15 Mayıs’ta ortaya çıkan ve Coinbase tarihinin en büyük güvenlik ihlali olarak kayda geçen olayda, binlerce müşterinin kişisel verileri çalındı. Şirket, bu olayın kendisine 180 ila 400 milyon dolara mal olabileceğini duyurdu.

Saldırganlar, alışılmadık bir yöntemle, Hindistan’daki dış kaynak (BPO) müşteri temsilcilerini rüşvetle kandırarak gizli müşteri bilgilerini ele geçirdi. Coinbase, saldırıyı gerçekleştirenlere karşı 20 milyon dolarlık ödül koyduğunu açıklarken, olayla ilgili sınırlı bilgi paylaştı.

GÜVENLİK ZAAFİYETİ YARATIYOR

Fortune'da yer alan habere göre, olayın merkezindeki isim ise Teksas merkezli, halka açık küçük bir BPO şirketi olan TaskUs. TaskUs, 2017’den bu yana Coinbase’e yurt dışındaki düşük maliyetli müşteri hizmetleri personelini sağlıyor.

Ocak ayında TaskUs, Hindistan’ın Indore kentindeki hizmet merkezinde çalışan 226 Coinbase personelini işten çıkardı. İşten çıkarmaların, Coinbase’in veri hırsızlığını fark etmesinden kısa süre sonra gerçekleştiği bildirildi.

TaskUs sözcüsü, iki çalışanın yasa dışı şekilde müşteri bilgilerine eriştiğini doğruladı ve bu kişilerin daha geniş çaplı bir suç örgütü tarafından işe alındığını ifade etti. Saldırının sadece Coinbase’i değil, şirketin hizmet aldığı diğer sağlayıcıları da etkilediği kaydedildi.

KİŞİSEL VERİLER KULLANILARAK DOLANDIRICILIK YAPILDI

Coinbase, çalınan verilerle kripto para kasalarının hedef alınmadığını belirtse de, bu bilgiler dolandırıcıların sahte müşteri temsilcisi gibi davranarak kullanıcıları kandırmasına zemin hazırladı. 69 binden fazla müşterinin verileri ele geçirildi. Şirket, bu müşterilerden kaçının sosyal mühendislik saldırılarıyla dolandırıldığını ise açıklamadı.

Coinbase, olayın Aralık 2024’ten bu yana süregelen bir kampanyanın parçası olduğunu ve ilgili tüm dış kaynak personeliyle ilişkilerini kestiğini duyurdu. Mağdur olan kullanıcılara kaybettikleri fonların geri ödendiği bildirildi.

SALDIRGANLAR: GENÇ, İNGİLİZCE KONUŞAN BİR AĞ

Olayı Fortune’a anlatan ve Telegram üzerinden “puffy party” takma adıyla iletişime geçen bir hacker, saldırıyı gerçekleştiren grubun kendisini “Comm” veya “Com” olarak adlandıran, genç İngilizce konuşan bireylerden oluşan dağınık bir topluluk olduğunu söyledi.

Hacker, Coinbase ile yaptığı e-posta yazışmalarını, şirketin eski bir yöneticisine ait hesap ekran görüntülerini ve 20 milyon dolarlık Bitcoin fidye talebini paylaştı. Coinbase, bu belgelerin gerçekliğini yalanlamadı.

OYUN DÜNYASINDAN SİBER SUÇLARA

Uzmanlar, Comm grubunun üyelerinin genellikle çevrim içi oyun topluluklarından geldiğini ve siber suçları bir çeşit “yüksek skor” yarışı olarak gördüğünü belirtiyor. Cryptoforensic Investigators’tan Josh Cooper-Duckett, “Gerçek dünyadaki yüksek skorları ne kadar para çaldıklarıdır” diyor.

Bu yapı içinde kimi üyeler rüşvet yoluyla veri toplarken, diğerleri sosyal mühendislik saldırılarını yürütüyor. Koordinasyon ise Telegram ve Discord gibi platformlar üzerinden sağlanıyor.

DÜŞÜK MAAŞLI ÇALIŞANLAR HEDEFTE

TaskUs’un Hindistan’daki çalışanlarının aylık 500 ila 700 dolar arasında maaş aldığı belirtiliyor. Uzmanlar, düşük maaşların rüşvet tekliflerine daha açık hale getirdiğini ve bunun sistemin en zayıf halkasını oluşturduğunu vurguluyor.

Tracelon kurucusu Sergio Garcia, olayın yapısının Comm grubunun daha önceki saldırılarına benzediğini belirterek, sosyal mühendislik saldırılarını gerçekleştirenlerin çoğunlukla aksansız Kuzey Amerika İngilizcesi konuştuğunu ifade etti.