BtcTurk Veri İhlalini Doğruladı!
BtcTurk’e Temmuz 2018’den önce üye olanların bilgileri sızdırıldı
BtcTurk sosyal medyada çıkan iddialara ilişkin yaptığı açıklamada platformunda güvenlik zafiyetine neden olabilecek bir sorun ya da saldırı yaşanmadığını belirtti. Ancak Temmuz 2018 tarihinden önce kayıt olmuş 516.954 adet kullanıcının etkilendiği düşünülen bir veri ihlalinin yaşandığını duyurdu. Sızıntıya konu verilerde kullanıcıların T.C. kimlik numarası, adı soyadı ve kayıtlı adresi gibi bilgiler bulunuyor
BtcTurk, son günlerde ortaya atılan kullanıcı bilgilerinin çalındığına dair iddialarla ilgili açıklamada bulundu. Açıklamada yapılan detaylı inceleme neticesinde güvenlik zafiyetine neden olabilecek bir sorun veya siber saldırının söz konusu olmadığının görüldüğü belirtildi.
Ancak BtcTurk Temmuz 2018’den önce kayıt olan 516.954 kullanıcıyı etkilemiş olabilecek bir veri ihlali yaşandığını duyurdu. Söz konusu veri ihlali kullanıcıların bahsedilen tarihten önceki kayıtlı ad-soyad, adres, doğum tarihi, T.C. kimlik numarası bilgilerini kapsıyor.
BtcTurk sitesinde yer alan açıklamada şu ifadeler yer aldı:
“Şirketimiz, kullanıcılarımızın veri güvenliğini sağlayabilmek amacıyla endüstri standartlarındaki üst düzey güvenlik önlemlerini almaktadır. Aynı zamanda Kişisel Verilerin Korunması Kanunu (KVK) başta olmak üzere yürürlükte bulunan mevzuat yükümlülüklerine uygun bir şekilde faaliyetimizi devam ettirdiğimizi ve kişisel verilerin korunmasına yönelik gerekli önleyici ve koruyucu nitelikteki idari ve teknik tedbirleri azami ölçüde aldığımızı belirtmek isteriz.
Bununla birlikte, her kurumun karşılaştığı gibi biz de zaman zaman veri ihlali yönünde iddialarla karşı karşıya kalmaktayız. Bu tür iddiaları her zaman dikkate alarak inceleyen Şirketimiz, son dönemdeki veri sızıntısı iddiasını da titizlikle incelemiştir.
Öncelikle, kullanıcılarımızın Türk Lirası ve kripto varlıklarının güvenliği ve sistemimizde herhangi bir güvenlik ihlali olup olmadığı incelenmiş, yapılan detaylı inceleme neticesinde güvenlik zafiyetine neden olabilecek bir sorun veya siber saldırının söz konusu olmadığı görülmüştür. Bu suretle, siz değerli kullanıcılarımızın BtcTurk nezdindeki Türk Lirası ve kripto varlıklarının güvende olduğunu ve güvenle saklandığını belirtmek isteriz. Kullanıcılarımız her zaman olduğu gibi Türk Lirası ve kripto varlıklarını 7/24 güvenle yatırıp çekebilirler.
Sistemlerimizde güncel herhangi bir sorun, siber saldırı veya tehdit olmadığından emin olunduktan sonra siber güvenlik ekiplerimiz tarafından geçmişe yönelik incelemelere başlanılmıştır. Şirketimiz nezdinde titizlikle yapılan geriye dönük inceleme neticesinde Şirketimiz ana sistemlerinde herhangi bir veri ihlali söz konusu olmadığı ancak;
– Bahse konu iddiada sunulan örnek verilerin, iş ortaklığı içerisinde olduğumuz kurumlar ile KVK kapsamında yapılan sözleşmelere uygun olarak paylaşılmasından önce, Temmuz 2018 tarihinde sistem dışına çıkartılan veri setlerinden birinin taslak hali (veri tabanından alınan ilk hali) olduğu değerlendirilmiştir.
– Bahse konu veri setinin depolandığı ortamda oluşan bir güvenlik ihlali neticesinde şirket dışına çıktığı düşünülmektedir.
Hangi veriler Sızdı!
