A comunidade cripto está debatendo se a autenticação de dois fatores SMS (2FA) deve ser usada para segurança da conta após a notícia de que um cliente da Coinbase está processando a exchange de criptomoedas por US$ 96,000.
Em 6 de março, Jared Ferguson entrou com uma ação ação judicial contra a Coinbase no Tribunal Distrital dos Estados Unidos para o Distrito Norte da Califórnia, alegando que ele perdeu "90% das economias de sua vida" depois que os fundos foram retirados de sua conta por ladrões de identidade e a Coinbase se recusou a reembolsá-lo.
Diz-se que Ferguson foi vítima de um tipo de roubo de identidade conhecido como “sim-swapping”, que permite que fraudadores obtenham o controle de um número de telefone enganando o provedor de telecomunicações para vincular o número ao seu próprio cartão SIM.
Isso permite que eles ignorem qualquer SMS 2FA em uma conta e, nessa situação, supostamente permitiu que eles confirmassem a retirada de $ 96,000 da conta Coinbase de Ferguson.
Ferguson alegou que perdeu o serviço depois que seu telefone foi hackeado em 9 de maio e notou que os fundos foram retirados de sua conta Coinbase depois de obter um novo cartão SIM e restaurar seu serviço de acordo com as instruções de seu provedor de serviços T-Mobile.
A T-Mobile era anteriormente processado por uma vítima de troca de sim em fevereiro de 2021, após o roubo de aproximadamente $ 450,000 em Bitcoin (BTC).
A Coinbase negou qualquer responsabilidade pelo hack da conta de Ferguson, dizendo-lhe em um e-mail que ele é "responsável pela segurança de seu e-mail, suas senhas, seus códigos 2FA e seus dispositivos".
Relacionado: Hacker devolve fundos roubados ao Tender.fi e recebe recompensa de $ 97
Os membros da comunidade criptográfica geralmente duvidavam que o processo de Ferguson fosse bem-sucedido, observando que a Coinbase incentiva o uso de aplicativos autenticadores para 2FA em vez de SMS e descreve o último como a forma “menos segura” de autenticação.
Acho que a senha dele foi comprometida porque foi usada em outros sites, um dos quais foi violado. Além disso, a Coinbase incentiva o aplicativo Authenticator para 2FA rotulando-o de “seguro” e o SMS como “moderadamente seguro”.
—Dave Ferguson (@_sc0rn) 7 de março de 2023
Alguns usuários do Reddit discutindo o processo em um post intitulado “Never Use SMS 2FA” chegaram a sugerir que o SMS 2FA deveria ser banido, mas observou que era a única opção de autenticação disponível para muitos serviços, como disse um usuário:
“Infelizmente, muitos serviços que uso ainda não oferecem o Authenticator 2FA. Mas eu definitivamente acho que a abordagem SMS provou ser insegura e deveria ser banida.”
A empresa de segurança Blockchain CertiK alertou sobre o perigos de usar SMS 2FA em setembro de 2022, com seu especialista em segurança Jesse Leclere dizendo ao Cointelegraph em uma entrevista que “SMS 2FA é melhor do que nada, mas é a forma mais vulnerável de 2FA atualmente em uso”.
Leclere disse que aplicativos autenticadores dedicados, como Google Authenticator ou Duo, oferecem quase toda a conveniência de usar o SMS 2FA, removendo o risco de troca de sim.
Os usuários do Reddit compartilharam conselhos semelhantes, mas aplicativos autenticadores adicionados em telefones também tornam esse dispositivo um ponto único de falha e recomendam o uso de dispositivos de autenticação de hardware separados.
Fonte: https://cointelegraph.com/news/debate-over-2fa-using-sms-after-sim-swapping-victim-sues-coinbase