sim-လဲလှယ်ခံရသူ Coinbase ကိုတရားစွဲပြီးနောက် SMS ကိုအသုံးပြု၍ 2FA နှင့် ပတ်သက်၍ အခြေအတင်ဆွေးနွေးခြင်း။

Coinbase ဖောက်သည်တစ်ဦးသည် cryptocurrency လဲလှယ်မှုကို $2 ဖြင့် တရားစွဲနေသည့်သတင်းအပြီးတွင် SMS two-factor authentication (96,000FA) ကို အကောင့်လုံခြုံရေးအတွက် အသုံးပြုသင့်မသင့်ကို crypto အသိုင်းအဝိုင်းက အချေအတင်ဆွေးနွေးနေပါသည်။

မတ်လ 6 ရက်နေ့တွင် Jared Ferguson ကတရားစွဲဆိုခဲ့သည်။ ရုံးတင်စစ်ဆေးမှု ကယ်လီဖိုးနီးယားမြောက်ပိုင်းခရိုင်တရားရုံးရှိ Coinbase သည် ၎င်း၏အကောင့်မှ ရန်ပုံငွေများကို အထောက်အထားသူခိုးများမှ ထုတ်ယူပြီးနောက် Coinbase သည် သူ့အား ပြန်လည်ပေးချေရန် ငြင်းဆိုပြီးနောက် "သူ့အသက်ကယ်ဆယ်မှု၏ 90%" ကို ဆုံးရှုံးသွားသည်ဟု ဆိုကာ Coinbase ကို ဆန့်ကျင်ခဲ့သည်။

Ferguson သည် “sim-swapping” ဟုခေါ်သော သက်သေခံပစ္စည်းခိုးယူမှုအမျိုးအစား၏ သားကောင်အဖြစ် လိမ်လည်လှည့်ဖြားသူများသည် တယ်လီကွန်းဝန်ဆောင်မှုပေးသူကို ၎င်းတို့၏ကိုယ်ပိုင် sim card သို့ လှည့်ဖြားခြင်းဖြင့် ဖုန်းနံပါတ်ကို ထိန်းချုပ်နိုင်စေသည့် ခိုးယူမှုအမျိုးအစားတစ်ခု၏ သားကောင်ဖြစ်ခဲ့သည်ဟု ဆိုသည်။

၎င်းသည် ၎င်းတို့အား အကောင့်တစ်ခုရှိ မည်သည့် SMS 2FA ကိုမဆို ကျော်လွှားနိုင်စေပြီး ဤအခြေအနေတွင် Ferguson ၏ Coinbase အကောင့်မှ ဒေါ်လာ 96,000 ထုတ်ယူမှုကို အတည်ပြုခွင့်ပြုခဲ့သည်ဟု စွပ်စွဲခံထားရသည်။

ဖာဂူဆန်သည် မေလ 9 ရက်နေ့တွင် ၎င်း၏ဖုန်းကို ဟက်ခ်ခံရပြီးနောက် ဝန်ဆောင်မှု ဆုံးရှုံးခဲ့ကြောင်း အခိုင်အမာ ပြောကြားခဲ့ပြီး ၎င်း၏ ဝန်ဆောင်မှုပေးသူ T-Mobile ထံမှ ညွှန်ကြားချက်များအတိုင်း ၎င်း၏ ဝန်ဆောင်မှုကို ပြန်လည်ရယူပြီးနောက် ၎င်း၏ Coinbase အကောင့်မှ ငွေများကို ထုတ်ယူသွားသည်ကို သတိပြုမိခဲ့သည်။

T-Mobile က အရင်က sim-လဲလှယ်ခံရသူတစ်ဦးမှတရားစွဲ 2021 ခုနှစ် ဖေဖော်ဝါရီလတွင် ခန့်မှန်းခြေအားဖြင့် $450,000 တန်ဖိုးရှိ Bitcoin ခိုးယူပြီးနောက် (BTC).

Coinbase သည် Ferguson ၏ အကောင့် hack ခံရမှုအတွက် တာဝန်ရှိကြောင်း ငြင်းဆိုခဲ့ပြီး ၎င်းက "မင်းရဲ့ အီးမေးလ်၊ မင်းရဲ့ စကားဝှက်တွေ၊ မင်းရဲ့ 2FA ကုဒ်တွေနဲ့ မင်းရဲ့ စက်ပစ္စည်းတွေရဲ့ လုံခြုံရေးအတွက် တာဝန်ရှိတယ်" လို့ အီးမေးလ်ထဲမှာ ပြောခဲ့ပါတယ်။

