MyEtherWallet.com, geçtiğimiz ay içinde bazı ziyaretçilerin sahte bir siteye yönlendirildiğini ve kripto para birimi cüzdanlarının boşaltıldığını duyurdu.
Buna göre yaklaşık 150 bin dolar değerindeki Ethereum tabanlı kripto paranın çalındığı bildirildi. Global antivirüs yazılım kuruluşu ESET, bu gelişmeyi mercek altına aldı.
ESET Güvenlik Araştırmacısı Graham Cluley’in incelediği olaya göre Amazon’un internet domain servisi gasp edilerek Ethereum kripto para birimi cüzdanları çalındı. MyEtherWallet.com adlı online kripto para birimi web sitesi, ziyaretçilerinin, kullanıcı bilgilerini çalmak üzere dizayn edilmiş bir kimlik avı sitesine yönlendirildiğini ve bu şekilde kripto para birimi cüzdanlarının boşaltıldığını açıkladı. Saldırının arkasındaki kişiler, tahmini olarak 152 bin dolar değerindeki Ethereum tabanlı para birimini çalmayı başardı.
MyEtherWallet, hatalı olmadıklarını açıkladı
Ancak MyEtherWallet yaptığı açıklamada hatalı olmadığını duyurdu: “Bu olay MyEtherWallet platformundaki bir güvenlik eksikliğinden kaynaklanmamaktadır. Korsanların, halka açık DNS sunucularındaki güvenik açıklarını bulmaları sonucu gerçekleştirilmiştir.”
Bu açıklama İngiliz güvenlik araştırmacısı Kevin Beaumont tarafından da onaylanmış ve MyEtherWallet üzerindeki trafiğin bir kısmının, Amazon’un DNS çözücülerinin, veri merkezi şirketi Equinix tarafından Chicago’da bulundurulan bir sunucuya yaptıkları yönlendirmeye rağmen, Rusya’da bulunan bir sunucuya yönlendirildiğini açıklamıştır.
Görünürdeki tek ipucu, kullanıcıların sahte MyEtherWallet sitesine yönlendirildiklerinde, karşılaştıkları sitenin güvenilir olmayan SSL sertifikası kullandığına yönelik hata mesajıdır. Görünüşe göre saldırganlar, geçerli bir SSL sertifikası almayarak oldukça basit bir hata yaptı. Onların bu davranışı, bazı kullanıcıların yanlış bir şeyler olduğu yönündeki endişelerini artırdı.
Kullanıcıların bir bölümü uyarı mesajlarını görmezden geldi
Buna karşın, bazı kullanıcıların bir uyarı mesajı görmelerine rağmen bunu görmezden gelmeleri de biraz üzücü. Hesapları ele geçirilenler, güvenlik uyarısı görmelerine rağmen web sitesinde işlem yapmaya devam eden kullanıcılardan oluşuyor.
Equinix ve Amazon’dan açıklamalar
Veri merkezi kuruluşu Equinix tarafından yapılan açıklamada, Chicago veri merkezindeki bir müşterinin ekipmanlarının, Amazon’un Route 53 DNS servisinin ele geçirilmesinde kullanıldığı ifade ediliyor: “Bu saldırıda kullanılan sunucu bir Equinix sunucusu değildir; Chicago IBX veri merkezimizde, müşteri tarafından konumlandırılmış bir ekipmandır. Genel olarak müşterilerimizin ya da müşterilerimizin müşterilerinin kendi ekipmanlarıyla ne yaptıkları konusunda bir görüş veya kontrole sahip değiliz.“
Amazon da yaptığı açıklamada suçlu olarak başkalarını işaret ediyor: “Ne AWS ne de Amazon Route 53 ele geçirilmiş ya da ifşa edilmiştir. Önde gelen bir internet servis sağlayıcısının (ISP) gizliliği kötü amaçlı kişilerce ifşa edilmiş ve bu ISP kullanılarak, kendisine bağlı bir dizi Route 53 IP adresi diğer ağlara da yönlendirilecek şekilde açıklanmıştır. Sorundan haberi olmayan bu bağlı ağlar, açıklamaları kabul ederek tek bir müşterinin domain adresindeki trafiğin küçük bir kısmını, aynı domain adresinin kötü amaçlı bir kopyasına yönlendirmişlerdir.”
Kimse sorumluluk üstlenmek istemiyor
ESET Güvenlik Araştırmacısı Graham Cluley, sonuç itibarıyla yaşananlar konusunda kimsenin sorumluluğu üstlenmek istemediğini dikkat çekerken, şunları söyledi: “Kripto para taraftarlarına tavsiyem, güvenlik konusuna bireysel olarak adım atmanızdır. Yatırımlarınızın güvenliğinden sorumlu olmalı ve kripto para cüzdanlarınızın siber suçlular tarafından ele geçirileceği konusunda endişeleniyorsanız belki de en mantıklı yol olarak cüzdanlarınızı çevrimdışı olarak saklamalısınız. Kripto para cüzdanınızı, çevrimiçi olarak saklamaktan kaçınmanızın yanı sıra onları akıllı telefon veya bilgisayarınızda da tutmamalı; hatta bunun yerine bir donanım cüzdanına yapmalısınız.