KYC'nin diğer yüzü: Coinbase skandalının altında ne yatıyor?

Tehditler, şantajlar ve hatta adam kaçırmalar uzun zamandır kripto dünyasının karanlık yüzünün bir parçasıydı - dijital varlıkların kitlesel olarak benimsenmesinden önce bile. Ancak Coinbase'deki son veri ihlali bu tehlikeyi yepyeni bir seviyeye taşıdı: artık kötü niyetli aktörler potansiyel kurbanların ayrıntılı bir haritasına sahip.

Kripto borsası, müşteri verilerini yanlış kullandığı iddiasıyla bir davayla karşı karşıya. Davacılara göre, ihlal tam isimleri, ev adreslerini, telefon numaralarını, e-postaları, Sosyal Güvenlik numaralarının son dört hanesini, kısmi banka hesabı tanımlayıcılarını, ehliyetleri, pasaportları ve hesapla ilgili bilgileri açığa çıkardı.

Bu bilgiler ışığında, mesele yasal sorumluluk ya da itibar kaybının çok ötesinde, özel bilgileri yanlış ellere geçen kullanıcılar için gerçek fiziksel güvenlikle ilgilidir.

Bu durum kritik bir soruyu gündeme getirmektedir: kim sorumlu tutulmalıdır - hassas verilerin güvenliğini sağlayamayan borsalar mı, yoksa "kara para aklamayı önleme" başlığı altında kullanıcı bilgilerinin giderek daha büyük hacimlerde talep edilmesini isteyen düzenleyiciler mi?

Bu daha önce de oldu

TechCrunch'ın kurucusu ve risk sermayedarı Michael Arrington, Coinbase veri ihlalinin "insanların ölümüne neden olabileceğini" söylediğinde, bu abartılı bir ifade değildi - çoğu zaman sessizlik içinde de olsa, kripto dünyasında zaten olup bitenlerin bir yansımasıydı. Giderek artan sayıda yüksek profilli adam kaçırma girişimi, kripto meraklılarının karşı karşıya olduğu gerçek hayattaki tehlikelere ilişkin endişeleri artırdı.

Örneğin Ocak ayında hırsızlar Ledger'ın kurucu ortağı David Balland'ın Paris'teki evine girdi. Bu rastgele bir hırsızlık değildi - saldırganlar onun kim olduğunu ve neye sahip olduğunu biliyorlardı. Kripto varlıklarına erişmek için tehdit ve şiddet kullanarak onu ve karısını kaçırdılar.

ABD'de, üç silahlı adam popüler yayıncı Amouranth'ın evine baskın düzenledi ve saldırılarını Amouranth'ın yalnız olduğu bir zamana denk getirdi. Elinde Bitcoin olduğunu biliyorlardı. Onu dövdüler ve bir kripto transferine zorlamaya çalıştılar. Amouranth hayatta kalmayı başardı çünkü önce o ateş etmeyi başardı.

Başka hikayeler de var - silah ateşiyle sonlanmayanlar. Saldırganların gece geç saatlerde ortaya çıktığı, aile üyelerini kaçırdığı ve ültimatomlar verdiği vakalar . Ve bu olaylar, saldırganlar herhangi bir kesinliğe sahip olmadan önce gerçekleşti - hala bir cüzdanın arkasında kimin olduğunu, nerede yaşadıklarını veya onlara nasıl ulaşacaklarını tahmin etmek zorunda kaldıklarında . Şimdi, bu bilgiler kamuya açık hale geldi.

KYC bir güven aracı, ancak sektör bu sorumluluğa hazır mı?

İşin ironik yanı, her şeyin görünüşte rutin, "güvenli" kimlik doğrulamasıyla başlaması: vesikalık fotoğraf, adres kanıtı, biraz biyometri. Borsalar bunu uzun zamandır mevzuata uygunluk olarak çerçeveliyor - ancak gerçekte bu onların ticari çıkarlarına da hizmet ediyor. Bu veri noktaları finansal profillerin oluşturulmasına, ürün tekliflerinin kişiselleştirilmesine ve ortaklarla yapılan anlaşmaların kolaylaştırılmasına yardımcı oluyor.

