1 puan yazan GN⁺ 2025-05-16 | 1 yorum | WhatsApp'ta paylaş
  • Coinbase, yurt dışındaki destek personelinin rüşvetle ayartılması sonucu müşteri verilerinin sızdırıldığı bir olayı açıkladı; saldırganlar bu verileri sosyal mühendislik saldırılarında kullanmayı amaçladı ve olayın giderilme maliyetinin 400 milyon dolara kadar çıkabileceği tahmin ediliyor
  • Saldırganlar, 11 Mayıs’ta bazı müşteri hesap bilgilerini ve şirket içi belgeleri ele geçirdiklerini iddia ederek bunları yayımlamamak karşılığında 20 milyon dolar talep etti
  • Sızan veriler arasında ad, iletişim bilgileri, maskelenmiş banka hesabı bilgileri, kimlik görüntüleri ve hesap bakiyeleri yer aldı; ancak parolalar, özel anahtarlar ve fonlar açığa çıkmadı, Coinbase Prime hesapları da etkilenmedi
  • Coinbase fidye ödemeyi reddetti ve kolluk kuvvetleriyle iş birliği içinde çalışıyor; ilgili çalışanları işten çıkarıp etkilenme ihtimali olan müşterileri uyardıktan sonra dolandırıcılık izleme korumasını güçlendirdi
  • Şirket, saldırının sorumlularının yakalanmasına ve mahkûm edilmesine yol açacak bilgiler için 20 milyon dolar ödül koyduğunu ve saldırganlara kanarak fon gönderen müşterilere geri ödeme yapacağını açıkladı

Yurt dışındaki destek personelinin rüşvetle ayartılmasıyla gerçekleşen veri hırsızlığı

  • Coinbase’e göre siber suçlular, müşteri verilerini çalmak için yurt dışındaki destek ajanlarına rüşvet verdi ve bu verileri sosyal mühendislik saldırılarında kullanmayı amaçladı
  • Bu olayın giderilme maliyeti 400 milyon dolara kadar çıkabilir
  • Coinbase hisseleri sabah işlemlerinde %6’dan fazla düştü

20 milyon dolarlık talep ve Coinbase’in yanıtı

  • Coinbase, 11 Mayıs’ta bazı müşteri hesap bilgileri ve şirket içi belgeleri ele geçirdiğini iddia eden bir e-posta aldı
    • Şirketin SEC başvuru belgesinde bildirdiğine göre şirket içi belgeler, müşteri hizmetleri ve hesap yönetim sistemleriyle ilgili materyalleri içeriyordu
  • Saldırgan, bu bilgileri yayımlamamak karşılığında 20 milyon dolar talep etti
  • Coinbase fidye ödemedi ve olayı kolluk kuvvetleriyle birlikte soruşturuyor
  • Şirket, blog yazısında talebi reddetmek yerine suçluların yakalanmasına ve mahkûm edilmesine yol açacak bilgiler için 20 milyon dolar ödül ayırdığını belirtti

Açığa çıkan bilgiler ve etki kapsamı

  • Etkilenen veriler hassas müşteri bilgilerini içeriyor
    • Ad, adres, telefon numarası, e-posta
    • Maskelenmiş banka hesap numaraları ve tanımlayıcılar
    • Social Security numarasının son 4 hanesi
    • Resmî kimlik görüntüleri
    • Hesap bakiyesi
  • Parolalar, özel anahtarlar ve fonlar açığa çıkmadı
  • Coinbase Prime hesapları etkilenmedi
  • Saldırganlara kanarak fon gönderen müşterilere geri ödeme yapılacak

İç erişimin kötüye kullanılması ve önceden tespit

  • Saldırganlar, bilgi elde etmek için yurt dışındaki yüklenicilere ve destek rolündeki çalışanlara para verdi
  • Rüşvetle ayartılan içeridekiler, müşteri destek sistemlerine erişim yetkilerini kötüye kullanarak bazı müşteri hesap verilerini çaldı
  • Coinbase, önceki birkaç ay içinde ihlali bağımsız olarak tespit etti ve ilgili çalışanları derhal işten çıkardı
  • Bilgilerine erişilmiş olabilecek müşterileri uyardı ve dolandırıcılık izleme korumasını güçlendirdi

