su altri siti, uno dei quali è stato violato. Inoltre, Coinbase incoraggia l'app Authenticator per 2FA etichettandola come "sicura" e gli SMS come "moderatamente sicuri".
— Dave Ferguson (@_sc0rn) 7 Marzo 2023
Alcuni utenti di Reddit che discutono della causa in un post intitolato "Non usare mai SMS 2FA" sono arrivati al punto di suggerire che SMS 2FA dovrebbe essere vietato, ma ha notato che era l'unica opzione di autenticazione disponibile per molti servizi, come ha affermato un utente:
“Purtroppo molti servizi che utilizzo non offrono ancora Authenticator 2FA. Ma penso decisamente che l'approccio SMS si sia dimostrato pericoloso e dovrebbe essere bandito.
La società di sicurezza blockchain CertiK ha avvertito del pericoli dell'uso degli SMS 2FA nel settembre 2022, con il suo esperto di sicurezza Jesse Leclere che ha dichiarato a Cointelegraph in un'intervista che "SMS 2FA è meglio di niente, ma è la forma più vulnerabile di 2FA attualmente in uso".
Leclere ha affermato che app di autenticazione dedicate come Google Authenticator o Duo offrono quasi tutta la comodità dell'utilizzo di SMS 2FA eliminando il rischio di scambio di sim.
Gli utenti di Reddit hanno condiviso consigli simili, ma le app di autenticazione aggiunte sui telefoni rendono anche quel dispositivo un singolo punto di errore e hanno raccomandato l'uso di dispositivi di autenticazione hardware separati.
Fonte: https://cointelegraph.com/news/debate-over-2fa-using-sms-after-sim-swapping-victim-sues-coinbase