Binance Kripto Varlık Borsasına Saldırı İddiası
Dünyanın en büyük kripto varlık borsalarından Binance şirketine karşı gerçekleştirilen siber saldırı sonucu, 570 milyon USD değerinde kripto varlığın ele geçirildiği iddiası, büyük yankı uyandırdı. Yapılan saldırının şirketin yerel block-chain (blokzincir) ağı olan “Binance Smart Chain” ağına karşı gerçekleştirildiği iddia edildi.
Binance şirketinin yetkilisi Changpeng Zhao ile yapılan röportajda, şirket yetkilisi, borsa kullanıcılarının paralarını kaybetmediğini belirtirken, sorunun zincirler arası köprülerin saldırılara karşı savunmasız olmasından kaynaklandığını belirtti.
Finans.mynet sitesinin haberine göre; şirketin siber saldırıya uğradığı iddia edilen hesaplar hakkında dondurma kararı alıp almayacağı ve saldırıyı düzenleyenlerin yakalanması için bir ödül belirleyip belirlemeyeceği gibi konularda atılacak adımları belirlemek için bir toplantı düzenleyerek oylama yapacağı iddia edilirken, çalınan varlıkların değerinin %10’una kadar teklif vermek üzere siber saldırıyı düzenleyenlerle masaya oturacağı da haberde belirtilen bir başka husus olarak yer almaktadır.
Bu konu ile bağlantılı olarak, Blokzincir teknolojisine ilişkin araştırma yapan Chainalysis şirketi; Ağustos ayında çapraz zincirli köprülere yapılan 13 adet saldırıda yaklaşık iki milyar dolar değerinde kripto paranın çalınmış olabileceği tahmininde bulunurken, geçtiğimiz aylarda Axie şirketi ve Wormhole isimli ağdan toplam 925 milyon USD değerinde kripto varlığın ele geçirildiği tahminini kamuoyu ile paylaştı.
Binance şirketi ise; iddialara ilişkin yaptığı açıklamada; siber saldırı ile ilgili yapılan haberlerin BNB Chain ile sınırlı olduğunu ve şirket ile bir ilgisi bulunmadığını, şirketin söz konusu blokzincir ağı üzerinde kontrol sahibi olmadığı vurgulanırken, BNB Chain ağına ilişkin, “BNB Chain, topluluğu tarafından yönetilen, herhangi bir merkezi olmadan çalışan ve günlük aktif kullanıcı sayısı bakımından dünyanın en büyük akıllı sözleşme blokzinciridir. Operasyona geçmesinden bu yana, 163 milyon farklı adresten 3 milyar işlemi gerçekleştirerek düşük gas ücretleri ve sıfır gecikme süresi sayesinde geliştiriciler için büyük bir kullanıcı kitlesini erişime sunmaktadır. Binance ise DeFi, Meta Evrenler, blokzincir oyunları, NFT’ler ve daha fazlasını kapsayan birden çok kategoride Binance Smart Chain’i kullanan 1.400’ün üzerindeki proje ve dApp’ten oluşan bir ekosistemdir.” Açıklaması yapılmış ve saldırının zincirler arası köprü olan BSC Token Hub’da gerçekleştiğini ve şirketin herhangi bir kaybı ve zararı bulunmadığını belirtirken, Binance borsası kullanıcılarının da bu durumdan etkilenmediğini kamuoyuna bildirmiştir.
Saldırının Kişisel Verilen Açısından Anlamı
Burada, öncelikle kişisel verinin tanımına ilişkin açıklama yapılması gerekmektedir. AB Genel Veri Koruma Regülasyonu (GDPR), kişisel veriyi, “Tanımlanmış veya tanımlanabilir bir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlarken, 6698 Sayılı Kişisel Verilerin Korunması Kanunu kişisel veriyi, “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi “ şeklinde tanımlamaktadır.
Bu tanımlardan yola çıkarak; söz konusu siber saldırıya dair, ele geçirilen kripto varlıklar dışında, kullanıcıların kişisel verilerinin de ele geçirilip geçirilmediği, ele geçirilmiş ise, buradaki sorumlunun durumunu tartışmaya açmakta fayda vardır. Blokzincirde yer alan verilerin kişisel veri niteliğini haiz olup olmadığını irdelemek gerekmektedir. Bir blokzincirde temelde iki tip veri bulunmaktadır. Bunlar blok başlığı içerisinde yer alan, ilgili bloğun ağdaki diğer katılımcılar tarafından tanınmasını sağlayan veriler ve blok içeriğinde yer alan, ilgili blokzincirin kullanım amacına göre farklılık gösterecek olan verilerdir. Bu aşamada özellikle belirtilmelidir ki; blokzincirler farklı amaçlarla, farklı yapılarda oluşturulabileceklerinden bir blokzincir örneğinin kişisel verilerin korunmasın ilişkin mevzuata uygunluk değerlendirmesinin her durumun özellikleri dikkate alınarak ayrıca yapılması gereklidir.