Coinbase’in son dönemdeki iş akışı

  • Coinbase, ABD’nin en büyük kripto para borsasını işletiyor
  • Son bir hafta içinde küresel genişlemeye yardımcı olması beklenen bir satın alma açıkladı ve gelecek haftadan itibaren geçerli olacak S&P 500 endeksine dahil edilmesi de kesinleşti
  • CEO Brian Armstrong, geçen haftaki bilanço konferans görüşmesinde Coinbase’i önümüzdeki 5 ila 10 yıl içinde dünyanın 1 numaralı finansal hizmetler uygulaması yapma hedefinden bahsetti

1 yorum

 
GN⁺ 2025-05-16
Hacker News yorumları
  • SEC başvurusunun orijinal bağlantısı: https://www.sec.gov/ix?doc=/Archives/edgar/data/0001679788/0...

  • Bu taraftan ya da sızan verileri satın alan birinden düzenli olarak hedefli oltalama telefonları alıyorum
    Olası dolandırıcılık içeren bir işlemi doğrulamam gerektiğini söyleyen tipik bir yöntem; Amerikan aksanlı kusursuz İngilizce konuşuyorlar, çok samimi geliyorlar ve hesap bakiyemi bile biliyorlar
    Neyse ki ilk aramada bunun dolandırıcılık olduğunu hemen anladım; geri kalanlarını Google’ın arama tarama özelliği iyi engelledi
    Mümkünse Kitboga’ya yönlendirmek isterdim: https://www.youtube.com/watch?v=HNziOoXDBeg

    • Bu sızıntıdan önce Coinbase’de anlamlı bir varlığınız olduysa, hedefli oltalama en küçük endişeniz
      Coinbase yalnızca ad ve adresleri değil, bakiyeleri, işlem geçmişini ve devlet kimliği görsellerini de vermiş sayılır; yüksek kripto para bakiyesi olan insanlar sokakta ya da evlerinde saldırıya uğruyor veya aile üyeleri fidye amacıyla kaçırılıyor
      Burada “yüksek” tutar 10 bin doların altında bile olabilir
      Şimdiye kadarki en iyi savunma gizliliği korumaktı; gerçek adınızla ilişkilendirilebilecek şekilde kripto para hakkında kamuya açık konuşmamaktı, ama Coinbase sayesinde bu savunma hattı ortadan kalktı
      Kötü niyetliler kimin Coinbase’de anlamlı bir bakiyesi olmuş, bu bakiyeyi nakde çevirip çevirmediği ve ne kadar olduğu, token’larını borsa dışındaki kendi cüzdanına taşıyıp taşımadığı gibi şeyleri bilebiliyor
      Artık kimi kaçırmaya değer olduğunu ve nerede yaşadığını biliyorlar; ad ve ev adresini Google’da aratınca da tehdit ya da kaçırma hedefi olabilecek aile üyelerinin adları çoğunlukla çıkıyor
      Coinbase muhtemelen gerçek zarar maliyetlerinin tamamını tazmin etmeye zorlanmayacak; bu maliyet şirketi iflas ettirecek seviyede olurdu
    • Pixel’den iPhone’a geçtim ve spam aramaların çokluğuna şaşırdım
      iPhone kullanıcıları bununla nasıl başa çıkıyor merak ediyorum
    • Ben hiç denemediğim halde düzenli olarak Coinbase giriş doğrulama kodu SMS’leri almaya başladım
      Microsoft hesabımda da aynı şey oluyor
      Genelde sadece yok sayıyorum ama sanki biri e-postamla giriş yapılıp yapılamayacağını test ediyor
    • Bu tür hedefli oltalama aramalarının ne zamandır arttığını merak ediyorum
      Coinbase’in, “siber suçlular” kendileriyle iletişime geçene kadar bunu sistemik bir sorun olarak göremediği açıklamasına inanmak zor
    • Yapay zekadan sonra dolandırıcılıklar daha sofistike hale geldi ve yaygın yazım hatalarının çoğu ortadan kalktı
      Geçenlerde meraktan bir oltalama e-postasına bakarken tuhaf bir Unicode karakterinin yanlış çevrildiğini fark ettim ve bunun hemen kötü çevirinin izi olduğunu anladım
      Mükemmel değil ama oldukça iyi hazırlanmıştı
  • Sorun şu ki sızdırılan veriler hesap kurtarma için kullanılan verilere benziyor
    Yani ister sizin hatanız ister Coinbase’in hatası olsun, hesaba erişiminizi kaybederseniz kurtarma süreci artık o kadar basit olmayabilir; hacker’lar da bu sızıntıdaki bilgileri kullanarak hesabı “kurtarmaya” çalışabilir
    Coinbase’in fiziksel şubelere ihtiyacı var. Hesap kurtarma gibi işleri yüz yüze halledebileceğiniz, para çalmaya çalışan kişiyi yakalayıp yargılatabileceğiniz yerler olmalı; bu, genellikle yurt dışından hareket eden hırsızlar için de büyük bir engel olur
    Buradaki tek çözüm YubiKey gibi donanım tabanlı iki faktörlü kimlik doğrulama

