Bitcoin borsası BtcTurk günlerdir konuşulan bilgi ihlali hakkında yeni bir açıklama yaptı. Borsadan yapılan uzun açıklamada şu tabirlere yer veriliyor.
BtcTurk açıklaması
Kıymetli Kullanıcılarımız;
Şirketimiz, kullanıcılarımızın bilgi güvenliğini sağlayabilmek emeliyle sanayi standartlarındaki üst seviye güvenlik tedbirlerini almaktadır. Tıpkı vakitte Ferdî Dataların Korunması Kanunu (KVKK) başta olmak üzere yürürlükte bulunan mevzuat yükümlülüklerine uygun bir biçimde faaliyetimizi devam ettirdiğimizi ve ferdî dataların korunmasına yönelik gerekli önleyici ve esirgeyici nitelikteki idari ve teknik önlemleri azami ölçüde aldığımızı belirtmek isteriz. Bununla birlikte, her kurumun karşılaştığı üzere biz de vakit zaman data ihlali istikametinde savlarla karşı karşıya kalmaktayız. Bu cins tezleri her vakit dikkate alarak inceleyen Şirketimiz, son devirdeki data sızıntısı argümanını da titizlikle incelemiştir.
Öncelikle, kullanıcılarımızın Türk Lirası ve kripto varlıklarının güvenliği ve sistemimizde rastgele bir güvenlik ihlali olup olmadığı incelenmiş, yapılan ayrıntılı inceleme sonucunda güvenlik zafiyetine neden olabilecek bir sorun yahut siber taarruzun kelam konusu olmadığı görülmüştür. Bu suretle, siz kıymetli kullanıcılarımızın BtcTurk nezdindeki Türk Lirası ve kripto varlıklarının inançta olduğunu ve itimatla saklandığını belirtmek isteriz. Kullanıcılarımız her vakit olduğu üzere Türk Lirası ve kripto varlıklarını 7/24 itimatla yatırıp çekebilirler. Sistemlerimizde yeni rastgele bir sorun, siber hücum yahut tehdit olmadığından emin olunduktan sonra siber güvenlik takımlarımız tarafından geçmişe yönelik incelemelere başlanılmıştır. Şirketimiz nezdinde titizlikle yapılan geriye dönük inceleme sonucunda Şirketimiz ana sistemlerinde rastgele bir bilgi ihlali kelam konusu olmadığı lakin;
- Bahse bahis argümanda sunulan örnek bilgilerin, iş paydaşlığı içerisinde olduğumuz kurumlar ile KVKK kapsamında yapılan mukavelelere uygun olarak paylaşılmasından evvel, Temmuz 2018 tarihinde sistem dışına çıkartılan data setlerinden birinin taslak hali (veritabanından alınan birinci hali) olduğu değerlendirilmiştir.
- Bahse husus bilgi setinin depolandığı ortamda oluşan bir güvenlik ihlali sonucunda şirket dışına çıktığı düşünülmektedir.
- BtcTurk’te kayıtlı İsim Soyad, TC Kimlik Numarası ve kullanıcı numarası/User İD bilgisi,
- BtcTurk’te kayıtlı E-Posta Bilgisi,
- BtcTurk’te Kayıtlı Adres Bilgisi,
- BtcTurk’te kayıtlı Doğum Tarihi,
- BtcTurk’te Kayıtlı Cep Telefonu Numarası,
- Temmuz 2018 öncesi hesaba en son giriş tarihi,
- Temmuz 2018 öncesi hesaba en son giriş yapılan IP Adresi ve
- Geri döndürülemez halde PBKDF2 Algoritması ile Maskelenmiş Kullanıcı Şifreleri
İhlalden etkilenen kullanıcılarımızın data seti içeriğinde yer almayan bilgileri (selfie/özçekim kayıtları, bakiye bilgileri, banka hesapları, finansal şifreleri ve nitelikli verileri) ile Temmuz 2018 tarihinden sonra Şirketimize üye olan kullanıcılarımızın bu ihlalden etkilenmediğini sizlere duyurmak isteriz. Kullanıcılarımızın süreç güvenliği açısından büyük kıymet teşkil eden şifre/parola üzere dataları ise sistemlerimizde itimatla saklanmaktadır. PBKDF2 algoritması ile parolalar tek taraflı biçimde saklanarak, ilgili şifre sahibi kullanıcı dışında kimsenin bilemeyeceği ve geriye döndürülemez bir halde korunmaktadır. PBKDF2 algoritmasının mevcut teknolojik imkanlarla geri döndürülmek suretiyle şifrelerin tespiti mümkün değildir.
