Kripto dünyasındaki yüksek riskli bir çatışmada, ABD’nin önde gelen kripto para borsası Kraken, blockchain güvenlik şirketi Certik’i hazinesinden yasa dışı olarak 3 milyon dolar sızdırmak ve gasp girişiminde bulunmakla suçladı.
Anlaşmazlık, etik bilgisayar korsanlığı uygulamaları ile kurumsal tepkiler arasındaki önemli gerilimleri gösteriyor ve hata ödülü ekosistemindeki karmaşıklıkların ve zorlukların altını çiziyor.
Kraken’den suçlamalar
Kraken’in güvenlik şefi Nick Percoco, isimsiz bir güvenlik araştırma firmasını görevi kötüye kullanmakla suçlamak için sosyal medya platformu X’i (eski adıyla Twitter olarak biliniyordu) kullandı. Percoco’ya göre, daha sonra Certik olduğu ortaya çıkan firma, Kraken’in hata ödül programı kurallarını ihlal etti.
Percoco, alınan fonların derhal iade edilmesi ve hatalı işlem ayrıntılarının tamamen ifşa edilmesine ilişkin yerleşik protokole uymak yerine, iddiaya göre Certik’in 3 milyon doları alıkoyduğunu ve ek tazminat istediğini iddia etti.
Percoco şunları yazdı: “‘Güvenlik araştırmacısı’ bu hatayı, birlikte çalıştıkları ve sahtekarlıkla çok daha büyük meblağlar elde eden diğer iki kişiye açıkladı. Sonuçta Kraken hesaplarından yaklaşık 3 milyon dolar çektiler. Bu Kraken’in hazinesindendi, diğer müşteri varlıklarından değil.”
Araştırmacılarla iletişime geçtikten sonra, fonları iade etmek yerine “iş geliştirme ekipleriyle (yani satış temsilcileriyle) bir görüşme talep ettiklerini ve bu hatanın neden olabileceği tahmin edilen $ tutarını sağlayana kadar herhangi bir parayı iade etmeyi kabul etmediklerini” söyledi. keşke bunu açıklamasalardı. Bu beyaz şapkalı hackleme değil, gasptır!
Percoco, Kraken’in hata ödül programının on yıllık geçmişinde şirketin kurallara uymayı reddeden araştırmacılarla hiç karşılaşmadığını söyledi. Program, hata tespiti sırasında alınan fonların derhal iade edilmesi ve bir kavram kanıtıyla birlikte sunulması gerektiğini şart koşuyor. Araştırmacıların ayrıca tespit edilen hataların aşırı kullanımından kaçınmaları bekleniyor.
Anlaşmazlık, Certik’in parayı iade edememesi ve Kraken’i “mantıksız” ve profesyonellikten uzak olmakla suçlamasıyla daha da arttı. Percoco, güvenlik araştırmacılarının bu tür eylemlerinin onların “hackleme lisanslarını” iptal ettiğini ve onları suçlu olarak sınıflandırdığını söyledi.
“Bir güvenlik araştırmacısı olarak, bir şirketi “hackleme” lisansınız, katıldığınız hata ödül programının basit kurallarını takip ederek etkinleştirilir. Bu kuralları göz ardı etmek ve şirkete şantaj yapmak, “hackleme lisansınızı” iptal eder. Bu sizi ve şirketinizi suçlu yapar.”
Certik’in Kraken’e Yanıtı
Kraken’in kamuya açık suçlamalarının ardından Certik, olaya karıştığını açıkladı ve Kraken’in anlatımına, borsayı mantıksız taleplerde bulunmak ve çalışanlarını tehdit etmekle suçlayarak karşı çıktı. Certik, Kraken’in gerekli geri ödeme adreslerini sağlamadan “uyumsuz” miktardaki kripto para biriminin mümkün olmayan bir zaman dilimi içinde iade edilmesini talep ettiğini iddia etti. Şirket, iddialarını desteklemek için test işlemlerinin muhasebesini sundu.
Certik, talep edilen tutardaki zorluklara ve geri ödeme adreslerinin bulunmamasına rağmen, fonları Kraken’in erişebileceği bir hesaba aktarma niyetini paylaştı.
“Kraken geri ödeme adresi vermediği ve talep edilen tutar eşleşmediği için kayıtlarımıza göre parayı Kraken’in erişebileceği bir hesaba aktarıyoruz.” – Sertifika
CertiK, Kraken’in Savunma Sistemlerini Ele Aldı
Certik, eylemlerini savundu ve bunun yerine Kraken’in savunma sistemlerinin yetersizliğine dikkat çekti. Firma, test süreçlerinin bir parçası olan farklı test hesaplarından sürekli olarak yapılan büyük miktardaki para çekme işlemlerinin Kraken’in güvenlik önlemleri tarafından tespit edilmesi gerektiğine dikkat çekti. Certik, Kraken’in sağlam olduğu iddia edilen savunma sistemlerinin neden bu kadar önemli anormallikleri tespit edemediğini sorguladı.
“Test sonuçlarımıza göre: Kraken borsası tüm bu testlerde başarısız oldu, bu da Kraken’in derinlemesine savunma sisteminin birçok cephede tehlikeye girdiğini gösteriyor. HERHANGİ BİR Kraken hesabına milyonlarca dolar yatırılabilir. Büyük miktarda uydurma kripto (değeri 1 milyon dolardan fazla) hesaptan çekilip geçerli kripto paralara dönüştürülebilir. Daha da kötüsü, birkaç gün süren test döneminde hiçbir uyarı tetiklenmedi. Kraken, olayı resmi olarak bildirmemizden günler sonra yanıt verdi ve test hesaplarını kilitledi.” – Sertifika
Blockchain güvenlik firması, beyaz şapka operasyonlarının ardındaki gerçeğin “milyonlarca dolarlık kripto paranın havadan basılması ve hiçbir gerçek Kraken kullanıcısının varlığının bu araştırma faaliyetlerine doğrudan dahil olmaması” olduğunu söyledi.