    • Kripto para sektörü, küresel finans sisteminin neden var olduğunu hızla yeniden keşfetmeye devam ediyor
      Az önce tarif edilen şey, birçok kripto para savunucusunun banka dediği şeyle aynı
    • Bu sadece banka
    • YubiKey gibi donanım tabanlı iki faktörlü kimlik doğrulamayı kaybedersen ne yapacaksın? Sonunda yine hesap kurtarma aşamasına dönmüyor musun?
    • Kendi kontrolünüzdeki bir cüzdana para gönderdiyseniz, o anahtarla bir mesaj imzalatıp Coinbase’in kayıtlı adres üzerinden doğrulaması güvenilir bir kurtarma faktörü olabilir
      Sonuçta kripto para da bir başka açık anahtar altyapısı
    • Hesap kurtarmada kullanılacak verilerin %99’u kamuya açık kayıtlarda olan ya da zaten onlarca büyük veri sızıntısında yer almış bilgiler
  • Coinbase müşteri desteğiyle iletişime geçip etkilenip etkilenmediğimi doğrulamaya çalıştım
    Yapay zeka botuyla zaman kaybettikten sonra bir insana bağlandım; o çalışan sızıntıdan haberdar değildi ve bunu ona söyleyen ilk kişi bendim

    • Etkilenen hesaplara e-posta gönderdiler
      Kaynak: Ben etkilendim
    • Duyduğun şey “Vay, biz bilmiyorduk, bunu bize ilk siz söylediniz” şeklindeki scriptti
  • Coinbase’in kimlik doğrulama ve yetkilendirme için gerekenden çok daha fazla hassas bilgiyi saklamak zorunda kalmasının nedeni müşterini tanı düzenlemeleri
    Pasaport fotoğraflarının çalınmasında ve suçluların ya da kötü niyetli Coinbase çalışanlarının bu bilgilerle ne yaparsa yapmasında sorumluluğun bir kısmı için hükümete teşekkür etmek gerek

    • Müşterini tanı düzenlemelerinin yeterince iyi gerekçeleri var
      Buradaki sorun devlet düzenlemesi değil, özel bir şirketin müşteri verilerini özensizce ele alması
      Özensiz davranmak ucuz; risk altındaki bilgi şirketin değil müşterinin olduğu için de kanun zorlamadıkça düzgün koruma motivasyonu düşük
    • Bu fazlasıyla kolay bir sorumluluktan kaçma yolu
      Neden tüm destek temsilcilerinin kimlik doğrulama belgelerine kalıcı erişimi olması gerektiğini dürüstçe açıklamaları gerekir
      O belgeler yalnızca müşterini tanı düzenlemeleri için gerekli
  • Coinbase, kendisini sözde “yurt dışındaki kötü niyetli destek görevlilerinden” ayrı göstermeye epey uğraşıyor gibi
    Eğer onlar Coinbase çalışanı ya da yüklenicisiyse, şirket fiilen kendi verisini hacker’lara satmış ve hacker da dönüp fidye istemiş demektir
    Kandırılıp para gönderen müşterilere tazminat ödemek makul. Çünkü Coinbase’in eylemlerinin kayba yol açtığı yönündeki dava mantığı oldukça net görünüyor
    Daha çok merak ettiğim, taşınma, banka değiştirme, e-posta değiştirme, koruma personeli tutma gibi şeylere ihtiyaç duyduğunu hisseden birinin bu maliyetlerin bir kısmını ya da tamamını şirkete yüklemek için açacağı davayı kazanıp kazanamayacağı