Ancak bu veriler yanlış ellere geçtiğinde, bu kolaylık yaşamı tehdit eden bir riske dönüşür.Michael Arrington'ın haklı olarak belirttiği gibi, dijital güvenliğini korumak için mümkün olan her adımı atan biri, sırf bir borsaya güvendiği için yine de mağdur olabilir. Güvenlik açığı kullanıcı tarafında olmadığında hiçbir 2FA ya da soğuk depolama yardımcı olamaz."Tüm güvenlik kurallarına mükemmel bir şekilde uyan biri bile yine de hedef alınabilir. Sorun kullanıcıda değil, borsada. Ve hiç kimse gerçekten güvende değil," diye sözlerini tamamladı Arrington.

Coinbase'in yanıtı

Coinbase, olayı kolluk kuvvetlerine bildirdiğini ve soruşturmayla tam bir işbirliği içinde olduğunu belirtti. Şirket ihlali inkar etmedi ve bilgisayar korsanlarının tutuklanmasına yol açan bilgiler için 20 milyon dolarlık bir ödül açıkladı. Sonuçları şimdiden önemli - bazı tahminlere göre etkilenen kullanıcılara ödenecek potansiyel tazminat 400 milyon dolara kadar çıkıyor.

Loading...

Tweet yazar tarafından silindi.

Ama biz her şeyi kaydettik 🙂.

Coinbase'in resmi açıklamasına göre, ihlal, müşteriye yönelik sistemlerin bazı bölümlerine erişimi olan yabancı müşteri destek yüklenicilerine rüşvet verilmesi yoluyla meydana geldi. Saldırganlar, sınırlı hesap verilerini çalmak için bu erişimden yararlandı. Şirket, hiçbir finansal veya kimlik doğrulama bilgisinin tehlikeye atılmadığını iddia ediyor. Ancak, ihlalin ardından failler Coinbase'i çalınan bilgileri halka açıklamakla tehdit ederek şantaj yapmaya çalıştı.

Yine de Michael Arrington'ın haklı olarak işaret ettiği gibi, mesele mali kayıpların ötesine geçiyor. Arrington, kullanıcı verilerini korumakta başarısız olan şirketlerin yöneticilerine karşı sadece gerçek cezai kovuşturmaların sektöre değişim getireceğini savunuyor.

Arrington ayrıca bu olayın düzenleyicileri, kullanıcıların son derece hassas kişisel bilgilerini açıklamalarını gerektiren zorunlu kimlik doğrulamasının (KYC) kapsamını ve risklerini yeniden düşünmeye sevk etmesi gerektiğine inanıyor.

Loading...

Tweet yazar tarafından silindi.

Ama biz her şeyi kaydettik 🙂.

Hesap verebilirlik olmadan ilerleme kaydedilemez

Coinbase, bir veri ihlali nedeniyle yasal işlemle karşı karşıya kalan ilk - ve muhtemelen son - borsa değil. Ancak bu olay düzenleyici bir başarısızlıktan çok daha fazlası. Kripto endüstrisinin olgunluğunun bir testidir.

Peki, sorumluluğu kim üstlenmeli? Teknik olarak borsalar. Verileri onlar topluyor ve saklıyor. İhlal edilenler onların sistemleri. Ve kullanıcılar finansal faaliyetlerini yönetmek için onlara güveniyor. Ancak temelde tüm sistem suçlanmalı - merkezi platformları, genellikle anlamlı bir koruma planı olmaksızın, kişisel verilerin geniş depoları haline gelmeye zorlayan bir yapı. Düzenleyiciler daha fazla şeffaflık talep etmiş ancak yeterli güvence sağlayamamışlardır.

En endişe verici olan ise zayıf halkanın kullanıcı olmaması. Elinizde milyonlar olmasa, borsalarda kripto saklamasanız ve cüzdan adresinizi asla yayınlamasanız bile yine de hedef olabilirsiniz. Çünkü sistem zaten sizin hakkınızda yeterince şey biliyor. Ve bu "yeterli" bir gün ölümcül olabilir.

Yeni standart "daha fazla veri" değil, daha az güvenlik açığı olmalıdır

Belki de kriptoda KYC'nin tüm mantığını yeniden düşünmenin zamanı gelmiştir. Merkezileştirilmiş, şablonlaştırılmış ve açıkta kaldığı sürece kullanıcılar kendilerini güvende hissetmeyecektir.

Kripto kitlesel olarak benimsenme çağına girmiştir. Soru artık doğrulamanın gerekli olup olmadığı değil, bundan kimin ve nasıl sorumlu tutulacağıdır.Çünkü eğer kimse sorumlu tutulmazsa, bir sonraki ihlal sadece davalara yol açmakla kalmayabilir, hayatlara da mal olabilir.