Firma ayrıca kripto para borsasıyla olan anlaşmazlığın aslında Kraken’deki daha ciddi bir güvenlik sorunundan odağı değiştirdiğini söyledi.
“Birkaç gün boyunca, birçok uydurma tokenin üretilip geçerli kriptolara çekilmesiyle birlikte, CertiK tarafından bildirilene kadar hiçbir risk kontrolü veya önleme mekanizması tetiklenmedi” dedi. “Asıl soru, Kraken’in derinlemesine savunma sisteminin neden bu kadar çok test işlemini tespit edemediği olmalı.”
Certik, çekilen parayla ilgili olarak şunları söyledi: “Farklı test hesaplarından sürekli olarak büyük miktarda para çekilmesi, testlerimizin bir parçasıydı.” Şeffaflık amacıyla güvenlik firması, tüm test amaçlı ödeme işlemlerinin ayrıntılarını ve hata ödülü efsanesinin X’te nasıl gerçekleştiğine ilişkin zaman çizelgesini açıkladı.
Ürün Kusurlarının Açıklanması İnce Bir Çizgidedir
Artan anlaşmazlığın haberi, beyaz şapkalı bir hackerın – hata ödülü etiğini takip ettikten sonra – şirketin hukuk ekibi tarafından “durma ve vazgeçme” tehdidinde bulunduğu başka bir olayın hemen ardından geldi.
Saldırı güvenliği uzmanı Andrew Lemon, trafik kontrol sistemi üreten ve satan isimsiz bir şirkete yönelik kritik bir güvenlik açığını sorumlu bir şekilde bildirdi. Lemon, bir LinkedIn gönderisinde, güvenlik açığının, kimliği doğrulanmamış uzak bir saldırganın güvenliği atlamasına ve bir trafik denetleyicisinin tam kontrolünü ele geçirmesine olanak tanıdığını ve onlara trafik ışıklarını değiştirme ve trafik akışını değiştirme olanağı verdiğini açıkladı.
Ancak Lemon’u şaşırtacak şekilde, hatayı kabul edip mühendislik ekibiyle birlikte ele almak yerine hukuk ekibi onu Bilgisayar Sahtekarlığı ve Kötüye Kullanım Yasası kapsamında dava etmekle tehdit etti.
“eBay’den satın aldığım bir trafik kontrol sistemindeki kritik bir güvenlik açığını sorumlu bir şekilde açıkladıktan sonra, mühendislik yerine bir şirketin hukuk ekibinden bir mektup aldım” dedi.
“Şirketin yanıtı? Güvenlik açığını kabul edebilmeleri için donanımın doğrudan kendilerinden satın alınması veya müşterilerinden birinin açık izniyle test edilmesi gerekiyor. Bilgisayar Dolandırıcılığı ve Kötüye Kullanım Yasası kapsamında kovuşturma açmakla tehdit ettiler ve açıklamayı sorumsuz olarak etiketleyerek potansiyel olarak daha fazla zarara yol açacağını belirttiler.”
Güvenlik Mühendisi Jake Brodsky ise şöyle yanıt verdi: “Yasal olarak böyle bir mektup yazmaları ve hatta araştırmacıya karşı dava açmaları haksız değil. Ancak etik olarak meslek örgütlerini sebepsiz yere karşı karşıya getirdiği için sorunludur.”
Ürün kusurlarının açıklanması çok ince bir çizgidedir. Bir yandan, hiç kimse bunun ardından gelen tanıtımdan hoşlanmaz. Öte yandan kimse bir şey söylemezse, kendimizi geliştirebilmemizin tek yolu, servetlerin kaybedildiği ve insanların zarar gördüğü bir soruşturma sonrasındadır.
Hata Ödül Ekosistemi için Etkiler
Kraken-Certik anlaşmazlığı ve Andrew Lemon tarafından vurgulanan anlaşmazlık, hata ödül programlarındaki operasyonel dinamikler ve etik sınırlar hakkında kritik soruları gündeme getiriyor. Bu programlar, güvenlik araştırmacılarını güvenlik açıklarını belirlemeye ve raporlamaya teşvik etmek ve çabaları karşılığında mali ödüller sunmak üzere tasarlanmıştır. Ancak bu vakalar, taraflar arasındaki iletişim ve karşılıklı anlayış bozulduğunda ortaya çıkabilecek potansiyel tehlikeleri ortaya çıkarıyor.
Hata ödül programlarının etik çerçevesi açık kurallara ve karşılıklı güvene dayanır. Araştırmacılar, alınan fonların derhal iadesi ve bulgularının tam olarak açıklanması da dahil olmak üzere programın yönergelerine uymak zorundadır. Öte yandan şirketlerin açık talimatlar vermesi ve araştırmacılarla profesyonel etkileşimi sürdürmesi gerekiyor.
Şirketler ve araştırmacılar arasında iyi tanımlanmış protokollere ve iletişim kanallarına ihtiyaç vardır. Beklentilerde şeffaflık ve netliğin sağlanması, yanlış anlamaları ve çatışmaları önleyebilir ve siber güvenlik iyileştirmeleri için daha işbirlikçi bir ortamı teşvik edebilir.