Burada öncelikle Bitcoin blokzinciri ve diğer birçok blokzincirde karşımıza çıkan, kullanıcıların ilgili blokzincir ağı üzerinde işlem yapmak için kullandığı harf ve sayı dizileri olan açık-özel anahtar çiftlerine değinilmelidir. Bu anahtar çiftleri doğrudan ilgili kişilerin kimliği hakkında bir bilgi vermez. Özel anahtarlar blokzincir üzerinde depolanmaz. Ancak açık anahtarlar blokzincir üzerinde işlemlerle beraber depolanır ve kullanıcılar arasında hesap numarası veya adres benzeri işlev görecek şekilde paylaşılır. Blokzincir sistemine göre açık anahtarlar doğrudan adres olarak kullanılabileceğinden veya hash fonksiyonuna sokularak açık adres haline getirilebileceğinden dolayı bu iki tip veriyi bir arada değerlendirmenin uygun görüldüğü değerlendirmesi yapılmaktadır. Açık anahtarlar, aslında ağdaki kullanıcıların gerçek kimliklerini gizleme işlevine sahiptir. Fakat daha önce belirtildiği üzere kişisel verinin belirli ya da belirlenebilir bir kişiye ilişkin olması için kişinin isminin bilinmesi şart olmadığından, gerçek kimliğin gizlenmesi tek başına bir veriyi kişisel veri olmaktan çıkarmaz, bunun için verinin anonim hale getirilmesi gerekir.
KVKK 7. maddesinin 3. fıkrasına dayanılarak çıakrtılan, 28.10.2017 tarihli 30224 sayılı Resmî Gazete’de yayımlanan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik”’in, 10. maddesinin 1. fıkrasında, anonim hale getirme “kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi” şeklinde tanımlanmıştır. Açık anahtarların kullanımıyla kimliğin gizlenmesi, açık anahtarların başka verilerle eşleştirilmesi yoluyla bir gerçek kişiyle ilişkilendirilmesinin önüne geçememektedir. Gerçekten de; uygulamada açık anahtarlar üzerinden yapılan incelemeler ve işlemlerin geriye doğru takibi yoluyla gerçek kişilere ulaşmak mümkün olmuştur. Bu sebeple açık anahtarların KVKK anlamında da kişisel veri olduğunun kabulü gereklidir.
Bu çalışmanın konusunu oluşturan açık-izne tabi olmayan blokzincirler üzerinde depolanan kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi geleneksel sistemlere göre özellik gösterir. Bu blokzincirlerde veriler dağıtılmış bir sistem üzerinde birden çok birimde depolandığından dolayı merkezi sistemlerin aksine tek bir birim üzerinden veriyi silmek yoluyla diğer birimlerin erişimini engellemek mümkün değildir zira her birim isteğe bağlı olarak tüm blokzincir üzerindeki verilere ilişkin kendi kopyasını tutabilmektedir. Birimler tarafından tutulacak kopyalar blokzincirin temelinde yer alan yazılım tarafından belirlenmiş kurallara tabi olmakla birlikte yeni eklenecek verilerin seçimi de yine tek bir kişi ya da kurumun tekelinde olmadığından yani merkezi olmayan bir yapı söz konusu olduğundan bir emir ya da talimat yoluyla kişisel verilere erişimin engellenmesi de mümkün olmayacaktır. Bu açıklanan sebeplerle açık-izne tabi olmayan blokzincirlerin değiştirilemez (İng. “immutable”) oldukları ifade edilmektedir ancak bu doğru bir tespit değildir. Blokzincir üzerine depolanan veriler ağdaki katılımcıların bir araya gelip karar vermesi durumunda veya uzlaşı protokollerine uymak suretiyle değiştirilebilir. Nitekim Ethereum blokzincirinde bir yazılımsal boşluğun kullanılması sonucunda yaşanan hırsızlığın etkilerini geri almak için Ethereum blokzincirine müdahale edilmiş ve zincir belirli bir zamandaki haline geri döndürülmüştür. Blokzincir değiştirilemez veya müdahaleye dayanıklı olması, değişikliğin yapılmasının teknik gerekçelerle çok zor olması şeklinde anlaşılmalıdır. Tamamen değiştirilemez olmasa da blokzincir üzerinde depolanan verilerin silinmesinin, değiştirilmesinin, yok edilmesinin çok zorlaştırılmış olması KVKK m. 7 ve anılan Yönetmelik bakımından sorun yaratmaktadır. Blokzincir üzerinde depolanan verileri doğrudan silmek, yok etmek veya anonim hale getirmek gibi değişiklikler çok zor olduğundan bu konuda alternatif çözüm önerileri ileri sürülmüştür.
Sonuç
Hal böyle iken, yukarıdaki tüm açıklamalar ışığında; blokzincirde yer alan açık anahtarlardaki kişisel verilen, blokzincirlere düzenlenen siber saldırılar sonucu kişinin kişisel verisinin ele geçirilmesi, kullanılması ve herhangi bir şekilde kişiye zarar verebilecek biçimde işlenmesi gibi hallerde, GDPR m. 77 ve KVKK m. 14 uyarınca, blokzincir kullanıcılarının şikayet hakları doğabilecek olup bu gibi durumlarda, Binance ve birçok kripto varlık borsasının veri sorumlusu/işleyeni olarak sorumluluklarının doğabileceği kanaatindeyiz.