Kullanıcılarla bağlantıya geçiliyor
Üstte söz edilen bilgileri sızıntıya uğrayan kullanıcılarımız ile sırasıyla bağlantıya geçilmeye başlanmıştır.
BtcTurk sistemlerinde mevcut durumda, kullanıcılarımızın şahsî bilgilerini ya da süreç güvenliğini etkileyebilecek bir güvenlik zafiyeti kelam konusu değildir. Bu konunun Şirket içi siber güvenlik takımı ve bağımsız şirketlere yaptırılan rutin kontroller ve sızma testleri ile sabit olduğunu belirtmek isteriz. Bugün uyguladığımız siyasetler sonucunda gibisi bir ihlalin yaşanması ise kelam konusu değildir. Hazırlanan bilgi setleri, global ve lokal prestijli finansal kuruluşların da tercih ettiği, DLP sistemleri ile takip edilmekte olup, bilgi transferleri siber güvenlik gruplarınca sınırlandırılmakta ve kayıt altına alınmaktadır. BtcTurk, kullanıcı güvenliği ve süreç güvenliğini arttırmak için daima kendini geliştirmekte ve şimdiki tehdit yahut siber taarruz metotlarına karşı yeni tedbirler almaya devam etmektedir. Bununla birlikte kullanıcılarımızın her vakit olduğu üzere hesap güvenliklerini temin etmek için;
- Şifre/parola mahremiyetine ihtimam göstermelerini,
- Şifre/parola bilgilerini hiçbir formda üçüncü bireylerle paylaşmamalarını,
- Oltalama/phishing ataklarına karşı dikkatli olmalarını,
- 2FA kodlarını ve/veya şifrelerini/parolalarını isteyen yahut gönderilen linklere tıklamaya yönlendirilen e-posta iletilerine, aramalara, internet sitelerine vb. karşı dikkatli olmalarını,
- Hesap bilgilerini ve/veya şifre/parolalarını kamuya açık bilgisayarlarda ve internet temaslarında kullanmamalarını,
- Aygıtların güvenliğine ihtimam göstermelerini
ve gerekli gördükleri başka önlemleri almalarını tavsiye etmekteyiz.
Üstte açıklanan kelam konusu konular ile ilgili olarak Şirketimiz nezdinde tüm ek önlemler alınmış, KVKK (Kişisel Bilgileri Muhafaza Kurulu), USOM (Ulusal Siber Olaylara Müdahale Merkezi) ve İstanbul Cumhuriyet Başsavcılığına gerekli bildirimler yapılmış ve kabahat ögesi içeren aksiyonlarda bulunan bireyler hakkında da ilgili yasal mercilere başvurulmuştur. Bu suretle, tüm kullanıcılarımızın Şirketimiz nezdinde tutulan Türk Lirası bakiyelerinin ve kripto varlıklarının inançta olduğunu ve itimatla saklandığını kamuoyuna bildiririz. Bu süreçte bize dayanak olan tüm bedelli kullanıcılarımız ile yapan tenkit ve katkıda bulunan tüm paydaşlarımıza sağduyulu yaklaşımları ve BtcTurk’e duydukları itimat için teşekkürlerimizi sunarız.