Komunitas crypto memperdebatkan apakah otentikasi dua faktor SMS (2FA) harus digunakan untuk keamanan akun setelah berita bahwa pelanggan Coinbase menuntut pertukaran cryptocurrency sebesar $96,000.
Pada 6 Maret Jared Ferguson mengajukan a perkara hukum melawan Coinbase di Pengadilan Distrik Amerika Serikat untuk Distrik Utara California, mengklaim bahwa dia kehilangan "90% dari tabungan hidupnya" setelah dana ditarik dari akunnya oleh pencuri identitas dan Coinbase menolak untuk mengembalikan uangnya.
Ferguson dikatakan telah menjadi mangsa jenis pencurian identitas yang dikenal sebagai "sim-swapping," yang memungkinkan penipu mendapatkan kendali atas nomor telepon dengan menipu penyedia telekomunikasi agar menghubungkan nomor tersebut ke kartu sim mereka sendiri.
Hal ini memungkinkan mereka untuk melewati SMS 2FA apa pun di akun, dan dalam situasi ini diduga memungkinkan mereka untuk mengonfirmasi penarikan $96,000 dari akun Coinbase Ferguson.
Ferguson mengklaim dia kehilangan layanan setelah ponselnya diretas pada 9 Mei, dan menyadari bahwa dana telah diambil dari akun Coinbase miliknya setelah mendapatkan kartu sim baru dan memulihkan layanannya sesuai instruksi dari penyedia layanannya T-Mobile.
T-Mobile sebelumnya dituntut oleh korban sim-swapping pada Februari 2021, menyusul pencurian Bitcoin senilai sekitar $450,000 (BTC).
Coinbase menolak bertanggung jawab atas peretasan akun Ferguson, mengatakan kepadanya melalui email bahwa dia "bertanggung jawab atas keamanan email Anda, kata sandi Anda, kode 2FA Anda, dan perangkat Anda."
Terkait: Peretas mengembalikan dana curian ke Tender.fi, mendapat hadiah hadiah $97K
Anggota komunitas crypto pada umumnya ragu bahwa gugatan Ferguson akan berhasil, mencatat bahwa Coinbase mendorong penggunaan aplikasi autentikator untuk 2FA daripada SMS dan menjelaskan yang terakhir sebagai bentuk otentikasi yang "paling tidak aman".
Saya menduga kata sandinya disusupi karena digunakan di situs lain, salah satunya dilanggar. Juga, Coinbase mendorong aplikasi Authenticator untuk 2FA dengan memberi label "aman" dan SMS sebagai "cukup aman".
— Dave Ferguson (@_sc0rn) 7 Maret, 2023
Beberapa pengguna Reddit yang mendiskusikan gugatan tersebut dalam postingan berjudul "Jangan Pernah Gunakan SMS 2FA" menyarankan agar SMS 2FA seharusnya dilarang, tetapi perhatikan bahwa itu adalah satu-satunya opsi autentikasi yang tersedia untuk banyak layanan, seperti yang dikatakan salah satu pengguna:
“Sayangnya banyak layanan yang saya gunakan belum menawarkan Authenticator 2FA. Tapi menurut saya pendekatan SMS terbukti tidak aman dan harus dilarang.”
Perusahaan keamanan Blockchain, CertiK, memperingatkan tentang hal itu bahaya menggunakan SMS 2FA pada September 2022, dengan pakar keamanannya Jesse Leclere mengatakan kepada Cointelegraph dalam sebuah wawancara bahwa “SMS 2FA lebih baik daripada tidak sama sekali, tetapi ini adalah bentuk 2FA yang paling rentan saat ini digunakan.”
Leclere mengatakan aplikasi autentikator khusus seperti Google Authenticator atau Duo menawarkan hampir semua kenyamanan menggunakan SMS 2FA sambil menghilangkan risiko pertukaran sim.
Pengguna Reddit berbagi saran serupa tetapi menambahkan aplikasi autentikator pada ponsel juga menjadikan perangkat itu satu titik kegagalan dan merekomendasikan penggunaan perangkat autentikasi perangkat keras terpisah.
Sumber: https://cointelegraph.com/news/debate-over-2fa-using-sms-after-sim-swapping-victim-sues-coinbase