Coinbase’in ihlali fark etmesinden aylar önce saldırının sürdüğünü gösteren kayıtlar yayımlandı

 (jonathanclark.com)
1 puan yazan GN⁺ 2025-11-17 | 1 yorum | WhatsApp'ta paylaş
  • 2025 Ocak ayında, saldırganın sosyal güvenlik numarası ve Bitcoin bakiyesi gibi ayrıntılı kişisel bilgileri bildiğinin ortaya çıktığı bir vaka yaşandı
  • Mağdur, hemen Coinbase güvenlik ekibine ayrıntılı bir teknik rapor sundu ancak sonraki 4 ay boyunca temel sorulara yanıt alamadı
  • Coinbase ancak Mayıs ayında yurt dışı taşeron şirket (TaskUs) çalışanlarından iç veri sızıntısı olduğunu kabul etti ve yaklaşık müşterilerin %1’i ile en fazla 400 milyon dolarlık zarar açıkladı
  • E-posta başlığı analizi, Amazon SES üzerinden sahte gönderim, Google Voice numarası kullanımı, SMS bombası saldırısı gibi çok aşamalı saldırı yapısını ortaya koydu
  • Bildirim zamanı ile kamuya açıklama arasındaki 4 aylık boşluk, güvenlik izleme başarısızlığını ve müdahale eksikliğini gösterirken merkezi borsalara duyulan güven sorununu öne çıkardı

Olayın özeti

  • 7 Ocak 2025’te mağdur, “2.93 ETH çekim talebi” başlıklı bir e-posta aldı ve Coinbase’i taklit eden bir telefon çağrısı aldı
    • Arayan kişi sosyal güvenlik numarası, Bitcoin bakiyesi, sürücü belgesi bilgileri gibi gizli verileri biliyordu
    • Mağdur bunu hemen Coinbase güvenlik ekibine bildirdi ve e-posta başlığı, ses kaydı, saldırgan bilgileri içeren ayrıntılı analiz materyali sundu
  • Coinbase’in Trust & Safety sorumlusu Brett Farmer, bunun “çok sağlam bir rapor” olduğunu söyledi ancak sonrasında gelen hiçbir takip sorusuna yanıt vermedi

Coinbase’in resmi açıklamasıyla çelişkiler

  • Coinbase, ihlali ancak 11 Mayıs 2025’te fark ettiğini açıkladı; kamuya duyuru ise 15 Mayıs’ta yapıldı
    • Saldırganlar, Hindistan’daki TaskUs çalışanlarına rüşvet vererek müşteri verilerini çaldı
    • Sızan veriler: ad, adres, telefon numarası, e-posta, sosyal güvenlik numarasının son 4 hanesi, resmi kimlik görüntüleri, hesap bakiyesi, işlem geçmişi
    • Etki büyüklüğünün müşterilerin %1’inden azı olduğu, zararın ise 180 milyon ila 400 milyon dolar arasında olduğu tahmin edildi
  • Ancak mağdur, daha Ocak ayında saldırganın iç verilere eriştiğine dair kanıt sunmuştu ve Coinbase bunu görmezden geldi

Saldırının ayrıntılı yapısı

  • E-posta sahteciliği:
    • Gönderen adresi commerce@coinbase.com görünüyordu ancak gerçek gönderim sunucusu Amazon SES(a32-86.smtp-out.amazonses.com) idi
    • DKIM imzası hem coinbase.com hem de amazonses.com için doğrulandı ve böylece güvenilirlik izlenimi yaratıldı
    • Return-Path amazonses.com olarak ayarlanmıştı; bu da sahtecilik ihtimaline işaret ediyor
  • Telefon dolandırıcılığı:
    • Arayan numara 1-805-885-0141, bir Google Voice numarası olarak tespit edildi
    • Saldırgan, mağduru “varlıkları cold wallet’a taşıması” için yönlendirdi
  • SMS bombası saldırısı:
    • Aramanın hemen ardından yüzlerce spam mesaj alındı
    • Bunun, iki faktörlü kimlik doğrulama (2FA) kodlarını ve güvenlik uyarılarını bastırmak için kullanılan bir gürültü üretme tekniği olduğu değerlendirildi