    • Bu yorum tuhaf
      Bir şirket çalışanı politikayı ihlal edip, muhtemelen yasa dışı şekilde şirket içi verileri çıkarıp para karşılığında hacker’a verdiyse, “şirketimiz verileri sattı” demek zor
  • Coinbase blog yazısı: https://www.coinbase.com/blog/protecting-our-customers-stand...
    Sosyal mühendislik saldırısıyla saldırganlara para göndermeye kandırılan müşterilere tazminat ödeyeceklerini, verilerine erişilen müşterilere de no-reply@info.coinbase.com adresinden e-postanın zaten gönderildiğini söylüyorlar.
    Etkilenen müşterilere gönderilen tüm bildirimlerin 15 Mayıs Doğu saatiyle 07:20'de gönderildiğini söylüyorlar.

    • no-reply kullanmaları ilginç bir karar.
      Coinbase gibi bir şirketi yönetmenin zor olduğunu anlıyorum ama merkezileşme ve müşteri desteği gibi en büyük güçlü yanlarının, tam da bu tür sosyal mühendisliği mümkün kılan unsurlar olması da tuhaf bir tercih gibi hissettiriyor.
    • “Parolalar, özel anahtarlar ve fonlar ifşa olmadı; Coinbase Prime hesapları etkilenmedi” demişler; Coinbase Prime hesaplarının neden sızıntıya dahil olmadığını merak ediyorum.
      Coinbase Prime'ın ücretli duvarının arkasında ek bir veri koruma katmanı mı var, yoksa daha deneyimli kullanıcılar olma olasılıkları yüksek olduğu için özellikle mi kaçındılar, bilmiyorum.
  • Sızıntı açıklamasına göre saldırganlar, ABD dışındaki destek işlerinde çalışan birkaç yükleniciye ya da çalışana para verip, iş gereği erişim yetkileri olan Coinbase iç sistemlerinden bilgi toplamalarını sağlamış gibi görünüyor.
    Sızan bilgilere bakılırsa kaynağın Filipinler müşteri desteği olma ihtimali yüksek.
    Aylık ücretler genelde 1.000 doların altında, giriş seviyesi 500 dolar bile olmayabildiği için 5.000 dolarlık bir rüşvet vergisiz bir yıldan fazla paraya denk gelebilir.
    Bu veri setiyle kazanılabilecek para düşünülünce küçük bir yatırım.
    Sızan kalemler arasında ad, adres, telefon numarası, e-posta, maskelenmiş sosyal güvenlik numarasının son 4 hanesi, maskelenmiş banka hesap numaraları ve bazı banka tanımlayıcıları, ehliyet ve pasaport gibi devlet kimliği görselleri, bakiye anlık görüntüleri ve işlem geçmişi, destek görevlisinin görebileceği bazı şirket belgeleri, eğitim materyalleri ve iletişimler var.
    Bu, her saldırganın hayalini kurduğu türden veri; yalnızca e-posta adresleri ve hesap bakiyeleri bile bir kâbus.
    Şirkete şantaj yapmak yerine her kullanıcıya doğrudan şantaj yapılabilir. “BTC'nin %50'sini gönderirsen tüm bilgilerini internete yaymam” gibi.
    Vastaamo veri sızıntısına benzer bir durum olacak gibi: https://en.wikipedia.org/wiki/Vastaamo_data_breach

