Türkiye’nin son günlerdeki gündem maddelerinden BtcTurk’te yaşandığı iddia edilen veri sızıntısıydı. 14 Mayıs tarihinde "BtcTurk’ün hacklendiği" iddiasıyla bir hacker forumunda açılan başlıkla fitili ateşlenen olaylar, Twitter’da bazı kullanıcıların yaptığı araştırmalar sonucu giderek derinleşmiş ve yeni bilgiler ortaya çıkmıştı.

Son olarak yazılımcı Mert Susur, yaptığı çalışmalar sonucu 2018’de BtcTurk’ten sızdırıldığı düşünülen kullanıcı hesaplarının yer aldığı bir veri tabanına ulaşmıştı. Gün içerisinde konuya dair resmî açıklama yapan BtcTurk, 2018 yılında 516 bin kişinin verilerinin sızdırıldığını kabul ettiği bir duyuru yayınladı.

BtcTurk, 2018’de verilerin sızdırıldığını kabul etti:

BtcTurk Destek hesabından yapılan paylaşımda, yaklaşık 3 sene önce BtcTurk üzerinden kullanıcı verilerinin sızdırıldığı kabul edildi. Yapılan açıklamada "Bahse konu iddialarda sunulan örnek verilerin iş ortaklığı içerisinde olduğumuz kurumlar ile KVKK kapsamında yapılan sözleşmelere uygun olarak paylaşılmasından önce, Temmuz 2018 tarihinde sistem dışına çıkarılan veri setlerinden birinin taslak hali (veritabanından alınan ilk hali) olduğu değerlendirilmiştir. Bahse konu veri setinin depolandığı ortamda oluşan bir güvenlik ihlali neticesinde şirket dışına çıktığı düşünülmektedir" ifadelerine yer verildi.

BtcTurk’ten yapılan açıklamada, bahse konu veri ihlalinde kullanıcılara ait selfie/özçekim kayıtları, bakiye bilgileri, banka hesapları, finansal şifreleri ve nitelikli verileri ile ilgili herhangi bir veri sızıntısının söz konusu olmadığının altını çizilmedi.

Bununla birlikte Temmuz 2018 tarihinden önce kaydolmuş 516 bin 954 adet kullanıcının o tarihte güncel olan aşağıdaki verilerinin sızıntıdan etkilendiği düşünülüyor:

• BtcTurk’te kayıtlı ad soyad, T.C. Kimlik Numarası ve kullanıcı numarası/User ID bilgisi
• BtcTurk’te kayıtlı e-posta bilgisi
• BtcTurk’te kayıtlı adres bilgisi
• BtcTurk’te kayıtlı doğum tarihi
• BtcTurk’te kayıtlı cep telefonu numarası
• Temmuz 2018 öncesi hesaba en son giriş tarihi
• Temmuz 2018 öncesi hesaba en son giriş yapılan IP adresi
• Geri döndürülemez şekilde PBKDF2 algoritması ile maskelenmiş kullanıcı şifreleri

Temmuz 2018 tarihinden sonra BtcTurk’e üye olan kullanıcıların veri ihlalinden etkilenmediğini belirten BtcTurk, şu ifadeleri kullandı:

"İhlalden etkilenen kullanıcılarımızın veri seti içeriğinde yer almayan verileri (selfie/özçekim kayıtları, bakiye bilgileri, banka hesapları, finansal şifreleri ve nitelikli verileri) ile Temmuz 2018 tarihinden sonra Şirketimize üye olan kullanıcılarımızın bu ihlalden etkilenmediğini sizlere duyurmak isteriz.

Kullanıcılarımızın işlem güvenliği açısından büyük önem teşkil eden şifre/parola gibi verileri ise sistemlerimizde güvenle saklanmaktadır. PBKDF2 algoritması ile parolalar tek taraflı şekilde saklanarak, ilgili şifre sahibi kullanıcı dışında kimsenin bilemeyeceği ve geriye döndürülemez bir şekilde korunmaktadır. PBKDF2 algoritmasının mevcut teknolojik imkanlarla geri döndürülmek suretiyle şifrelerin tespiti mümkün değildir."

Verileri sızıntıya uğrayan kullanıcılar ile sırasıyla iletişime geçilmeye başlandığını bildiren BtcTurk, üyelerin hesap güvenliklerini temin etmek için şu hususlarda dikkatli olmaları gerektiğini söyledi:

• Şifre/parola mahremiyetine özen gösterilmesi
• Şifre/parola bilgilerinin hiçbir şekilde üçüncü kişilerle paylaşılmaması
• Oltalama/phishing saldırılarına karşı dikkatli olunması
• 2FA kodlarını ve/veya şifrelerini/parolalarını isteyen veya gönderilen linklere tıklamaya yönlendirilen e-posta mesajlarına, aramalara, internet sitelerine vb. karşı dikkatli olunması
• Hesap bilgileri ve/veya şifre/parolaların kamuya açık bilgisayarlarda ve internet bağlantılarında kullanılmaması
• Cihazların güvenliğine özen gösterilmesi ve gerekli görülen diğer tedbirlerin alınması

Yaşanan veri ihlaliyle ilgili olarak şirket nezdinde tüm ek tedbirlerin alındığını belirten BtcTurk; konuyla ilgili KVKK (Kişisel Verileri Koruma Kurulu), USOM (Ulusal Siber Olaylara Müdahale Merkezi) ve İstanbul Cumhuriyet Başsavcılığı’na gerekli bildirimlerin yapıldığını ve suç unsuru içeren eylemlerde bulunan kişiler hakkında da ilgili yasal mercilere başvurulduğunu bildirdi.

Açıklamada ayrıca BtcTurk bünyesinde tutulan Türk Lirası bakiyelerin ve kripto varlıkların güvende olduğu bildirildi.