- Coinbase, yurt dışındaki destek personelinin rüşvetle ayartılması sonucu müşteri verilerinin sızdırıldığı bir olayı açıkladı; saldırganlar bu verileri sosyal mühendislik saldırılarında kullanmayı amaçladı ve olayın giderilme maliyetinin 400 milyon dolara kadar çıkabileceği tahmin ediliyor
- Saldırganlar, 11 Mayıs’ta bazı müşteri hesap bilgilerini ve şirket içi belgeleri ele geçirdiklerini iddia ederek bunları yayımlamamak karşılığında 20 milyon dolar talep etti
- Sızan veriler arasında ad, iletişim bilgileri, maskelenmiş banka hesabı bilgileri, kimlik görüntüleri ve hesap bakiyeleri yer aldı; ancak parolalar, özel anahtarlar ve fonlar açığa çıkmadı, Coinbase Prime hesapları da etkilenmedi
- Coinbase fidye ödemeyi reddetti ve kolluk kuvvetleriyle iş birliği içinde çalışıyor; ilgili çalışanları işten çıkarıp etkilenme ihtimali olan müşterileri uyardıktan sonra dolandırıcılık izleme korumasını güçlendirdi
- Şirket, saldırının sorumlularının yakalanmasına ve mahkûm edilmesine yol açacak bilgiler için 20 milyon dolar ödül koyduğunu ve saldırganlara kanarak fon gönderen müşterilere geri ödeme yapacağını açıkladı
Yurt dışındaki destek personelinin rüşvetle ayartılmasıyla gerçekleşen veri hırsızlığı
- Coinbase’e göre siber suçlular, müşteri verilerini çalmak için yurt dışındaki destek ajanlarına rüşvet verdi ve bu verileri sosyal mühendislik saldırılarında kullanmayı amaçladı
- Bu olayın giderilme maliyeti 400 milyon dolara kadar çıkabilir
- Coinbase hisseleri sabah işlemlerinde %6’dan fazla düştü
20 milyon dolarlık talep ve Coinbase’in yanıtı
- Coinbase, 11 Mayıs’ta bazı müşteri hesap bilgileri ve şirket içi belgeleri ele geçirdiğini iddia eden bir e-posta aldı
- Şirketin SEC başvuru belgesinde bildirdiğine göre şirket içi belgeler, müşteri hizmetleri ve hesap yönetim sistemleriyle ilgili materyalleri içeriyordu
- Saldırgan, bu bilgileri yayımlamamak karşılığında 20 milyon dolar talep etti
- Coinbase fidye ödemedi ve olayı kolluk kuvvetleriyle birlikte soruşturuyor
- Şirket, blog yazısında talebi reddetmek yerine suçluların yakalanmasına ve mahkûm edilmesine yol açacak bilgiler için 20 milyon dolar ödül ayırdığını belirtti
Açığa çıkan bilgiler ve etki kapsamı
- Etkilenen veriler hassas müşteri bilgilerini içeriyor
- Ad, adres, telefon numarası, e-posta
- Maskelenmiş banka hesap numaraları ve tanımlayıcılar
- Social Security numarasının son 4 hanesi
- Resmî kimlik görüntüleri
- Hesap bakiyesi
- Parolalar, özel anahtarlar ve fonlar açığa çıkmadı
- Coinbase Prime hesapları etkilenmedi
- Saldırganlara kanarak fon gönderen müşterilere geri ödeme yapılacak
İç erişimin kötüye kullanılması ve önceden tespit
- Saldırganlar, bilgi elde etmek için yurt dışındaki yüklenicilere ve destek rolündeki çalışanlara para verdi
- Rüşvetle ayartılan içeridekiler, müşteri destek sistemlerine erişim yetkilerini kötüye kullanarak bazı müşteri hesap verilerini çaldı
- Coinbase, önceki birkaç ay içinde ihlali bağımsız olarak tespit etti ve ilgili çalışanları derhal işten çıkardı
- Bilgilerine erişilmiş olabilecek müşterileri uyardı ve dolandırıcılık izleme korumasını güçlendirdi
Coinbase’in son dönemdeki iş akışı
- Coinbase, ABD’nin en büyük kripto para borsasını işletiyor
- Son bir hafta içinde küresel genişlemeye yardımcı olması beklenen bir satın alma açıkladı ve gelecek haftadan itibaren geçerli olacak S&P 500 endeksine dahil edilmesi de kesinleşti
- CEO Brian Armstrong, geçen haftaki bilanço konferans görüşmesinde Coinbase’i önümüzdeki 5 ila 10 yıl içinde dünyanın 1 numaralı finansal hizmetler uygulaması yapma hedefinden bahsetti
1 yorum
Hacker News yorumları
SEC başvurusunun orijinal bağlantısı: https://www.sec.gov/ix?doc=/Archives/edgar/data/0001679788/0...