    • Tek tek kullanıcılara şantaj yapılması endişelerin en küçüğü olabilir.
      Fransa'da bu yılın başından beri kripto para yatırımcılarıyla bağlantılı en az 5 kaçırma ve kaçırma girişimi yaşandı.
    • Daha da vahim.
      ABD şirketleri müşteri desteğini Filipinler'e dış kaynak olarak verip saat başına 3–6 dolar ödüyor.
      Bu hizmetleri sağlayan firmalarda personel devri çok yüksek; bazı şirketlerde çalışanların ortalama kıdemi yaklaşık 6 ay.
      Sadakat göstermek için hiçbir neden yok.
    • Yapay zekaya yönelik devlet düzenlemesi de neredeyse yok, veri sızıntılarına yönelik ceza da yok, insanları büyük ölçekli kötüye kullanımdan koruyan mekanizmalar da yok.
      Hatta tam ters yöne gidiliyor.
      Böyle bir şokla ABD'nin çok geçmeden kaosa sürükleneceğini düşünüyorum.
    • Asıl mesele yalnızca Filipinler'deki düşük ücretler değil, herkesin bir fiyatı olduğu gerçeği.
      ABD'de olsaydı fiyat çok daha yüksek olurdu ama saldırıdan elde edilecek kazanç da muhtemelen daha büyük tarafa göre ayarlanırdı.
  • Coinbase hakkında ne düşünürseniz düşünün, bu yanıt oldukça iyi görünüyor.
    20 milyon dolarlık fidyeyi ödemeyip bunun yerine sorumluların yakalanmasına ve mahkûm edilmesine yol açacak bilgi için 20 milyon dolar ödül koyacaklarını söylüyorlar.

    • Hiç de iyi değil.
      Başlık “Protecting Our Customers - Standing Up to Extortionists”; oysa kişisel bilgileri sızdırdıkları için özür dilemeleri gereken bir durumda, duyuruyu insanların onları övmesini sağlayacak şekilde yazmaları sorun.
      Bu yüzden gerçekten öfkeliyim.
      Üstelik bana gelen e-postanın konusu “important notice” idi ve kişisel hesabımın etkilendiği bilgisi uzun bir paragrafın üçüncü cümlesindeydi.
      Bunların hiçbiri iyi değil; bu şirketin meseleyi ciddiye aldığını da göstermiyor.
    • 1996 yapımı Ransom filmindekiyle aynı taktik: https://youtu.be/haThIxPnYro?si=Jxu0elA-ylB5Z15q
    • Hoşuma gitti.
      Böyle anlarda kurumsal dilden kısa süreliğine çıkıp “defolun, hacker pislikler!” gibi bir şey söylemek için de iyi bir fırsattı.
      Bible Belt'te yaşayanlar bile yerinde edilmiş bir küfrü takdir eder.
    • Müşteri açısından fidyeyi ödeyip kişisel olarak tanımlanabilir bilgileri geri almak daha iyi olabilir.
      Bir ödül programı da oluştururlarsa iyi olur ama benim verim söz konusuysa Coinbase'in misilleme amaçlı ödül avcılığı oynamasındansa sızıntının kapsamını azaltmasıyla daha çok ilgilenirim.
  • Coinbase'in en başta bu bilgilere sahip olmak zorunda kalması müşterini tanı düzenlemeleri yüzünden; bu gerçekten talihsiz.
    Geçerli bir sebep olmadan kişisel olarak tanımlanabilir bilgileri paylaşmama yönünde güçlü bir toplumsal norm oluşturmalıyız.
    Bu yalnızca bireysel hırsızlık riski değil, aynı zamanda ulusal güvenlik riski.
    Coinbase benim Social Security hesabıma prim yatırmadığı için Social Security numaramı almamalı; evime gelmediği için de adresimi almamalı.
    Tarihsel olarak müşterini tanı düzenlemeleri komünist ülkelerde yaygındı ama çoğu demokraside 11 Eylül'den önce hayal edilmesi zordu.
    11 Eylül, istihbarat kurumlarının istediği listeleri yasaya sokmaları için mükemmel bir fırsat verdi; ne yazık ki bu, yerli istihbarat kurumları kadar, hatta belki daha da fazla yabancı istihbarat kurumlarına yarıyor.
    Çeşitli ülkelerde ne zaman yürürlüğe girdiğini burada görebilirsiniz: https://en.wikipedia.org/wiki/Know_your_customer#Laws_by_cou...

    • Coinbase hesabın ele geçirilip bir çözüm aramak zorunda kaldıktan sonra da bu tutumu tekrarlayabilecek misin, duymak isterim.