Tác giả: Luke Huigsloot.   Nhóm CoinTime dịch

Cộng đồng tiền điện tử đang tranh luận liệu có nên sử dụng xác thực hai yếu tố SMS (2FA) để bảo mật tài khoản hay không sau khi có tin một khách hàng của Coinbase đang kiện sàn giao dịch tiền điện tử với giá 96.000 đô la.

Vào ngày 6 tháng 3, Jared Ferguson đã đệ đơn kiện Coinbase lên Tòa án Quận phía Bắc của Hoa Kỳ, tuyên bố rằng anh ta đã mất “90% số tiền tiết kiệm cả đời” sau khi tiền bị rút khỏi tài khoản của anh ta bởi những kẻ trộm danh tính và Coinbase đã từ chối bồi thường cho anh ta.

Ferguson được cho là đã trở thành nạn nhân của một loại hành vi trộm cắp danh tính được gọi là “hoán đổi sim”, cho phép những kẻ lừa đảo giành quyền kiểm soát một số điện thoại bằng cách lừa nhà cung cấp dịch vụ viễn thông liên kết số này với thẻ sim của chính họ.

Điều này cho phép họ bỏ qua bất kỳ SMS 2FA nào trên tài khoản và trong tình huống này được cho là đã cho phép họ xác nhận việc rút 96.000 đô la từ tài khoản Coinbase của Ferguson.

Ferguson tuyên bố rằng anh ấy đã mất dịch vụ sau khi điện thoại của anh ấy bị hack vào ngày 9 tháng 5 và nhận thấy rằng số tiền đã bị lấy từ tài khoản Coinbase của anh ấy sau khi nhận được thẻ sim mới và khôi phục dịch vụ của anh ấy theo hướng dẫn từ nhà cung cấp dịch vụ T-Mobile.

T-Mobile trước đây đã bị một nạn nhân tráo đổi sim kiện vào tháng 2 năm 2021, sau vụ trộm Bitcoin (BTC) trị giá khoảng 450.000 USD.

Coinbase từ chối mọi trách nhiệm đối với việc hack tài khoản của Ferguson, nói với anh ấy trong một email rằng anh ấy “chịu trách nhiệm về tính bảo mật của e-mail, mật khẩu, mã 2FA và thiết bị của bạn”.

Các thành viên của cộng đồng tiền điện tử thường nghi ngờ rằng vụ kiện của Ferguson sẽ thành công, lưu ý rằng Coinbase khuyến khích sử dụng các ứng dụng xác thực cho 2FA thay vì SMS và mô tả SMS là hình thức xác thực “kém an toàn nhất”.

Tôi đoán mật khẩu của anh ấy đã bị xâm phạm vì nó đã được sử dụng trên các trang web khác, một trong số đó đã bị vi phạm. Ngoài ra, Coinbase khuyến khích ứng dụng Authenticator cho 2FA bằng cách gắn nhãn là "an toàn" và SMS là "an toàn vừa phải".

– Dave Ferguson (@_sc0rn) ngày 7 tháng 3 năm 2023

Một số người dùng Reddit thảo luận về vụ kiện trong một bài đăng có tiêu đề “Không bao giờ sử dụng SMS 2FA” đã đề xuất rằng SMS 2FA nên bị cấm, nhưng lưu ý rằng đó là tùy chọn xác thực duy nhất có sẵn cho nhiều dịch vụ, như một người dùng đã nói:

“Thật không may, nhiều dịch vụ tôi sử dụng chưa cung cấp Authenticator 2FA. Nhưng tôi chắc chắn rằng cách tiếp cận SMS đã được chứng minh là không an toàn và nên bị cấm.”

Công ty bảo mật blockchain CertiK đã cảnh báo về sự nguy hiểm của việc sử dụng SMS 2FA vào tháng 9 năm 2022, với chuyên gia bảo mật Jesse Leclere nói với Cointelegraph trong một cuộc phỏng vấn rằng “SMS 2FA có còn hơn không, nhưng nó là hình thức 2FA dễ bị tấn công nhất hiện đang được sử dụng. ”

Leclere cho biết các ứng dụng xác thực chuyên dụng như Google Authenticator hoặc Duo cung cấp gần như tất cả sự tiện lợi khi sử dụng SMS 2FA đồng thời loại bỏ nguy cơ tráo đổi sim.

Người dùng Reddit đã chia sẻ lời khuyên tương tự nhưng các ứng dụng xác thực được thêm vào trên điện thoại cũng khiến thiết bị đó trở thành điểm lỗi duy nhất và khuyến nghị sử dụng các thiết bị xác thực phần cứng riêng biệt.