Solana blok zincirinin kurucu ortağı Raj Gokal'ın hassas kişisel verilerinin çevrimiçi olarak ele geçirildiği, ünlü bir sosyal medya hesabının ele geçirilmesiyle büyük bir dijital güvenlik olayı yaşandı.
25 Mayıs'ta, hip-hop grubu Migos'un resmi Instagram sayfası ele geçirildi, ve hackerlar platformun 13 milyonluk takipçi kitlesini kullanarak Gokal'a ait kimlik belgeleri, pasaport ve sürücü belgesi görüntüleri ile kimlik belgeleri gibi bilgilere ulaşarak 40 Bitcoin (yaklaşık 2.7 milyon $) fidye talep ettiler.
Saldırganlar, Gokal ve eşine ait özel görüntülerin yer aldığı en az yedi gönderi yükledi, genel olarak kripto para borsaları tarafından kullanılan KYC doğrulama materyallerini sergiledi. Gönderiler, "40 BTC'yi ödemeliydin" gibi tehditkar mesajlarla başlıklandırıldı ve kişisel iletişim bilgileri olduğu düşünülen bilgiler içeriyordu.
Bir gönderi Gokal’ın cep telefonu numarasını ortaya çıkardı ve hackerlar takipçilerini onu spamlemeye çağırdı. Bir diğeri ise “Arvind” adlı bir kişiye atıfta bulundu, muhtemelen Gokal’ın blok zinciri varlıklarıyla bağlantılı ya da dolaylı olarak ilgiliydi.
Saldırgan gönderiler, Meta’nın yani Instagram’ın ana şirketinin içeriği kaldırıp hesabı tekrar ele geçirmesinden önce yaklaşık 90 dakika boyunca yayında kaldı. Hack sırasında, Migos'un Instagram biyografisi bir meme coin tanıtımına dönüştürüldü ve yeni müzikleri tanıtan Telegram gruplarına linkler paylaşıldı, olayın arkasındaki finansal ve tanıtım amaçlarının karışık olduğunu düşündürerek.
Hedefli Saldırı mı Yoksa Daha Geniş Bir Veri İhlali mi?
Blok zinciri araştırmacısı ZachXBT, olay hakkında yaptığı yorumda, saldırının muhtemelen Gokal’ın kişisel hesaplarına yönelik önceki haftada süregelen bir sosyal mühendislik çabasının sonucu olduğunu söyledi. ZachXBT’ye göre, saldırganlar başlangıçta doğrudan Gokal’dan fidye istemeye çalıştı ve başarısız olunca bir ünlü üçüncü taraf Instagram hesabını ele geçirerek kamu görünürlüğünü en üst seviyeye çıkardılar.
Bu değerlendirme, Gokal'ın sosyal platform X'de, e-postalarına, sosyal medya ve teknoloji hizmeti hesaplarına yönelik çoklu girişim olduğunu ifşa ettiği ve halkı kendisinden gelebilecek şüpheli iletişimleri dikkate almamaya çağırdığı önceki uyarıyla uyumlu.
Sızdırılan KYC materyallerinin doğrudan kaynağı henüz doğrulanmamış olsa da, yüksek çözünürlüklü, hükümet tarafından verilmiş kimliklerin yanında çekilmiş selfie’lerin niteliği, verinin merkezileşmiş bir kripto platformundan sızmış olabileceği yönünde spekülasyonlara neden oldu. Gözlemciler, Coinbase’in son veri ihlaliyle olası bir bağlantıyı gündeme getirdi, bu ihlal, borsanın aylık aktif kullanıcı tabanının yaklaşık %1'ini etkilediği bildirilen.
Coinbase, tehdit aktörlerinin çalınan müşteri verileri karşılığında 20 milyon dolarlık bir fidye talep ettiği bir güvenlik olayını daha önce kabul etmişti. Şirket talebi yerine getirmedi. Ancak, şu anda Coinbase ihlali ile Gokal'in veri sızıntısını bağlayan herhangi bir doğrulanmış kanıt yok. Ne Coinbase ne de Meta, herhangi bir örtüşmeler olduğunu belirtmedi.
KYC Verileri
Bu olay, kripto ekosisteminde KYC verilerinin korunması ve hassasiyetiyle ilgili artan endişeleri vurguluyor. Düzenleyici gereklilikler platformları, kullanıcıları tanıtmak için hassas kimlik belgeleri toplamak zorunda bırakır, bu da onları sofistike saldırganlar için cazip hedefler haline getirir. KYC verilerinin sızması, genellikle parolaların çalınmasından daha zararlıdır, çünkü belgeler
- pasaportlar, sürücü belgeleri, selfiler - kolayca değiştirilmez veya iptal edilemez.
Bir analist, bu sızıntının tipik KYC olaylarından daha aşırı bir gizlilik ihlali olduğunu belirtti. "Bu sadece bir adres sızıntısı değil," dediler. "Dolandırıcılık, deepfake ya da şantaj için yeniden kullanılabilecek biyometrik kimlik kanıtıdır."