Bu taraftan ya da sızan verileri satın alan birinden düzenli olarak hedefli oltalama telefonları alıyorum
Olası dolandırıcılık içeren bir işlemi doğrulamam gerektiğini söyleyen tipik bir yöntem; Amerikan aksanlı kusursuz İngilizce konuşuyorlar, çok samimi geliyorlar ve hesap bakiyemi bile biliyorlar
Neyse ki ilk aramada bunun dolandırıcılık olduğunu hemen anladım; geri kalanlarını Google’ın arama tarama özelliği iyi engelledi
Mümkünse Kitboga’ya yönlendirmek isterdim: https://www.youtube.com/watch?v=HNziOoXDBeg
Coinbase yalnızca ad ve adresleri değil, bakiyeleri, işlem geçmişini ve devlet kimliği görsellerini de vermiş sayılır; yüksek kripto para bakiyesi olan insanlar sokakta ya da evlerinde saldırıya uğruyor veya aile üyeleri fidye amacıyla kaçırılıyor
Burada “yüksek” tutar 10 bin doların altında bile olabilir
Şimdiye kadarki en iyi savunma gizliliği korumaktı; gerçek adınızla ilişkilendirilebilecek şekilde kripto para hakkında kamuya açık konuşmamaktı, ama Coinbase sayesinde bu savunma hattı ortadan kalktı
Kötü niyetliler kimin Coinbase’de anlamlı bir bakiyesi olmuş, bu bakiyeyi nakde çevirip çevirmediği ve ne kadar olduğu, token’larını borsa dışındaki kendi cüzdanına taşıyıp taşımadığı gibi şeyleri bilebiliyor
Artık kimi kaçırmaya değer olduğunu ve nerede yaşadığını biliyorlar; ad ve ev adresini Google’da aratınca da tehdit ya da kaçırma hedefi olabilecek aile üyelerinin adları çoğunlukla çıkıyor
Coinbase muhtemelen gerçek zarar maliyetlerinin tamamını tazmin etmeye zorlanmayacak; bu maliyet şirketi iflas ettirecek seviyede olurdu
iPhone kullanıcıları bununla nasıl başa çıkıyor merak ediyorum
Microsoft hesabımda da aynı şey oluyor
Genelde sadece yok sayıyorum ama sanki biri e-postamla giriş yapılıp yapılamayacağını test ediyor
Coinbase’in, “siber suçlular” kendileriyle iletişime geçene kadar bunu sistemik bir sorun olarak göremediği açıklamasına inanmak zor
Geçenlerde meraktan bir oltalama e-postasına bakarken tuhaf bir Unicode karakterinin yanlış çevrildiğini fark ettim ve bunun hemen kötü çevirinin izi olduğunu anladım
Mükemmel değil ama oldukça iyi hazırlanmıştı
Sorun şu ki sızdırılan veriler hesap kurtarma için kullanılan verilere benziyor
Yani ister sizin hatanız ister Coinbase’in hatası olsun, hesaba erişiminizi kaybederseniz kurtarma süreci artık o kadar basit olmayabilir; hacker’lar da bu sızıntıdaki bilgileri kullanarak hesabı “kurtarmaya” çalışabilir
Coinbase’in fiziksel şubelere ihtiyacı var. Hesap kurtarma gibi işleri yüz yüze halledebileceğiniz, para çalmaya çalışan kişiyi yakalayıp yargılatabileceğiniz yerler olmalı; bu, genellikle yurt dışından hareket eden hırsızlar için de büyük bir engel olur
Buradaki tek çözüm YubiKey gibi donanım tabanlı iki faktörlü kimlik doğrulama
Az önce tarif edilen şey, birçok kripto para savunucusunun banka dediği şeyle aynı
Sonuçta kripto para da bir başka açık anahtar altyapısı
Coinbase müşteri desteğiyle iletişime geçip etkilenip etkilenmediğimi doğrulamaya çalıştım
Yapay zeka botuyla zaman kaybettikten sonra bir insana bağlandım; o çalışan sızıntıdan haberdar değildi ve bunu ona söyleyen ilk kişi bendim
