Türkiye’nin son günlerdeki gündem hususlarından BtcTurk’te yaşandığı sav edilen bilgi sızıntısıydı. 14 Mayıs tarihinde “BtcTurk’ün hacklendiği” savıyla bir hacker forumunda açılan başlıkla fitili ateşlenen olaylar, Twitter’da kimi kullanıcıların yaptığı araştırmalar sonucu giderek derinleşmiş ve yeni bilgiler ortaya çıkmıştı.
Son olarak yazılımcı Mert Susur, yaptığı çalışmalar sonucu 2018’de BtcTurk’ten sızdırıldığı düşünülen kullanıcı hesaplarının yer aldığı bir bilgi tabanına ulaşmıştı. Gün içerisinde hususa dair resmî açıklama yapan BtcTurk, 2018 yılında 516 bin kişinin bilgilerinin sızdırıldığını kabul ettiği bir duyuru yayınladı.
BtcTurk, 2018’de bilgilerin sızdırıldığını kabul etti:
BtcTurk Dayanak hesabından yapılan paylaşımda, yaklaşık 3 sene evvel BtcTurk üzerinden kullanıcı datalarının sızdırıldığı kabul edildi. Yapılan açıklamada “Bahse mevzu tezlerde sunulan örnek bilgilerin iş iştiraki içerisinde olduğumuz kurumlar ile KVKK kapsamında yapılan mukavelelere uygun olarak paylaşılmasından evvel, Temmuz 2018 tarihinde sistem dışına çıkarılan data setlerinden birinin taslak hali (veritabanından alınan birinci hali) olduğu değerlendirilmiştir. Bahse bahis data setinin depolandığı ortamda oluşan bir güvenlik ihlali sonucunda şirket dışına çıktığı düşünülmektedir” tabirlerine yer verildi.
İhlalden etkilendiği düşünülen kullanıcı bilgileri şu formda:
BtcTurk’ten yapılan açıklamada, bahse mevzu bilgi ihlalinde kullanıcılara ilişkin selfie/özçekim kayıtları, bakiye bilgileri, banka hesapları, finansal şifreleri ve nitelikli bilgileri ile ilgili rastgele bir bilgi sızıntısının kelam konusu olmadığının altını çizilmedi.
Bununla birlikte Temmuz 2018 tarihinden evvel kaydolmuş 516 bin 954 adet kullanıcının o tarihte aktüel olan aşağıdaki bilgilerinin sızıntıdan etkilendiği düşünülüyor:
- BtcTurk’te kayıtlı isim soyad, T.C. Kimlik Numarası ve kullanıcı numarası/User ID bilgisi
- BtcTurk’te kayıtlı e-posta bilgisi
- BtcTurk’te kayıtlı adres bilgisi
- BtcTurk’te kayıtlı doğum tarihi
- BtcTurk’te kayıtlı cep telefonu numarası
- Temmuz 2018 öncesi hesaba en son giriş tarihi
- Temmuz 2018 öncesi hesaba en son giriş yapılan IP adresi
- Geri döndürülemez biçimde PBKDF2 algoritması ile maskelenmiş kullanıcı şifreleri
‘Temmuz 2018 tarihinden sonra BtcTurk’e üye olan kullanıcıların data ihlalinden etkilenmedi’
Temmuz 2018 tarihinden sonra BtcTurk’e üye olan kullanıcıların bilgi ihlalinden etkilenmediğini belirten BtcTurk, şu tabirleri kullandı:
“İhlalden etkilenen kullanıcılarımızın data seti içeriğinde yer almayan dataları (selfie/özçekim kayıtları, bakiye bilgileri, banka hesapları, finansal şifreleri ve nitelikli verileri) ile Temmuz 2018 tarihinden sonra Şirketimize üye olan kullanıcılarımızın bu ihlalden etkilenmediğini sizlere duyurmak isteriz.
Kullanıcılarımızın süreç güvenliği açısından büyük ehemmiyet teşkil eden şifre/parola üzere dataları ise sistemlerimizde itimatla saklanmaktadır. PBKDF2 algoritması ile parolalar tek taraflı biçimde saklanarak, ilgili şifre sahibi kullanıcı dışında kimsenin bilemeyeceği ve geriye döndürülemez bir biçimde korunmaktadır. PBKDF2 algoritmasının mevcut teknolojik imkanlarla geri döndürülmek suretiyle şifrelerin tespiti mümkün değildir.”
BtcTurk, kullanıcıları uyardı:
Bilgileri sızıntıya uğrayan kullanıcılar ile sırasıyla bağlantıya geçilmeye başlandığını bildiren BtcTurk, üyelerin hesap güvenliklerini temin etmek için şu konularda dikkatli olmaları gerektiğini söyledi:
- Şifre/parola mahremiyetine ihtimam gösterilmesi
- Şifre/parola bilgilerinin hiçbir formda üçüncü bireylerle paylaşılmaması
- Oltalama/phishing taarruzlarına karşı dikkatli olunması
- 2FA kodlarını ve/veya şifrelerini/parolalarını isteyen yahut gönderilen linklere tıklamaya yönlendirilen e-posta iletilerine, aramalara, internet sitelerine vb. karşı dikkatli olunması
- Hesap bilgileri ve/veya şifre/parolaların kamuya açık bilgisayarlarda ve internet irtibatlarında kullanılmaması
- Aygıtların güvenliğine itina gösterilmesi ve gerekli görülen öbür önlemlerin alınması
‘Tüm bakiyeler güvende’
Yaşanan bilgi ihlaliyle ilgili olarak şirket nezdinde tüm ek önlemlerin alındığını belirten BtcTurk; mevzuyla ilgili KVKK (Kişisel Bilgileri Muhafaza Kurulu), USOM (Ulusal Siber Olaylara Müdahale Merkezi) ve İstanbul Cumhuriyet Başsavcılığı’na gerekli bildirimlerin yapıldığını ve cürüm ögesi içeren aksiyonlarda bulunan bireyler hakkında da ilgili yasal mercilere başvurulduğunu bildirdi.
Açıklamada ayrıyeten BtcTurk bünyesinde tutulan Türk Lirası bakiyelerin ve kripto varlıkların inançta olduğu bildirildi.