Büyük bir kripto para borsası olan Kraken, sözde bir hata ödül raporunun para talebine dönüşmesinin arkasından kısa süre ilkin bir güvenlik ihlalini ve potansiyel gasp girişimini yönetti. Baş Güvenlik Sorumlusu Nick Percoco, hesap bakiyelerini suni olarak şişirmek için bir kusurdan yararlanıldığını belirterek vakaları özetledi. Bu vaka, kolluk kuvvetlerinin de dahil olduğu bir soruşturmaya yol açtı. Ek olarak, güvenlik araştırmalarında etik uygulamalara bağlı kalmanın önemini altını çizdi.
Kripto para borsasından izahat geldi
Kriptokoin.com’dan takip ettiğiniz suretiyle, kripto dünyasında hack ve dolandırıcılık vakaları oldukça sık yaşanıyor. Bunlardan birisiyle de kripto para borsası Kraken karşılaştı. Borsanın Baş Güvenlik Sorumlusu Nick Percoco’ya gore, borsa 9 Haziran’da bir hata ödül programı uyarısı aldı. Uyarıda, bir saldırganın platformundaki bakiyesini suni olarak şişirmesine olanak tanıyan “son aşama tehlikeli sonuç” bir hata yer alıyordu. Percoco, başvurunun ayrıntılardan yoksun olmasına karşın incelendiğini söylemiş oldu. Bu süreçte, fena niyetli bir saldırganın platforma para yatırma işlemini başlatmasına ve para yatırma işlemini tam olarak tamamlamadan hesaplarına para almasına müsaade eden izole bir hata keşfettiklerini belirtti. Percoco, bunun yalnızca belirli bir takım durumda söz mevzusu bulunduğunu kaydetti.
Güvenlik Sorumlusu, hiçbir satın alan varlığının risk altında olmadığının altını çizdi. Sadece, buna karşın, hatanın, varlık mevduatları tamamen temizlenmeden ilkin müşterilerin hesaplarını kredilendiren ve fena niyetli bir saldırganın Kraken hesaplarında “bir süre” etkili bir halde “varlık basmasına” müsaade eden yakın tarihindeki bir UX değişikliğindeki bir kusurdan kaynaklandığını iddia etti.
Ödül sunumundan ilkin istismar gerçekleşti
Nick Percoco’ya gore bu hata birkaç saat içinde tamamen düzeltildi. Sadece, ondan sonra meydana getirilen bir araştırmada, hatanın birkaç gün içinde üç hesap tarafınca istismar edildiğinin ortaya çıktığını söylemiş oldu. Percoco, hesaplardan birinin hatayı keşfeden ve bir “güvenlik araştırmacısı” bulunduğunu iddia eden kişiye KYC’lendiğini iddia etti. Görevli, söz mevzusu kişinin hatadan yararlanarak hesabına 4 dolar yatırdığını, bunun da hatayı kanıtlamak, bir hata ödül raporu hazırlamak ve büyük bir ödül talep etmek için kafi bulunduğunu söylemiş oldu.
Sadece Kraken’in CSO’su, araştırmacının bunun yerine hatayı beraber çalışmış oldukları öteki iki kişiye ifşa ettiğini iddia etti. Ek olarak, bu kişilerin ondan sonra Kraken hesaplarından oldukça daha büyük meblağlar çekerek toplamda ortalama 3 milyon dolar elde ettiklerini söylemiş oldu. Percoco, “Bu, öteki satın alan varlıklarından değil, Kraken’in hazinelerindendi,” diye deklare etti.
“Bu beyaz şapkalı hackerlık değil, gasp!”
Nick Percoco, Kraken’in faaliyetlerinin tam bir hesabını ve fonların iade edilmesini talep ettiğini söylemiş oldu. Sadece araştırmacıların, Kraken hatayı ifşa etmemiş olsalardı istismarın potansiyel boyutunu açıklayana kadar herhangi bir fon iade etmeyi reddettikleri iddia ediliyor. Percoco, “Bu beyaz şapkalı hackerlık değil, düpedüz gasp!” dedi.
Percoco, kripto para borsasının araştırmacılar tarafınca taleplerinde “mantıksız” ve “ustalaşmış olmamakla” suçlandığını beyan etti. Ek olarak, Kraken’in ilgili araştırma firmasını açıklamayacağını belirtti. Sadece hata ödül koşullarının ihlali sebebiyle bunu bir ceza davası olarak ele alacağını sözlerine ekledi. Bu bağlamda Percoco, şu açıklamayı yapmış oldu:
Bu araştırma şirketini açıklamayacağız şundan dolayı eylemlerinden dolayı takdir edilmeyi hak etmiyorlar. Bunu bir ceza davası olarak ele alıyoruz ve buna gore kolluk güçleriyle koordinasyon halindeyiz.
Son dakika gelişmelerden anında haberdar olmak için bizi Twitter’da, Feysbuk‘ta ve Instagram‘da takip edin ve Telegram ve YouTube kanalımıza katılın!