Related: ဟက်ကာသည် ခိုးယူထားသော ရန်ပုံငွေများကို Tender.fi သို့ ပြန်ပေးကာ ဆုငွေ $97K ရရှိသည်။

Coinbase သည် SMS နှင့် SMS ထက် 2FA အတွက် စစ်မှန်သည့်အက်ပ်များကို အသုံးပြုခြင်းကို အားပေးကြောင်း သတိပြုမိပြီး Ferguson ၏တရားစွဲဆိုမှု အောင်မြင်မည်ကို ယေဘူယျအားဖြင့် crypto အသိုင်းအဝိုင်းမှအဖွဲ့ဝင်များက သံသယဖြစ်ခဲ့ကြသည်။ ဖော်ပြထားတယ် အထောက်အထားစိစစ်ခြင်း၏ “အနည်းဆုံး လုံခြုံသော” ပုံစံဖြစ်သည်။

သူ့စကားဝှက်ကို အခြားဝဘ်ဆိုက်များတွင် အသုံးပြုထားသောကြောင့် ဖောက်ဖျက်ခံရသည်ဟု ကျွန်တော်ထင်ပါသည်။ ထို့အပြင်၊ Coinbase သည် 2FA အတွက် Authenticator အက်ပ်အား "လုံခြုံသော" နှင့် SMS ကို "အတန်အသင့်လုံခြုံသည်" ဟုတံဆိပ်တပ်ခြင်းဖြင့် အားပေးပါသည်။

— Dave Ferguson (@_sc0rn) မတ်လ 7, 2023

“SMS 2FA ကိုဘယ်တော့မှအသုံးမပြုပါ” ခေါင်းစဉ်တပ်ထားသော ပို့စ်တွင် တရားစွဲဆိုမှုနှင့်ပတ်သက်၍ Reddit အသုံးပြုသူအချို့က SMS 2FA ဖြစ်သင့်သည်ဟု အကြံပြုထားသည် ပိတ်ပင်ထားအသုံးပြုသူတစ်ဦးပြောခဲ့သည့်အတိုင်း ဝန်ဆောင်မှုများစွာအတွက် ရနိုင်သောတစ်ခုတည်းသောအထောက်အထားစိစစ်ခြင်းရွေးချယ်ခွင့်ဖြစ်ကြောင်း မှတ်သားထားပါသည်-

"ကံမကောင်းစွာဖြင့် ကျွန်ုပ်အသုံးပြုသော ဝန်ဆောင်မှုများစွာသည် Authenticator 2FA ကို မကမ်းလှမ်းသေးပါ။ ဒါပေမယ့် SMS ချဉ်းကပ်မှုဟာ မလုံခြုံဘူးလို့ သက်သေပြခဲ့ပြီး တားမြစ်သင့်တယ်လို့ ကျွန်တော်သေချာပေါက်ထင်ပါတယ်။”

Blockchain လုံခြုံရေးကုမ္ပဏီ CertiK မှ သတိပေးခဲ့သည်။ SMS အသုံးပြုခြင်း၏အန္တရာယ်များ 2FA သည် စက်တင်ဘာ 2022 တွင် ၎င်း၏လုံခြုံရေးကျွမ်းကျင်သူ Jesse Leclere နှင့် Cointelegraph အား အင်တာဗျူးတစ်ခုတွင် "SMS 2FA သည် ဘာမှထက်သာလွန်သည်၊ သို့သော်၎င်းသည် လက်ရှိအသုံးပြုနေသော 2FA ၏အထိခိုက်ဆုံးပုံစံဖြစ်သည်။"

Google Authenticator သို့မဟုတ် Duo ကဲ့သို့သော သီးသန့် စစ်မှန်သည့် အက်ပ်လီကေးရှင်းများသည် ဆင်းမ်လဲလှယ်ခြင်း၏ အန္တရာယ်ကို ဖယ်ရှားနေစဉ် SMS 2FA အသုံးပြုခြင်းအတွက် အားလုံးနီးပါး အဆင်ပြေစေသည်ဟု Leclere မှ ပြောကြားခဲ့သည်။

Reddit အသုံးပြုသူများသည် အလားတူ အကြံဉာဏ်ကို မျှဝေခဲ့ကြသော်လည်း ဖုန်းများတွင် ထည့်သွင်းထားသော အထောက်အထားစိစစ်ခြင်းအက်ပ်များသည် ထိုစက်ပစ္စည်းကို ရှုံးနိမ့်မှုတစ်ခုဖြစ်စေပြီး သီးခြားဟာ့ဒ်ဝဲ စစ်မှန်ကြောင်းအထောက်အထားပြသည့်ကိရိယာများကို အသုံးပြုရန် အကြံပြုထားသည်။