Coinbase’e 20 Milyon Dolarlık Fidye Saldırısı
Mayıs 2025’te kripto para dünyası, teknik açıklar kadar insan kaynaklı tehditlerin de ne denli yıkıcı olabileceğini bir kez daha gördü. ABD merkezli kripto devi Coinbase, yalnızca müşteri verilerinin değil, güvenliğin merkezinde yer alan insan unsurunun da saldırıya açık olduğunu gözler önüne seren bir olayla karşılaştı.
Saldırganlar, herhangi bir yazılım açığından faydalanmadı. Bu kez hedef, Coinbase’in yurt dışındaki müşteri destek personeliydi. Siber korsanlar, personelleri rüşvet yoluyla manipüle ederek, iç sistemlere sızmak yerine içeriden bilgi sızdırılmasını sağladı. Bu durum bir "insider threat" (iç tehdit) vakası ve tipik bir sosyal mühendislik saldırısı olarak kayıtlara geçti.
Saldırı sonucunda yaklaşık 97.000 müşteriye ait kişisel bilgilere erişildi. Bu bilgiler arasında ad-soyad, e-posta adresi, telefon numarası ve kısmi sosyal güvenlik numaraları yer aldı. Kripto varlıklar ve kullanıcı parolaları bu saldırıdan etkilenmemiş olsa da, saldırganlar ellerindeki verileri sızdırmamak için Coinbase'ten 20 milyon dolar fidye talep etti.
Coinbase bu tehdide boyun eğmeyerek, fidyeyi ödemeyi reddetti. Hatta bir adım ileri giderek, saldırganların kimliğinin belirlenmesine yardımcı olacak bilgileri paylaşanlara aynı miktarda – 20 milyon dolar – ödül teklif etti. Şirket ayrıca, bu olay sonrası müşteri hizmetleri operasyonlarını ABD’ye taşıma ve iç güvenlik denetimlerini artırma kararı aldı.
Bu olayın hemen öncesinde, Mart 2025’te Coinbase’e karşı başka bir saldırı girişimi daha yaşanmıştı. GitHub Actions üzerinden düzenlenen bu tedarik zinciri saldırısı, CVE-2025-30066 ve CVE-2025-30154 olarak izlenmişti. Ancak bu saldırı, sistemlere ulaşamadan durdurulmuştu.
Sonuç:
Coinbase vakası, teknolojik savunmalar ne kadar güçlü olursa olsun, insan hatasının her zaman en zayıf halka olabileceğini hatırlattı. Siber güvenlikte sadece yazılım güncellemeleri, firewall’lar ya da antivirüsler değil; eğitimli personel, etik ilkeler ve iç güvenlik politikaları da en az yazılım yamaları kadar önemlidir.