Web3 ekosistemleri hala erişim ve likidite için merkezi borsalara ve uyum aracılarına büyük ölçüde bağlı olduğundan, kullanıcılar ve kurucular, KYC veri ifşasıyla ilgili artan risklerle karşı karşıya kalıyor. Merkezi olmayan protokoller uzun süredir gizliliği ve kendi öz-korumayı temel ilkeler olarak sunmalarına rağmen, düzenlemede bulunan varlıklarla entegrasyonları, geleneksel hata noktalarını yeniden tanıtıyor.
Yüksek Profilli Hackler
Migos Instagram hacki, yüksek görünürlükte sosyal medya hesaplarının kötü niyetli içerik yaymak, sahte paralar tanıtmak ya da hassas verileri sızdırmak için istismar edildiği daha geniş bir modelin parçasıdır. Birçok durumda, hackerlar token pompalarını ya da dolandırıcılıkları teşvik etmek için kitlesel ifşayı hedefler. Bu vaka, esasen bir kamu misilleme aracı olarak hizmet etmekten saparak, reportedlyاطلىان tutarı başarısız olduğunda böyledir.
Son aylarda, kripto ile ilgili sosyal medya ihlalleri arasında şunlar yer aldı:
- Ocak ayında, ABD SEC’nin resmi X hesabının ele geçirilmesi ve sahte Bitcoin ETF onaylarının duyurulması.
- Mart ayında MicroStrategy'nin X hesabının ihlali, dakikalar içinde altı rakama ulaşan sahte bir tokenin tanıtımı.
- Meme para pompa-dump'ları başlatmak için birden fazla etki yaratıcısı Instagram hacki.
Güvenlik araştırmacıları, bu saldırıların birçoğunun SIM değiştirme, phishing ve kötü amaçlı yazılım kombinasyonunu içerdiğini kaydetti. Sosyal mühendislik, kişisel asistanlar, e-posta yönlendirme hizmetleri veya kurumsal hesaplar devreye girdiğinde, özellikle teknolojiyi iyi bilen bireyleri bile etkili bir şekilde etkileyen en etkili araçlardan biri olmaya devam ediyor.
Hukuki Boşluklar
Bu ölçek ve etki olaylarına rağmen, yürütme ve hukuki çözümler hala eksik kalmaktadır. Blok zincirinin merkezi olmadığı yapısı yüzünden işlem izlemesi mümkündür, ancak varlıkların geri alınması zordur. Bu arada, Instagram veya X gibi platformlar, takipçilerini bildirmek ya da belirli yargı bölgelerinin veri koruma yasaları altında ek kişisel veriler sızdırılmadıkça, hesap ihlalinin ardından kurbanlara tazminat ödemek konusunda az yükümlülük altındadır.
Bir blok zincirinin kurucusunun KYC verilerinin açığa çıkması, yönetim ve ağ güvenliği açısından da sonuçlar doğurabilir. Solana doğrudan bağlantılı olmamakla birlikte, olay, kamu figürlerine yönelik hedefli saldırılar ve bunların protokollere getirdiği potansiyel itibar ve operasyonel riskler hakkında endişeleri artırıyor.
Instagram'ın sahibi olan Meta, olayın yüksek profilli doğasına ve milyonlarca kullanıcının kişisel olarak tanımlanabilir bilgilerinin (PII) potansiyel açığa çıkmasına rağmen olayla ilgili bir kamu açıklaması yapmadı. Yayınlandığı sırada Gokal da herhangi bir ayrıntılı kamuya açık yorumda bulunmadı.
Merkezi platformlardan gelen şeffaflık süreki tutarsızlık gösteriyor ve çoğu büyük teknoloji firması ancak yasal olarak zorunluluk nedeniyle veya düşüş kamuya açık hale geldiğinde ihlal bildiriminde bulunmaktadır. Koordine edilmiş açıklamanın yokluğunda, kullanıcılar, ZachXBT gibi üçüncü taraf araştırmacılara ve bağımsız gazetecilere güvenmek zorunda kalıyorlar.
Sonuç Düşünceler
Raj Gokal’ın kişisel bilgilerinin alakasız bir ünlü Instagram hesabı aracılığıyla ifşa edilmesi, kripto alanında daha geniş bir tehdit manzarasını vurguluyor: sosyal medya açıklarından merkezi KYC veri depolama ve zorlayıcı taktiklerin birleşimi.
Gokal 40 BTC fidyesini ödememiş olabilir, ancak kişisel kimlik materyallerinin kamuya açık şekilde ifşası, uzun vadeli bir kişisel ve profesyonel sorumluluk olarak kalabileceğini göstermektedir.
Bu olay, blok zinciri sektöründeki veri odaklı saldırılar listesini genişletiyor ve proje liderlerini ve yatırımcıları, dijital kimliklerini ve güvenlik uygulamalarını nasıl yönettiklerini yeniden değerlendirmeye zorlayabilir. Ayrıca, üçüncü taraf KYC depolaması etrafındaki kontrollerin sıkılaştırılmasına ve kullanıcı verilerini işleyen platformlardan daha sağlam olay açıklama uygulamalarına duyulan ihtiyacı vurgulamaktadır.
Endüstri olgunlaştıkça, soru sadece blok zinciri açıklarını nasıl önleyeceğimiz değil, aynı zamanda dijital varlık sahipliğiyle giderek daha fazla kesişen zincir dışı riskleri nasıl hafifleteceğimizdir.