– Bahse konu veri ihlalinde kullanıcılarımızın selfie/özçekim kayıtları, bakiye bilgileri, banka hesapları, finansal şifreleri ve nitelikli verileri ile ilgili olarak herhangi bir veri sızıntısının söz konusu olmadığını önemle bildiririz. Bahse konu veri ihlalinden, ihlale konu Temmuz 2018 tarihinden önce kayıt olmuş 516.954 adet kullanıcımızın Temmuz 2018 tarihinde güncel olan aşağıdaki verilerinin etkilendiği düşünülmektedir;
- 1) BtcTurk’te kayıtlı Ad Soyad, TC Kimlik Numarası ve kullanıcı numarası/User ID bilgisi,
- 2) BtcTurk’te kayıtlı E-Posta Bilgisi,
- 3) BtcTurk’te Kayıtlı Adres Bilgisi,
- 4) BtcTurk’te kayıtlı Doğum Tarihi,
- 5) BtcTurk’te Kayıtlı Cep Telefonu Numarası,
- 6) Temmuz 2018 öncesi hesaba en son giriş tarihi,
- 7) Temmuz 2018 öncesi hesaba en son giriş yapılan IP Adresi ve
- 8) Geri döndürülemez şekilde PBKDF2 Algoritması ile Maskelenmiş Kullanıcı Şifreleri
İhlalden etkilenen kullanıcılarımızın veri seti içeriğinde yer almayan verileri (selfie/özçekim kayıtları, bakiye bilgileri, banka hesapları, finansal şifreleri ve nitelikli verileri) ile Temmuz 2018 tarihinden sonra Şirketimize üye olan kullanıcılarımızın bu ihlalden etkilenmediğini sizlere duyurmak isteriz.
Kullanıcılarımızın işlem güvenliği açısından büyük önem teşkil eden şifre/parola gibi verileri ise sistemlerimizde güvenle saklanmaktadır. PBKDF2 algoritması ile parolalar tek taraflı şekilde saklanarak, ilgili şifre sahibi kullanıcı dışında kimsenin bilemeyeceği ve geriye döndürülemez bir şekilde korunmaktadır. PBKDF2 algoritmasının mevcut teknolojik imkanlarla geri döndürülmek suretiyle şifrelerin tespiti mümkün değildir.
Yukarıda ifade edilen verileri sızıntıya uğrayan kullanıcılarımız ile sırasıyla iletişime geçilmeye başlanmıştır.
BtcTurk sistemlerinde mevcut durumda, kullanıcılarımızın kişisel verilerini ya da işlem güvenliğini etkileyebilecek bir güvenlik zafiyeti söz konusu değildir. Bu hususun Şirket içi siber güvenlik ekibi ve bağımsız şirketlere yaptırılan rutin denetimler ve sızma testleri ile sabit olduğunu belirtmek isteriz.
Bugün uyguladığımız politikalar neticesinde benzeri bir ihlalin yaşanması ise söz konusu değildir. Hazırlanan veri setleri, küresel ve yerel itibarlı finansal kuruluşların da tercih ettiği, DLP sistemleri ile takip edilmekte olup, veri transferleri siber güvenlik ekiplerince sınırlandırılmakta ve kayıt altına alınmaktadır. BtcTurk, kullanıcı güvenliği ve işlem güvenliğini arttırmak için sürekli kendini geliştirmekte ve güncel tehdit veya siber saldırı metotlarına karşı yeni önlemler almaya devam etmektedir.
Bununla birlikte kullanıcılarımızın her zaman olduğu gibi hesap güvenliklerini temin etmek için;
- – Şifre/parola mahremiyetine özen göstermelerini,
- – Şifre/parola bilgilerini hiçbir şekilde üçüncü kişilerle paylaşmamalarını,
- – Oltalama/phishing saldırılarına karşı dikkatli olmalarını,
- – 2FA kodlarını ve/veya şifrelerini/parolalarını isteyen veya gönderilen linklere tıklamaya yönlendirilen e-posta mesajlarına, aramalara, internet sitelerine vb. karşı dikkatli olmalarını,
- – Hesap bilgilerini ve/veya şifre/parolalarını kamuya açık bilgisayarlarda ve internet bağlantılarında kullanmamalarını,
- – Cihazların güvenliğine özen göstermelerini
ve gerekli gördükleri diğer tedbirleri almalarını tavsiye etmekteyiz.
Yukarıda açıklanan söz konusu hususlar ile ilgili olarak Şirketimiz nezdinde tüm ek tedbirler alınmış, KVVK (Kişisel Verileri Koruma Kurulu),USOM (Ulusal Siber Olaylara Müdahale Merkezi) ve İstanbul Cumhuriyet Başsavcılığı’na gerekli bildirimler yapılmış ve suç unsuru içeren eylemlerde bulunan kişiler hakkında da ilgili yasal mercilere başvurulmuştur.
Bu suretle, tüm kullanıcılarımızın Şirketimiz nezdinde tutulan Türk Lirası bakiyelerinin ve kripto varlıklarının güvende olduğunu ve güvenle saklandığını kamuoyuna bildiririz.
Bu süreçte bize destek olan tüm değerli kullanıcılarımız ile yapıcı eleştiri ve katkıda bulunan tüm paydaşlarımıza sağduyulu yaklaşımları ve BtcTurk’e duydukları güven için teşekkürlerimizi sunarız.
Türkiye’nin ilk ve dünyanın dördüncü kripto para alım satım platformu olarak faaliyetlerimiz kesintisiz olarak sürmektedir; BtcTurk olarak kullanıcılarımıza bugüne kadar olduğu gibi mevcut durumda da 7/24 canlı destek vermeye ve sürekli iletişim halinde olmaya devam ediyoruz.”