Bitcoin borsası BtcTurk günlerdir konuşulan data ihlali hakkında yeni bir açıklama yaptı. Borsadan yapılan uzun açıklamada şu sözlere yer veriliyor.
BtcTurk açıklaması
Pahalı Kullanıcılarımız;
Şirketimiz, kullanıcılarımızın bilgi güvenliğini sağlayabilmek maksadıyla sanayi standartlarındaki üst seviye güvenlik tedbirlerini almaktadır. Tıpkı vakitte Ferdî Dataların Korunması Kanunu (KVKK) başta olmak üzere yürürlükte bulunan mevzuat yükümlülüklerine uygun bir formda faaliyetimizi devam ettirdiğimizi ve ferdî bilgilerin korunmasına yönelik gerekli önleyici ve gözetici nitelikteki idari ve teknik önlemleri azami ölçüde aldığımızı belirtmek isteriz. Bununla birlikte, her kurumun karşılaştığı üzere biz de vakit zaman bilgi ihlali tarafında argümanlarla karşı karşıya kalmaktayız. Bu cins savları her vakit dikkate alarak inceleyen Şirketimiz, son devirdeki data sızıntısı tezini da titizlikle incelemiştir.
Öncelikle, kullanıcılarımızın Türk Lirası ve kripto varlıklarının güvenliği ve sistemimizde rastgele bir güvenlik ihlali olup olmadığı incelenmiş, yapılan ayrıntılı inceleme sonucunda güvenlik zafiyetine neden olabilecek bir sorun yahut siber taarruzun kelam konusu olmadığı görülmüştür. Bu suretle, siz kıymetli kullanıcılarımızın BtcTurk nezdindeki Türk Lirası ve kripto varlıklarının inançta olduğunu ve itimatla saklandığını belirtmek isteriz. Kullanıcılarımız her vakit olduğu üzere Türk Lirası ve kripto varlıklarını 7/24 inançla yatırıp çekebilirler. Sistemlerimizde şimdiki rastgele bir sorun, siber akın yahut tehdit olmadığından emin olunduktan sonra siber güvenlik takımlarımız tarafından geçmişe yönelik incelemelere başlanılmıştır. Şirketimiz nezdinde titizlikle yapılan geriye dönük inceleme sonucunda Şirketimiz ana sistemlerinde rastgele bir bilgi ihlali kelam konusu olmadığı lakin;
- Bahse mevzu savda sunulan örnek bilgilerin, iş iştiraki içerisinde olduğumuz kurumlar ile KVKK kapsamında yapılan kontratlara uygun olarak paylaşılmasından evvel, Temmuz 2018 tarihinde sistem dışına çıkartılan data setlerinden birinin taslak hali (veritabanından alınan birinci hali) olduğu değerlendirilmiştir.
- Bahse mevzu data setinin depolandığı ortamda oluşan bir güvenlik ihlali sonucunda şirket dışına çıktığı düşünülmektedir.
- BtcTurk’te kayıtlı İsim Soyad, TC Kimlik Numarası ve kullanıcı numarası/User İD bilgisi,
- BtcTurk’te kayıtlı E-Posta Bilgisi,
- BtcTurk’te Kayıtlı Adres Bilgisi,
- BtcTurk’te kayıtlı Doğum Tarihi,
- BtcTurk’te Kayıtlı Cep Telefonu Numarası,
- Temmuz 2018 öncesi hesaba en son giriş tarihi,
- Temmuz 2018 öncesi hesaba en son giriş yapılan IP Adresi ve
- Geri döndürülemez biçimde PBKDF2 Algoritması ile Maskelenmiş Kullanıcı Şifreleri
İhlalden etkilenen kullanıcılarımızın bilgi seti içeriğinde yer almayan dataları (selfie/özçekim kayıtları, bakiye bilgileri, banka hesapları, finansal şifreleri ve nitelikli verileri) ile Temmuz 2018 tarihinden sonra Şirketimize üye olan kullanıcılarımızın bu ihlalden etkilenmediğini sizlere duyurmak isteriz. Kullanıcılarımızın süreç güvenliği açısından büyük kıymet teşkil eden şifre/parola üzere dataları ise sistemlerimizde itimatla saklanmaktadır. PBKDF2 algoritması ile parolalar tek taraflı biçimde saklanarak, ilgili şifre sahibi kullanıcı dışında kimsenin bilemeyeceği ve geriye döndürülemez bir halde korunmaktadır. PBKDF2 algoritmasının mevcut teknolojik imkanlarla geri döndürülmek suretiyle şifrelerin tespiti mümkün değildir.
