Coinbase’in ihlali fark etmesinden aylar önce saldırının sürdüğünü gösteren kayıtlar yayımlandı

 (jonathanclark.com)
1 puan yazan GN⁺ 2025-11-17 | Henüz yorum yok. | WhatsApp'ta paylaş
  • 2025 Ocak ayında, saldırganın sosyal güvenlik numarası ve Bitcoin bakiyesi gibi ayrıntılı kişisel bilgileri bildiğinin ortaya çıktığı bir vaka yaşandı
  • Mağdur, hemen Coinbase güvenlik ekibine ayrıntılı bir teknik rapor sundu ancak sonraki 4 ay boyunca temel sorulara yanıt alamadı
  • Coinbase ancak Mayıs ayında yurt dışı taşeron şirket (TaskUs) çalışanlarından iç veri sızıntısı olduğunu kabul etti ve yaklaşık müşterilerin %1’i ile en fazla 400 milyon dolarlık zarar açıkladı
  • E-posta başlığı analizi, Amazon SES üzerinden sahte gönderim, Google Voice numarası kullanımı, SMS bombası saldırısı gibi çok aşamalı saldırı yapısını ortaya koydu
  • Bildirim zamanı ile kamuya açıklama arasındaki 4 aylık boşluk, güvenlik izleme başarısızlığını ve müdahale eksikliğini gösterirken merkezi borsalara duyulan güven sorununu öne çıkardı

Olayın özeti

  • 7 Ocak 2025’te mağdur, “2.93 ETH çekim talebi” başlıklı bir e-posta aldı ve Coinbase’i taklit eden bir telefon çağrısı aldı
    • Arayan kişi sosyal güvenlik numarası, Bitcoin bakiyesi, sürücü belgesi bilgileri gibi gizli verileri biliyordu
    • Mağdur bunu hemen Coinbase güvenlik ekibine bildirdi ve e-posta başlığı, ses kaydı, saldırgan bilgileri içeren ayrıntılı analiz materyali sundu
  • Coinbase’in Trust & Safety sorumlusu Brett Farmer, bunun “çok sağlam bir rapor” olduğunu söyledi ancak sonrasında gelen hiçbir takip sorusuna yanıt vermedi

Coinbase’in resmi açıklamasıyla çelişkiler

  • Coinbase, ihlali ancak 11 Mayıs 2025’te fark ettiğini açıkladı; kamuya duyuru ise 15 Mayıs’ta yapıldı
    • Saldırganlar, Hindistan’daki TaskUs çalışanlarına rüşvet vererek müşteri verilerini çaldı
    • Sızan veriler: ad, adres, telefon numarası, e-posta, sosyal güvenlik numarasının son 4 hanesi, resmi kimlik görüntüleri, hesap bakiyesi, işlem geçmişi
    • Etki büyüklüğünün müşterilerin %1’inden azı olduğu, zararın ise 180 milyon ila 400 milyon dolar arasında olduğu tahmin edildi
  • Ancak mağdur, daha Ocak ayında saldırganın iç verilere eriştiğine dair kanıt sunmuştu ve Coinbase bunu görmezden geldi

Saldırının ayrıntılı yapısı

  • E-posta sahteciliği:
    • Gönderen adresi commerce@coinbase.com görünüyordu ancak gerçek gönderim sunucusu Amazon SES(a32-86.smtp-out.amazonses.com) idi
    • DKIM imzası hem coinbase.com hem de amazonses.com için doğrulandı ve böylece güvenilirlik izlenimi yaratıldı
    • Return-Path amazonses.com olarak ayarlanmıştı; bu da sahtecilik ihtimaline işaret ediyor
  • Telefon dolandırıcılığı:
    • Arayan numara 1-805-885-0141, bir Google Voice numarası olarak tespit edildi
    • Saldırgan, mağduru “varlıkları cold wallet’a taşıması” için yönlendirdi
  • SMS bombası saldırısı:
    • Aramanın hemen ardından yüzlerce spam mesaj alındı
    • Bunun, iki faktörlü kimlik doğrulama (2FA) kodlarını ve güvenlik uyarılarını bastırmak için kullanılan bir gürültü üretme tekniği olduğu değerlendirildi

Coinbase’in sorunları

  • Güvenliğe duyarlı işlerin dış kaynak kullanımıyla yürütülmesi: yurt dışındaki sözleşmeli çalışanlar müşteri kimlik bilgileri ve hesap verilerine erişebiliyordu
  • İhlali tespit edememe: saldırı Ocak’tan beri sürmesine rağmen Mayıs’a kadar iç izleme sistemleri bunu algılayamadı
  • Kullanıcı bildirimlerini görmezden gelme: mağdurun teknik raporuna ve sorularına 4 ay boyunca yanıt verilmedi
  • Gecikmeli açıklama: saldırı aylar öncesinden sürmesine rağmen resmi farkındalık ancak fidye talebinden sonra oluştu

Kullanıcılar için güvenlik önerileri

  • Telefon numarasına ve arayan kimliğine güvenmeyin; mutlaka resmi sitedeki numara üzerinden yeniden doğrulayın
  • Saldırgan kişisel bilgilerinizi biliyor olsa bile ona güvenmeyin; çift yönlü doğrulama yapın
  • E-posta başlığı analizi ile gönderim sunucusunu, SPF ve DKIM sonuçlarını kontrol edin
  • Geri arama numarasını doğrulayın, uygulama içi doğrulama süreçleri ile kimlik teyidi yapın
  • Baskı kurarak para transferi talep eden istekleri reddedin, SMS yerine uygulama tabanlı 2FA kullanın
  • Saldırı vakalarını hemen tüm teknik bilgilerle birlikte bildirin

4 aylık boşluğun anlamı

  • Mağdur, Ocak ayında ihlale dair kanıtları ve ses kayıtlarını sundu ancak Coinbase Mayıs’a kadar hiçbir adım atmadı
  • Bu süre içinde diğer müşterilerin de aynı saldırıya maruz kalmış olabileceği ihtimali var
  • Coinbase’in sessizliği, güvenlik alarm sistemi ve müşteri müdahale süreçlerindeki yapısal kusurları ortaya koyuyor
  • Olay, merkezi borsaların güven ve sorumluluk sorununu simgeliyor; mağdurun ifadesiyle “o sessizlik 120 gün sürdü”

Coinbase’e yöneltilen temel sorular

  • Gerçek veri sızıntısı zamanı neydi
  • Ocak-Mayıs arasındaki mağdur sayısı ve bildirimlerin işlenme kayıtları nelerdi
  • İç erişim kontrolündeki başarısızlığın nedeni ve düzenleyici yanıt süreci ne durumda
  • Coinbase’in öne sürdüğü güvenlik iyileştirme önlemlerinin etkisi doğrulanabilir mi

İlgili okumalar

Henüz yorum yok.

Henüz yorum yok.