Son günlerde sosyal medyada ortaya atılan veri ihlali söylentileri, BtcTurk yönetimi tarafından doğrulandı. Açıklamada Temmuz 2018 öncesi kayıt olan 516 bin kullanıcının etkilendiği belirtildi.
Kripto paraların Elon Musk açıklamaları vb. etkiler nedeniyle yüksek volatilite yaşadığı şu dönemde kripto para sektörüne yönelik hareketliliklerden biri de Türkiye’de yaşanıyordu. Sosyal medyada çeşitli kullanıcılar tarafından ortaya atılan iddialar, şirketin kullanıcı verilerinin sızdırıldığı yönündeydi. İlk etapta konudan haberdar olduğunu ve takip ettiğini açıklayan BtcTurk yönetimi, dün itibariyle veri ihlalini doğrulayarak etkilenilen dönem ve kullanıcı sayısına dair çeşitli bilgiler paylaştı.
Temmuz 2018 öncesi dönemde kayıt olmuş 516.954 kullanıcının etkilendiğinin düşünüldüğü açıklamada finansal verilerle ilgili bir veri sızıntısı olmadığı, bununla birlikte isim, T.C. Kimlik Numarası, kullanıcı adı, e-posta, adres, doğum tarihi, cep telefonu numarası, Temmuz 2018 öncesi hesaba giriş tarihi ve giriş yapılan IP adresi ile geri döndürülemez şeklde PBKDF2 algoritması ile maskelenmiş kullanıcı şifrelerinin ihlal edildiği bilgisi paylaşıldı.
Açıklamada, kullanıcıların BtcTurk nezdindeki Türk Lirası ve kripto varlıklarının güvende olduğu ifade edilirken, ihlalin, veri setinin depolandığı ortamda oluşan bir güvenlik ihlali neticesinde şirket dışına çıktığının görüldüğü kaydedildi.
İlgili açıklamanın tam metnini aşağıda bulabilirsiniz:
Kullanıcılarımızın Dikkatine
Değerli Kullanıcılarımız;
Şirketimiz, kullanıcılarımızın veri güvenliğini sağlayabilmek amacıyla endüstri standartlarındaki üst düzey güvenlik önlemlerini almaktadır. Aynı zamanda Kişisel Verilerin Korunması Kanunu (KVK) başta olmak üzere yürürlükte bulunan mevzuat yükümlülüklerine uygun bir şekilde faaliyetimizi devam ettirdiğimizi ve kişisel verilerin korunmasına yönelik gerekli önleyici ve koruyucu nitelikteki idari ve teknik tedbirleri azami ölçüde aldığımızı belirtmek isteriz.
Bununla birlikte, her kurumun karşılaştığı gibi biz de zaman zaman veri ihlali yönünde iddialarla karşı karşıya kalmaktayız. Bu tür iddiaları her zaman dikkate alarak inceleyen Şirketimiz, son dönemdeki veri sızıntısı iddiasını da titizlikle incelemiştir.
Öncelikle, kullanıcılarımızın Türk Lirası ve kripto varlıklarının güvenliği ve sistemimizde herhangi bir güvenlik ihlali olup olmadığı incelenmiş, yapılan detaylı inceleme neticesinde güvenlik zafiyetine neden olabilecek bir sorun veya siber saldırının söz konusu olmadığı görülmüştür. Bu suretle, siz değerli kullanıcılarımızın BtcTurk nezdindeki Türk Lirası ve kripto varlıklarının güvende olduğunu ve güvenle saklandığını belirtmek isteriz. Kullanıcılarımız her zaman olduğu gibi Türk Lirası ve kripto varlıklarını 7/24 güvenle yatırıp çekebilirler.
Sistemlerimizde güncel herhangi bir sorun, siber saldırı veya tehdit olmadığından emin olunduktan sonra siber güvenlik ekiplerimiz tarafından geçmişe yönelik incelemelere başlanılmıştır. Şirketimiz nezdinde titizlikle yapılan geriye dönük inceleme neticesinde Şirketimiz ana sistemlerinde herhangi bir veri ihlali söz konusu olmadığı ancak;
– Bahse konu iddiada sunulan örnek verilerin, iş ortaklığı içerisinde olduğumuz kurumlar ile KVK kapsamında yapılan sözleşmelere uygun olarak paylaşılmasından önce, Temmuz 2018 tarihinde sistem dışına çıkartılan veri setlerinden birinin taslak hali (veritabanından alınan ilk hali) olduğu değerlendirilmiştir.
– Bahse konu veri setinin depolandığı ortamda oluşan bir güvenlik ihlali neticesinde şirket dışına çıktığı düşünülmektedir.
