Die Krypto-Community diskutiert, ob die SMS-Zwei-Faktor-Authentifizierung (2FA) jemals für die Kontosicherheit verwendet werden sollte, nachdem bekannt wurde, dass ein Coinbase-Kunde die Kryptowährungsbörse auf 96,000 US-Dollar verklagt.
Am 6. März reichte Jared Ferguson eine Klage ein Klage gegen Coinbase vor dem US-Bezirksgericht für den nördlichen Bezirk von Kalifornien und behauptete, er habe „90 % seiner Lebensersparnisse“ verloren, nachdem Gelder von seinem Konto durch Identitätsdiebe abgehoben worden seien und Coinbase sich geweigert habe, ihn zu erstatten.
Ferguson soll Opfer einer Art Identitätsdiebstahl geworden sein, der als „Sim-Swapping“ bekannt ist und es Betrügern ermöglicht, die Kontrolle über eine Telefonnummer zu erlangen, indem sie den Telekommunikationsanbieter dazu bringen, die Nummer mit ihrer eigenen SIM-Karte zu verknüpfen.
Dies ermöglicht es ihnen, jede SMS 2FA auf einem Konto zu umgehen, und erlaubte ihnen in dieser Situation angeblich, die Auszahlung von 96,000 $ von Fergusons Coinbase-Konto zu bestätigen.
Ferguson behauptete, er habe den Dienst verloren, nachdem sein Telefon am 9. Mai gehackt worden war, und bemerkte, dass das Geld von seinem Coinbase-Konto abgebucht worden war, nachdem er eine neue SIM-Karte erhalten und seinen Dienst gemäß den Anweisungen seines Dienstanbieters T-Mobile wiederhergestellt hatte.
T-Mobile war zuvor von einem Sim-Swapping-Opfer verklagt im Februar 2021 nach dem Diebstahl von Bitcoin im Wert von etwa 450,000 $ (BTC).
Coinbase lehnte jede Verantwortung für den Hack von Fergusons Konto ab und teilte ihm in einer E-Mail mit, dass er „für die Sicherheit Ihrer E-Mail, Ihrer Passwörter, Ihrer 2FA-Codes und Ihrer Geräte verantwortlich“ sei.
Related: Hacker gibt gestohlene Gelder an Tender.fi zurück und erhält eine Prämie von 97 $
Mitglieder der Krypto-Community bezweifelten im Allgemeinen, dass die Klage von Ferguson erfolgreich sein würde, und stellten fest, dass Coinbase die Verwendung von Authentifizierungs-Apps für 2FA anstelle von SMS und anregt beschreibt letzteres als die „unsicherste“ Form der Authentifizierung.
Ich schätze, sein Passwort wurde kompromittiert, weil es auf anderen Seiten verwendet wurde, von denen eine gehackt wurde. Außerdem fördert Coinbase die Authenticator-App für 2FA, indem sie sie als „sicher“ und SMS als „mäßig sicher“ bezeichnet.
– Dave Ferguson (@_sc0rn) 7. März 2023
Einige Reddit-Benutzer, die die Klage in einem Beitrag mit dem Titel „Never Use SMS 2FA“ diskutierten, gingen so weit, SMS 2FA vorzuschlagen verboten, stellte jedoch fest, dass dies die einzige verfügbare Authentifizierungsoption für viele Dienste war, wie ein Benutzer sagte:
„Leider bieten viele Dienste, die ich nutze, Authenticator 2FA noch nicht an. Aber ich bin definitiv der Meinung, dass sich der SMS-Ansatz als unsicher erwiesen hat und verboten werden sollte.“
Die Blockchain-Sicherheitsfirma CertiK warnte davor Gefahren der Verwendung von SMS 2FA im September 2022, mit seinem Sicherheitsexperten Jesse Leclere, der Cointelegraph in einem Interview sagte, dass „SMS 2FA besser als nichts ist, aber es ist die anfälligste Form von 2FA, die derzeit verwendet wird“.
Laut Leclere bieten dedizierte Authentifizierungs-Apps wie Google Authenticator oder Duo fast den gesamten Komfort der Verwendung von SMS 2FA und beseitigen gleichzeitig das Risiko des Sim-Tauschs.
Reddit-Benutzer teilten ähnliche Ratschläge, aber hinzugefügte Authentifizierungs-Apps auf Telefonen machen dieses Gerät auch zu einem Single Point of Failure und empfahlen die Verwendung separater Hardware-Authentifizierungsgeräte.
Quelle: https://cointelegraph.com/news/debate-over-2fa-using-sms-after-sim-swapping-victim-sues-coinbase