Kripto para birimi web sitesi MyEtherWallet.com, geçtiğimiz ay içinde bazıziyaretçilerin sahte bir siteye yönlendirildiğini ve bu şekilde kripto parabirimi cüzdanlarının boşaltıldığını duyurdu. Buna göre yaklaşık 150 bin dolar değerindekiEthereum tabanlı kripto paranın çalındığı bildirildi. Global antivirüs yazılımkuruluşu ESET, bu gelişmeyi mercek altına aldı.
ESET GüvenlikAraştırmacısı Graham Cluley’in incelediği olaya göre Amazon'un internetdomain servisi gasp edilerek Ethereum kripto para birimi cüzdanlarıçalındı. MyEtherWallet.com adlı online kripto para birimi web sitesi,ziyaretçilerinin, kullanıcı bilgilerini çalmak üzere dizayn edilmiş bir kimlikavı sitesine yönlendirildiğini ve bu şekilde kripto para birimi cüzdanlarınınboşaltıldığını açıkladı. Saldırının arkasındaki kişiler, tahmini olarak 152 bindolar değerindeki Ethereum tabanlı para birimini çalmayı başardı.
MyEtherWallet, hatalı olmadıklarını açıkladı
Ancak MyEtherWallet yaptığı açıklamada hatalı olmadığınıduyurdu: "Bu olay MyEtherWallet platformundaki bir güvenlikeksikliğinden kaynaklanmamaktadır. Korsanların, halka açık DNSsunucularındaki güvenik açıklarını bulmaları sonucugerçekleştirilmiştir."
Bu açıklama İngiliz güvenlik araştırmacısı Kevin Beaumont tarafından daonaylanmış ve MyEtherWallet üzerindeki trafiğin bir kısmının, Amazon'un DNSçözücülerinin, veri merkezi şirketi Equinix tarafından Chicago'da bulundurulanbir sunucuya yaptıkları yönlendirmeye rağmen, Rusya'da bulunan bir sunucuya yönlendirildiğiniaçıklamıştır.
Görünürdeki tek ipucu, kullanıcıların sahte MyEtherWallet sitesineyönlendirildiklerinde, karşılaştıkları sitenin güvenilir olmayan SSLsertifikası kullandığına yönelik hata mesajıdır. Görünüşe göre saldırganlar,geçerli bir SSL sertifikası almayarak oldukça basit bir hata yaptı. Onların budavranışı, bazı kullanıcıların yanlış bir şeyler olduğu yönündeki endişeleriniartırdı.
Kullanıcıların bir bölümü uyarı mesajlarını görmezden geldi
Buna karşın, bazı kullanıcıların bir uyarı mesajı görmelerine rağmen bunugörmezden gelmeleri de biraz üzücü. Hesapları ele geçirilenler, güvenlikuyarısı görmelerine rağmen web sitesinde işlem yapmaya devam edenkullanıcılardan oluşuyor.
Equinix ve Amazon’dan açıklamalar
Veri merkezi kuruluşu Equinix tarafından yapılan açıklamada, Chicago verimerkezindeki bir müşterinin ekipmanlarının, Amazon'un Route 53 DNS servisininele geçirilmesinde kullanıldığı ifade ediliyor: “Bu saldırıda kullanılan sunucubir Equinix sunucusu değildir; Chicago IBX veri merkezimizde, müşteritarafından konumlandırılmış bir ekipmandır. Genel olarak müşterilerimizin ya damüşterilerimizin müşterilerinin kendi ekipmanlarıyla ne yaptıkları konusundabir görüş veya kontrole sahip değiliz.“
Amazon da yaptığı açıklamada suçlu olarak başkalarını işaretediyor: "Ne AWS ne de Amazon Route 53 ele geçirilmiş ya da ifşaedilmiştir. Önde gelen bir internet servis sağlayıcısının (ISP) gizliliği kötüamaçlı kişilerce ifşa edilmiş ve bu ISP kullanılarak, kendisine bağlı bir diziRoute 53 IP adresi diğer ağlara da yönlendirilecek şekilde açıklanmıştır.Sorundan haberi olmayan bu bağlı ağlar, açıklamaları kabul ederek tek birmüşterinin domain adresindeki trafiğin küçük bir kısmını, aynı domain adresininkötü amaçlı bir kopyasına yönlendirmişlerdir."
Kimse sorumluluk üstlenmek istemiyor
ESET Güvenlik Araştırmacısı Graham Cluley, sonuç itibarıyla yaşananlarkonusunda kimsenin sorumluluğu üstlenmek istemediğini dikkat çekerken, şunlarısöyledi: “Kripto para taraftarlarına tavsiyem, güvenlik konusuna bireyselolarak adım atmanızdır. Yatırımlarınızın güvenliğinden sorumlu olmalı ve kriptopara cüzdanlarınızın siber suçlular tarafından ele geçirileceği konusundaendişeleniyorsanız belki de en mantıklı yol olarak cüzdanlarınızı çevrimdışıolarak saklamalısınız. Kripto para cüzdanınızı, çevrimiçi olarak saklamaktankaçınmanızın yanı sıra onları akıllı telefon veya bilgisayarınızda datutmamalı; hatta bunun yerine bir donanım cüzdanına yapmalısınız.