– Bahse konu veri ihlalinde kullanıcılarımızın selfie/özçekim kayıtları, bakiye bilgileri, banka hesapları, finansal şifreleri ve nitelikli verileri ile ilgili olarak herhangi bir veri sızıntısının söz konusu olmadığını önemle bildiririz. Bahse konu veri ihlalinden, ihlale konu Temmuz 2018 tarihinden önce kayıt olmuş 516.954 adet kullanıcımızın Temmuz 2018 tarihinde güncel olan aşağıdaki verilerinin etkilendiği düşünülmektedir;
1) BtcTurk’te kayıtlı Ad Soyad, TC Kimlik Numarası ve kullanıcı numarası/User ID bilgisi,
2) BtcTurk’te kayıtlı E-Posta Bilgisi,
3) BtcTurk’te Kayıtlı Adres Bilgisi,
4) BtcTurk’te kayıtlı Doğum Tarihi,
5) BtcTurk’te Kayıtlı Cep Telefonu Numarası,
6) Temmuz 2018 öncesi hesaba en son giriş tarihi,
7) Temmuz 2018 öncesi hesaba en son giriş yapılan IP Adresi ve
8) Geri döndürülemez şekilde PBKDF2 Algoritması ile Maskelenmiş Kullanıcı Şifreleri
İhlalden etkilenen kullanıcılarımızın veri seti içeriğinde yer almayan verileri (selfie/özçekim kayıtları, bakiye bilgileri, banka hesapları, finansal şifreleri ve nitelikli verileri) ile Temmuz 2018 tarihinden sonra Şirketimize üye olan kullanıcılarımızın bu ihlalden etkilenmediğini sizlere duyurmak isteriz.
Kullanıcılarımızın işlem güvenliği açısından büyük önem teşkil eden şifre/parola gibi verileri ise sistemlerimizde güvenle saklanmaktadır. PBKDF2 algoritması ile parolalar tek taraflı şekilde saklanarak, ilgili şifre sahibi kullanıcı dışında kimsenin bilemeyeceği ve geriye döndürülemez bir şekilde korunmaktadır. PBKDF2 algoritmasının mevcut teknolojik imkanlarla geri döndürülmek suretiyle şifrelerin tespiti mümkün değildir.
Yukarıda ifade edilen verileri sızıntıya uğrayan kullanıcılarımız ile sırasıyla iletişime geçilmeye başlanmıştır.
BtcTurk sistemlerinde mevcut durumda, kullanıcılarımızın kişisel verilerini ya da işlem güvenliğini etkileyebilecek bir güvenlik zafiyeti söz konusu değildir. Bu hususun Şirket içi siber güvenlik ekibi ve bağımsız şirketlere yaptırılan rutin denetimler ve sızma testleri ile sabit olduğunu belirtmek isteriz.
Bugün uyguladığımız politikalar neticesinde benzeri bir ihlalin yaşanması ise söz konusu değildir. Hazırlanan veri setleri, küresel ve yerel itibarlı finansal kuruluşların da tercih ettiği, DLP sistemleri ile takip edilmekte olup, veri transferleri siber güvenlik ekiplerince sınırlandırılmakta ve kayıt altına alınmaktadır. BtcTurk, kullanıcı güvenliği ve işlem güvenliğini arttırmak için sürekli kendini geliştirmekte ve güncel tehdit veya siber saldırı metotlarına karşı yeni önlemler almaya devam etmektedir.
Bununla birlikte kullanıcılarımızın her zaman olduğu gibi hesap güvenliklerini temin etmek için;
– Şifre/parola mahremiyetine özen göstermelerini,
– Şifre/parola bilgilerini hiçbir şekilde üçüncü kişilerle paylaşmamalarını,
– Oltalama/phishing saldırılarına karşı dikkatli olmalarını,
– 2FA kodlarını ve/veya şifrelerini/parolalarını isteyen veya gönderilen linklere tıklamaya yönlendirilen e-posta mesajlarına, aramalara, internet sitelerine vb. karşı dikkatli olmalarını,
– Hesap bilgilerini ve/veya şifre/parolalarını kamuya açık bilgisayarlarda ve internet bağlantılarında kullanmamalarını,
– Cihazların güvenliğine özen göstermelerini
ve gerekli gördükleri diğer tedbirleri almalarını tavsiye etmekteyiz.
Yukarıda açıklanan söz konusu hususlar ile ilgili olarak Şirketimiz nezdinde tüm ek tedbirler alınmış, KVVK (Kişisel Verileri Koruma Kurulu), USOM (Ulusal Siber Olaylara Müdahale Merkezi) ve İstanbul Cumhuriyet Başsavcılığı’na gerekli bildirimler yapılmış ve suç unsuru içeren eylemlerde bulunan kişiler hakkında da ilgili yasal mercilere başvurulmuştur.
Bu suretle, tüm kullanıcılarımızın Şirketimiz nezdinde tutulan Türk Lirası bakiyelerinin ve kripto varlıklarının güvende olduğunu ve güvenle saklandığını kamuoyuna bildiririz.
Bu süreçte bize destek olan tüm değerli kullanıcılarımız ile yapıcı eleştiri ve katkıda bulunan tüm paydaşlarımıza sağduyulu yaklaşımları ve BtcTurk’e duydukları güven için teşekkürlerimizi sunarız.
Türkiye’nin ilk ve dünyanın dördüncü kripto para alım satım platformu olarak faaliyetlerimiz kesintisiz olarak sürmektedir; BtcTurk olarak kullanıcılarımıza bugüne kadar olduğu gibi mevcut durumda da 7/24 canlı destek vermeye ve sürekli iletişim halinde olmaya devam ediyoruz.
Saygılarımızla,
BtcTurk – Eliptik Yazılım ve Ticaret A.Ş.