Coinbase’in sorunları

  • Güvenliğe duyarlı işlerin dış kaynak kullanımıyla yürütülmesi: yurt dışındaki sözleşmeli çalışanlar müşteri kimlik bilgileri ve hesap verilerine erişebiliyordu
  • İhlali tespit edememe: saldırı Ocak’tan beri sürmesine rağmen Mayıs’a kadar iç izleme sistemleri bunu algılayamadı
  • Kullanıcı bildirimlerini görmezden gelme: mağdurun teknik raporuna ve sorularına 4 ay boyunca yanıt verilmedi
  • Gecikmeli açıklama: saldırı aylar öncesinden sürmesine rağmen resmi farkındalık ancak fidye talebinden sonra oluştu

Kullanıcılar için güvenlik önerileri

  • Telefon numarasına ve arayan kimliğine güvenmeyin; mutlaka resmi sitedeki numara üzerinden yeniden doğrulayın
  • Saldırgan kişisel bilgilerinizi biliyor olsa bile ona güvenmeyin; çift yönlü doğrulama yapın
  • E-posta başlığı analizi ile gönderim sunucusunu, SPF ve DKIM sonuçlarını kontrol edin
  • Geri arama numarasını doğrulayın, uygulama içi doğrulama süreçleri ile kimlik teyidi yapın
  • Baskı kurarak para transferi talep eden istekleri reddedin, SMS yerine uygulama tabanlı 2FA kullanın
  • Saldırı vakalarını hemen tüm teknik bilgilerle birlikte bildirin

4 aylık boşluğun anlamı

  • Mağdur, Ocak ayında ihlale dair kanıtları ve ses kayıtlarını sundu ancak Coinbase Mayıs’a kadar hiçbir adım atmadı
  • Bu süre içinde diğer müşterilerin de aynı saldırıya maruz kalmış olabileceği ihtimali var
  • Coinbase’in sessizliği, güvenlik alarm sistemi ve müşteri müdahale süreçlerindeki yapısal kusurları ortaya koyuyor
  • Olay, merkezi borsaların güven ve sorumluluk sorununu simgeliyor; mağdurun ifadesiyle “o sessizlik 120 gün sürdü”

Coinbase’e yöneltilen temel sorular

  • Gerçek veri sızıntısı zamanı neydi
  • Ocak-Mayıs arasındaki mağdur sayısı ve bildirimlerin işlenme kayıtları nelerdi
  • İç erişim kontrolündeki başarısızlığın nedeni ve düzenleyici yanıt süreci ne durumda
  • Coinbase’in öne sürdüğü güvenlik iyileştirme önlemlerinin etkisi doğrulanabilir mi

İlgili okumalar

1 yorum

 
GN⁺ 2025-11-17
Hacker News yorumu

  • 2 Haziran tarihli Reuters haberine göre, Coinbase'in ocak ayından beri dış kaynaklı bir yüklenici üzerinden müşteri verisi sızıntısından haberdar olduğu ortaya çıktı
    14 Mayıs tarihli SEC bildirimi'ne göre, 11 Mayıs'ta Coinbase, müşteri hesap bilgileri ile müşteri hizmetleri ve hesap yönetim sistemlerine ilişkin belgeler dahil iç dokümanları ele geçirdiğini söyleyen kimliği belirsiz bir saldırgandan e-posta aldı

    • Bu sorunu 7 Ocak'ta Coinbase'e ben bildirdim. Zamanlama tam olarak örtüşüyor. Görüştüğüm çalışanın kendinden emin tavrı, ilk ihbarcı benim olmadığımı düşündürüyor
    • Görünüşe göre bundan sonra bu tür olay haberlerinin ortak alt başlığı "dış kaynaklı yüklenici" olacak

  • Bir zamanlar Coinbase'in bulunduğu paylaşımlı ofiste ağ işleri yapmıştım; yönetici parolası beyaz tahtaya yazılmıştı ve koridordan bile görünüyordu
    Bunu e-postayla bildirip hatta fatura da kestim ama onların çözümü parolanın üstünü bir kağıtla kapatmak oldu. Gerçekten saçma zamanlardı

    • Talep edilmemiş bir hizmet için fatura göndermek, e-postalarınızın kimse tarafından ciddiye alınmamasını sağlamanın bir yoludur
    • Buna hiç şaşırmadım. Bitcoin ve tüm fintech sektörü fazlasıyla pervasız

  • Yaklaşık bir ay önce Birleşik Krallık'ta kendisini Coinbase'ten aradığını söyleyen birinden telefon aldım
    Hesabımda sadece yaklaşık 5 sterlinlik Bitcoin Cash olduğunu söyleyince hemen ilgisini kaybetti ve bunu e-postayla halledeceğini söyledi
    "Cold storage'ın var mı?" diye sordu, ben de buzdolabım var dedim. Doğruydu da