Kaynak: Ben etkilendim
Coinbase’in kimlik doğrulama ve yetkilendirme için gerekenden çok daha fazla hassas bilgiyi saklamak zorunda kalmasının nedeni müşterini tanı düzenlemeleri
Pasaport fotoğraflarının çalınmasında ve suçluların ya da kötü niyetli Coinbase çalışanlarının bu bilgilerle ne yaparsa yapmasında sorumluluğun bir kısmı için hükümete teşekkür etmek gerek
Buradaki sorun devlet düzenlemesi değil, özel bir şirketin müşteri verilerini özensizce ele alması
Özensiz davranmak ucuz; risk altındaki bilgi şirketin değil müşterinin olduğu için de kanun zorlamadıkça düzgün koruma motivasyonu düşük
Neden tüm destek temsilcilerinin kimlik doğrulama belgelerine kalıcı erişimi olması gerektiğini dürüstçe açıklamaları gerekir
O belgeler yalnızca müşterini tanı düzenlemeleri için gerekli
Coinbase, kendisini sözde “yurt dışındaki kötü niyetli destek görevlilerinden” ayrı göstermeye epey uğraşıyor gibi
Eğer onlar Coinbase çalışanı ya da yüklenicisiyse, şirket fiilen kendi verisini hacker’lara satmış ve hacker da dönüp fidye istemiş demektir
Kandırılıp para gönderen müşterilere tazminat ödemek makul. Çünkü Coinbase’in eylemlerinin kayba yol açtığı yönündeki dava mantığı oldukça net görünüyor
Daha çok merak ettiğim, taşınma, banka değiştirme, e-posta değiştirme, koruma personeli tutma gibi şeylere ihtiyaç duyduğunu hisseden birinin bu maliyetlerin bir kısmını ya da tamamını şirkete yüklemek için açacağı davayı kazanıp kazanamayacağı
Bir şirket çalışanı politikayı ihlal edip, muhtemelen yasa dışı şekilde şirket içi verileri çıkarıp para karşılığında hacker’a verdiyse, “şirketimiz verileri sattı” demek zor
Coinbase blog yazısı: https://www.coinbase.com/blog/protecting-our-customers-stand...
Sosyal mühendislik saldırısıyla saldırganlara para göndermeye kandırılan müşterilere tazminat ödeyeceklerini, verilerine erişilen müşterilere de no-reply@info.coinbase.com adresinden e-postanın zaten gönderildiğini söylüyorlar.
Etkilenen müşterilere gönderilen tüm bildirimlerin 15 Mayıs Doğu saatiyle 07:20'de gönderildiğini söylüyorlar.
Coinbase gibi bir şirketi yönetmenin zor olduğunu anlıyorum ama merkezileşme ve müşteri desteği gibi en büyük güçlü yanlarının, tam da bu tür sosyal mühendisliği mümkün kılan unsurlar olması da tuhaf bir tercih gibi hissettiriyor.
Coinbase Prime'ın ücretli duvarının arkasında ek bir veri koruma katmanı mı var, yoksa daha deneyimli kullanıcılar olma olasılıkları yüksek olduğu için özellikle mi kaçındılar, bilmiyorum.
Sızıntı açıklamasına göre saldırganlar, ABD dışındaki destek işlerinde çalışan birkaç yükleniciye ya da çalışana para verip, iş gereği erişim yetkileri olan Coinbase iç sistemlerinden bilgi toplamalarını sağlamış gibi görünüyor.
Sızan bilgilere bakılırsa kaynağın Filipinler müşteri desteği olma ihtimali yüksek.
Aylık ücretler genelde 1.000 doların altında, giriş seviyesi 500 dolar bile olmayabildiği için 5.000 dolarlık bir rüşvet vergisiz bir yıldan fazla paraya denk gelebilir.
Bu veri setiyle kazanılabilecek para düşünülünce küçük bir yatırım.