Kullanıcılarla irtibata geçiliyor
Üstte tabir edilen dataları sızıntıya uğrayan kullanıcılarımız ile sırasıyla bağlantıya geçilmeye başlanmıştır.
BtcTurk sistemlerinde mevcut durumda, kullanıcılarımızın şahsî datalarını ya da süreç güvenliğini etkileyebilecek bir güvenlik zafiyeti kelam konusu değildir. Bu konunun Şirket içi siber güvenlik takımı ve bağımsız şirketlere yaptırılan rutin kontroller ve sızma testleri ile sabit olduğunu belirtmek isteriz. Bugün uyguladığımız siyasetler sonucunda gibisi bir ihlalin yaşanması ise kelam konusu değildir. Hazırlanan bilgi setleri, global ve lokal prestijli finansal kuruluşların da tercih ettiği, DLP sistemleri ile takip edilmekte olup, data transferleri siber güvenlik gruplarınca sınırlandırılmakta ve kayıt altına alınmaktadır. BtcTurk, kullanıcı güvenliği ve süreç güvenliğini arttırmak için daima kendini geliştirmekte ve şimdiki tehdit yahut siber hücum metotlarına karşı yeni tedbirler almaya devam etmektedir. Bununla birlikte kullanıcılarımızın her vakit olduğu üzere hesap güvenliklerini temin etmek için;
- Şifre/parola mahremiyetine ihtimam göstermelerini,
- Şifre/parola bilgilerini hiçbir formda üçüncü şahıslarla paylaşmamalarını,
- Oltalama/phishing ataklarına karşı dikkatli olmalarını,
- 2FA kodlarını ve/veya şifrelerini/parolalarını isteyen yahut gönderilen linklere tıklamaya yönlendirilen e-posta bildirilerine, aramalara, internet sitelerine vb. karşı dikkatli olmalarını,
- Hesap bilgilerini ve/veya şifre/parolalarını kamuya açık bilgisayarlarda ve internet ilişkilerinde kullanmamalarını,
- Aygıtların güvenliğine ihtimam göstermelerini
ve gerekli gördükleri öbür önlemleri almalarını tavsiye etmekteyiz.
Üstte açıklanan kelam konusu konular ile ilgili olarak Şirketimiz nezdinde tüm ek önlemler alınmış, KVKK (Kişisel Bilgileri Müdafaa Kurulu), USOM (Ulusal Siber Olaylara Müdahale Merkezi) ve İstanbul Cumhuriyet Başsavcılığına gerekli bildirimler yapılmış ve kabahat ögesi içeren aksiyonlarda bulunan şahıslar hakkında da ilgili yasal mercilere başvurulmuştur. Bu suretle, tüm kullanıcılarımızın Şirketimiz nezdinde tutulan Türk Lirası bakiyelerinin ve kripto varlıklarının inançta olduğunu ve itimatla saklandığını kamuoyuna bildiririz. Bu süreçte bize dayanak olan tüm bedelli kullanıcılarımız ile yapan tenkit ve katkıda bulunan tüm paydaşlarımıza sağduyulu yaklaşımları ve BtcTurk’e duydukları itimat için teşekkürlerimizi sunarız.