    • Hah, bir dahaki spam arama geldiğinde ben de bu espriyi kullanacağım

  • Haber başlığı fazla tık tuzağı (clickbait)
    Aslında ortada yalnızca phishing saldırganının bilgi koparmaya çalıştığı bir kayıt var; bu, Coinbase'in sızıntıdan haberdar olduğunun kanıtı değil
    İhbarcının materyali Coinbase'e iletmiş olması, onların ihlali zaten bildiği anlamına gelmez

    • Arama kaydını ve e-postayı Coinbase'e gönderdim; onlar da "bu rapor çok sağlam görünüyor ve araştırılmaya fazlasıyla değer. Şu anda dolandırıcıyı araştırıyoruz" diye yanıt verdi
    • Sanırım haberi düzgün okumamışsın. Gereken her şey haberin içinde var

  • İlginç bir hikâye ama metnin AI ile yazılmış olması çok rahatsız edici. Okuması zordu

    • Buna nasıl bu kadar emin olduğunu sormak isterim. LLM'ler insan üslubunu taklit ediyor ama o üslup da sonuçta birilerinin tarzından geliyor.
      Bugünkü LLM dil kalıpları büyük ihtimalle birilerinin yazma alışkanlıklarının kopyalanmış hali
    • AI ile yazılıp yazılmadığını bilmiyorum ama aynı şeyi sürekli tekrar ediyor. Uzunluğu üçte bire inse de içerik aynı kalırdı
    • Ben de AI'ya özgü **"LinkedIn tarzı ton"**dan rahatsız oldum. Cümle yapıları iyileşti ama hâlâ abartılı dramatizasyon, gereksiz listeler ve "The Call That Changed Everything" gibi yapay başlıklar çok fazla
      Özellikle "The Timeline That Doesn't Make Sense" gibi ifadeler gerçek içerikle uyuşmuyor.
      Büyük bir şirket karmaşık bir soruşturma yürütüyorsa açıklama yapmasının zaman alması gayet normal; ama AI bağlamı hesaba katmadan bunun "garip" olduğuna hükmediyor.
      AI yazılarındaki en büyük sorun bence bu tür bağlamdan kopuk yargılar
    • Böyle bir iddiada bulunacaksan dayanak göstermen gerekir

  • Bunu kanıt saymak zor
    Yazar bir phishing araması aldı ve bunu sadece Coinbase'e bildirdi. Coinbase bu tür phishing ihbarlarını her gün yüzlerce kez alıyor
    Saldırganın bildiği bilgiler başka bir veri sızıntısından gelmiş olabilir. Müşterinin hesap bilgilerini yanlışlıkla ifşa etmiş olma ihtimali de yüksek

    • İlk başta blockchain işlem geçmişini adımla eşleştirip beni takip ettiklerini düşündüm.
      Ama saldırgan benim ETH ve BTC bakiyelerimi, ayrıca hesap açılış tarihimi biliyordu.
      Açılış tarihi takip edilebilir belki ama iki coin'in bakiyesini aynı anda bilmek, Coinbase içi bilgi olmadan mümkün görünmüyor

  • Zaman çizelgesi ilginç ama sadece bu tek olaydan yola çıkarak Coinbase'in sızıntının farkında olduğunu söylemek için yeterli değil
    Screen-scraping zararlı yazılımları yaygın ve bir analist açısından bunun müşterinin cihazındaki enfeksiyondan kaynaklandığını düşünmek doğal
    Nitekim müşterilerin hacklenip sonra şirketi suçlaması da sık görülen bir şey

    • Ama ben arama kaydıyla birlikte e-posta header'larını da gönderince, Coinbase güven ve emniyet sorumlusu bizzat "bu rapor çok sağlam. Şu anda dolandırıcıyı inceliyoruz" diye yanıt verdi

  • Ben de benzer dönemde Coinbase'te hacklenme işaretleri fark ettim
    Hatta Discord API anahtarları bile sızmıştı ve ancak nisan-mayıs civarında sıfırlandı.
    Bu, merkezi gizli bilgi yönetim sisteminin (secrets manager) bile ihlal edilmiş olabileceğini düşündürüyor

  • Bizim kuruluşumuz da Coinbase kullanıyor ve 2025 Şubat başında bir saldırı girişimi yaşadık
    Neyse ki hesap yöneticimiz şüpheci biri olduğu için karşı tarafın resmi iletişim kanalları üzerinden doğrudan doğrulama yaptı ve zarar oluşmasını engelledi