Mae'r gymuned crypto yn dadlau a ddylid byth defnyddio dilysiad dau-ffactor SMS (2FA) ar gyfer diogelwch cyfrif yn dilyn newyddion bod cwsmer Coinbase yn siwio'r cyfnewid arian cyfred digidol am $96,000.
Ar Fawrth 6 ffeiliodd Jared Ferguson a chyngaws yn erbyn Coinbase yn Llys Dosbarth yr Unol Daleithiau ar gyfer Ardal Ogleddol California, gan honni iddo golli “90% o’i gynilion bywyd” ar ôl i arian gael ei dynnu o’i gyfrif gan ladron hunaniaeth a bod Coinbase wedi gwrthod ei ad-dalu.
Dywedir bod Ferguson wedi mynd yn ysglyfaeth i fath o ladrad hunaniaeth a elwir yn “gyfnewid sim,” sy’n caniatáu i dwyllwyr gael rheolaeth ar rif ffôn trwy dwyllo’r darparwr telathrebu i gysylltu’r rhif â’u cerdyn sim eu hunain.
Mae hyn yn caniatáu iddynt osgoi unrhyw SMS 2FA ar gyfrif, ac yn y sefyllfa hon honnir eu bod wedi caniatáu iddynt gadarnhau tynnu $96,000 yn ôl o gyfrif Coinbase Ferguson.
Honnodd Ferguson iddo golli gwasanaeth ar ôl i’w ffôn gael ei hacio ar Fai 9, a sylwodd fod yr arian wedi’i gymryd o’i gyfrif Coinbase ar ôl cael cerdyn sim newydd ac adfer ei wasanaeth yn unol â chyfarwyddiadau ei ddarparwr gwasanaeth T-Mobile.
Roedd T-Mobile yn flaenorol cael ei siwio gan ddioddefwr sy'n cyfnewid sim ym mis Chwefror 2021, yn dilyn lladrad gwerth tua $450,000 o Bitcoin (BTC).
Gwadodd Coinbase unrhyw gyfrifoldeb am hacio cyfrif Ferguson, gan ddweud wrtho mewn e-bost ei fod yn “gyfrifol am ddiogelwch eich e-bost, eich cyfrineiriau, eich codau 2FA, a'ch dyfeisiau.”
Cysylltiedig: Haciwr yn dychwelyd arian wedi'i ddwyn i Tender.fi, yn cael gwobr bounty $97K
Roedd aelodau'r gymuned crypto yn gyffredinol yn amheus y byddai achos cyfreithiol Ferguson yn llwyddiannus, gan nodi bod Coinbase yn annog y defnydd o apps dilysu ar gyfer 2FA yn hytrach na SMS a yn disgrifio yr olaf fel y ffurf ddilysu “lleiaf diogel”.
Rwy'n dyfalu bod ei gyfrinair wedi'i beryglu oherwydd iddo gael ei ddefnyddio ar wefannau eraill, a chafodd un ohonynt ei dorri. Hefyd, mae Coinbase yn annog app Authenticator ar gyfer 2FA trwy ei labelu'n “ddiogel” a SMS fel “cymedrol ddiogel”.
— Dave Ferguson (@_sc0rn) Mawrth 7, 2023
Aeth rhai defnyddwyr Reddit a drafododd yr achos cyfreithiol mewn post o'r enw “Peidiwch byth â defnyddio SMS 2FA” cyn belled ag awgrymu y dylai SMS 2FA fod. gwahardd, ond nododd mai dyma'r unig opsiwn dilysu sydd ar gael ar gyfer llawer o wasanaethau, fel y dywedodd un defnyddiwr:
“Yn anffodus nid yw llawer o wasanaethau rwy'n eu defnyddio yn cynnig Authenticator 2FA eto. Ond rwy'n bendant yn meddwl bod y dull SMS wedi bod yn anniogel ac y dylid ei wahardd. ”
Rhybuddiodd cwmni diogelwch Blockchain CertiK am y peryglon defnyddio SMS 2FA ym mis Medi 2022, gyda’i arbenigwr diogelwch Jesse Leclere yn dweud wrth Cointelegraph mewn cyfweliad fod “SMS 2FA yn well na dim, ond dyma’r math mwyaf agored i niwed o 2FA sy’n cael ei ddefnyddio ar hyn o bryd.”
Dywedodd Leclere fod apiau dilyswyr pwrpasol fel Google Authenticator neu Duo yn cynnig bron yr holl gyfleustra i ddefnyddio SMS 2FA wrth gael gwared ar y risg o gyfnewid sim.
Rhannodd defnyddwyr Reddit gyngor tebyg ond mae apiau dilysu ychwanegol ar ffonau hefyd yn gwneud y ddyfais honno'n un pwynt methiant ac yn argymell defnyddio dyfeisiau dilysu caledwedd ar wahân.
Ffynhonnell: https://cointelegraph.com/news/debate-over-2fa-using-sms-after-sim-swapping-victim-sues-coinbase