Sızan kalemler arasında ad, adres, telefon numarası, e-posta, maskelenmiş sosyal güvenlik numarasının son 4 hanesi, maskelenmiş banka hesap numaraları ve bazı banka tanımlayıcıları, ehliyet ve pasaport gibi devlet kimliği görselleri, bakiye anlık görüntüleri ve işlem geçmişi, destek görevlisinin görebileceği bazı şirket belgeleri, eğitim materyalleri ve iletişimler var.
Bu, her saldırganın hayalini kurduğu türden veri; yalnızca e-posta adresleri ve hesap bakiyeleri bile bir kâbus.
Şirkete şantaj yapmak yerine her kullanıcıya doğrudan şantaj yapılabilir. “BTC'nin %50'sini gönderirsen tüm bilgilerini internete yaymam” gibi.
Vastaamo veri sızıntısına benzer bir durum olacak gibi: https://en.wikipedia.org/wiki/Vastaamo_data_breach
Fransa'da bu yılın başından beri kripto para yatırımcılarıyla bağlantılı en az 5 kaçırma ve kaçırma girişimi yaşandı.
ABD şirketleri müşteri desteğini Filipinler'e dış kaynak olarak verip saat başına 3–6 dolar ödüyor.
Bu hizmetleri sağlayan firmalarda personel devri çok yüksek; bazı şirketlerde çalışanların ortalama kıdemi yaklaşık 6 ay.
Sadakat göstermek için hiçbir neden yok.
Hatta tam ters yöne gidiliyor.
Böyle bir şokla ABD'nin çok geçmeden kaosa sürükleneceğini düşünüyorum.
ABD'de olsaydı fiyat çok daha yüksek olurdu ama saldırıdan elde edilecek kazanç da muhtemelen daha büyük tarafa göre ayarlanırdı.
Coinbase hakkında ne düşünürseniz düşünün, bu yanıt oldukça iyi görünüyor.
20 milyon dolarlık fidyeyi ödemeyip bunun yerine sorumluların yakalanmasına ve mahkûm edilmesine yol açacak bilgi için 20 milyon dolar ödül koyacaklarını söylüyorlar.
Başlık “Protecting Our Customers - Standing Up to Extortionists”; oysa kişisel bilgileri sızdırdıkları için özür dilemeleri gereken bir durumda, duyuruyu insanların onları övmesini sağlayacak şekilde yazmaları sorun.
Bu yüzden gerçekten öfkeliyim.
Üstelik bana gelen e-postanın konusu “important notice” idi ve kişisel hesabımın etkilendiği bilgisi uzun bir paragrafın üçüncü cümlesindeydi.
Bunların hiçbiri iyi değil; bu şirketin meseleyi ciddiye aldığını da göstermiyor.
Böyle anlarda kurumsal dilden kısa süreliğine çıkıp “defolun, hacker pislikler!” gibi bir şey söylemek için de iyi bir fırsattı.
Bible Belt'te yaşayanlar bile yerinde edilmiş bir küfrü takdir eder.
Bir ödül programı da oluştururlarsa iyi olur ama benim verim söz konusuysa Coinbase'in misilleme amaçlı ödül avcılığı oynamasındansa sızıntının kapsamını azaltmasıyla daha çok ilgilenirim.
Coinbase'in en başta bu bilgilere sahip olmak zorunda kalması müşterini tanı düzenlemeleri yüzünden; bu gerçekten talihsiz.
Geçerli bir sebep olmadan kişisel olarak tanımlanabilir bilgileri paylaşmama yönünde güçlü bir toplumsal norm oluşturmalıyız.
Bu yalnızca bireysel hırsızlık riski değil, aynı zamanda ulusal güvenlik riski.
Coinbase benim Social Security hesabıma prim yatırmadığı için Social Security numaramı almamalı; evime gelmediği için de adresimi almamalı.
Tarihsel olarak müşterini tanı düzenlemeleri komünist ülkelerde yaygındı ama çoğu demokraside 11 Eylül'den önce hayal edilmesi zordu.
11 Eylül, istihbarat kurumlarının istediği listeleri yasaya sokmaları için mükemmel bir fırsat verdi; ne yazık ki bu, yerli istihbarat kurumları kadar, hatta belki daha da fazla yabancı istihbarat kurumlarına yarıyor.
Çeşitli ülkelerde ne zaman yürürlüğe girdiğini burada görebilirsiniz: https://en.wikipedia.org/wiki/Know_your_customer#Laws_by_cou...