Türk Bitcoin Borsasında Güvenlik Açığı İddiası

3/3


2/3

Türk Kripto Para Borsası Sistemkoin, bu yazının yazıldığı esnada 24 saatlik bir sürede 68 milyon dolarlık bir hacme sahipti. Bununla birlikte, bir kullanıcı ve güvenlik araştırmacısından gelen bir rapora göre, borsada önemli güvenlik sorunlarının olduğu belirtiliyor.

Borsa yalnızca Bitcoin alım satım işlemlerinde 10 milyon doların üzerinde işlem yaptı. Kaynak: coinmarketcap.com

Destek Ticket Açığı: Ana Problem
Bazıları sorunun ne olduğunu merak edebilir, tabii diğerleri destek ticketınızı görebilirse. Büyük marifet değil mi? Pekala, destek personeli süsü veren birinin iki faktörlü kimlik doğrulamasını devre dışı bırakmanızı istediğini hayal edin. Veya, “hesabınızı doğrulayın” bölümüne özel bilgileri girin bakalım. Personel süsü verme kabiliyetine sahip olunca meydana gelmesi mümkün olan birçok düşünülebilir saldırı vektörünün bulunabileceğini hatırdan çıkarmayalım.

Güvenlik açığının diğer bir yönü, kaynağımızın gördüğü ticketların çoğunun para çekme sorunları ile ilgili olması. Bu durum bariz sebeplerden dolayı endişe nedeni olmalı:

1) Temel güvenlik uygulamaları izlenmemektedir.

2) Kullanıcılar gerçek anlamda para çekme konusunda sorun yaşıyor.

Para çekme, kripto para borsalarının belki de en önemli özelliği. Herhangi bir iyi düzenlenmiş hileli bir hareket, para yatırma işlemi yapabilir. Yalnızca yasal borsalar para çekme işlemlerini güvenilir ve tutarlı bir şekilde işleme koyabilir. “Proof of Keys” (Anahtarların Kanıtı) olarak adlandırılan yıllık bir olay, bir bankanın ne kadar miktarda işlem yaptığını ortaya koyarak borsaların geçerliliğini test eder.

Para Çekme Sorunlarının En Çok Görüldüğü Ticketlar
Her halükarda, ticketların çoğunluğu, CCN’in kaynağının yaptığı çok sayıda araştırmada olduğu gibi göz ardı edilmiş gibi görünüyor. CCN’in kaynağının belirttiği gibi:

“Sistemkoin.com sitesine göz atarken, borsadaki herhangi bir kullanıcının destek ticketlarını görüntüleyebildiğim ve yorumlayabildiğim birkaç kritik güvenlik açığı buldum. […] Yanıt veremedikleri için birkaç destek ticketından geçtim ve destek ticketlarının çoğunun tokenleri geri çekemediklerinden dolayı şikayette bulunan kullanıcılar hakkında olduğunu gördüm.”

Bu süreç, basitçe ticket numarasını başka bir destek ticketının numarasıyla değiştiren bir Sistemkoin kullanıcısını içeriyor. Yazar, söz konusu sürecin tamamını anlamak için ağ korsanının verdiği bilgiyle yetinmiyor ve kaynak daha sonra bizim için ekran görüntüsü şeklinde yaşadığı süreci şöyle açıklıyor:

Destek ticketı saldırganı görüntülerken, sunucuya olan talebi durdurur ve destek ticket id parametresini burp site gibi herhangi bir aracı kullanarak mağdur destek ticketı olarak değiştirir.

Saldırgan böylece diğer kullanıcıların destek ticketlarını görebilir.

SistemKoin İddiaları Yalanladı
Borsa ise Twitter üzerinden paylaştığı duyuru ile bu iddiaları yalanladı.

Bugün Sistemkoin tarafından atılan tweet şu şekilde yer alıyor.

Kamuoyuna Duyurulur

Ticket sistemi ve çekim işlemleri ile ilgili iddialar asılsızdır. pic.twitter.com/uYHII8eFkv

— SistemKoin (@SistemKoin) January 20, 2019

Son dakika gelişmelerden anında haberdar olmak için bizi Twitter’da takip edin, Facebook (NASDAQ:FB) sayfamızı beğenin ve Telegram kanalımıza katılın!

The post Türk Bitcoin Borsasında Güvenlik Açığı İddiası appeared first on Kriptokoin.com.