Kapatmak için ESC'ye basın

Kripto Borsa KYC Sızıntıları: Verileriniz Aslında Nasıl Saklanıyor?

Kripto Borsa KYC Sızıntıları: Verileriniz Aslında Nasıl Saklanıyor?

Bir borsa sitesinde “bankacılık seviyesinde şifreleme kullanıyoruz ve GDPR’ye uyuyoruz” yazıyorsa, bu bir pazarlama ifadesidir, veri saklama mimarisinin gerçek bir açıklaması değil.

Hukuki olarak — haklıdırlar.
Teknik olarak — durum kullanıcı için çok daha karmaşık ve tehlikelidir.

Asıl incelenmesi gereken de beyan edilen güvenlik ile gerçek uygulama arasındaki bu boşluktur.

 

1. Veriler gerçekte nasıl saklanır — reklam söylemleri olmadan

1.1. KYC neredeyse hiçbir zaman “borsanın içinde” değildir

Büyük CEX’lerin çoğunun kendi KYC altyapısı yoktur. Bu kârlı değildir, pahalıdır ve hukuki açıdan risklidir.
Bu nedenle taşeron sağlayıcılar kullanılır:

  • Onfido
  • Jumio
  • Sumsub
  • Trulioo
  • IDnow

Süreç genellikle şu şekilde işler:

  1. Pasaportunuzu ve selfie’nizi borsanın sunucusuna değil, KYC sağlayıcısının bulutuna yüklersiniz
  2. Belgeler yapay zekâ + manuel moderasyon ile işlenir
  3. Borsa şunları alır:
    • durum (verified / rejected)
    • meta veriler
    • çoğu zaman belgelerin kendilerinin kopyaları

⚠️ Kritik nokta:
Sağlayıcı tarafında tek bir ihlal veya sızıntı = aynı anda onlarca borsanın verisinin ifşası.
Bu, borsaların konuşmayı tercih etmediği sistemik bir risktir.

 

1.2. “Hesabı silmek” verilerin silinmesi anlamına gelmez

AML/CFT gerekliliklerine göre:

  • AB: 5 yıl
  • Birleşik Krallık: 6 yıla kadar
  • ABD: 5–10 yıl
  • Bazı yargı bölgeleri: 12 yıla kadar

Şunları yapsanız bile:

  • hesabı kapatsanız
  • profili silseniz
  • destek ekibine yazsanız

👉 pasaportunuz, selfie’niz ve adres kanıtınız arşivde kalır.

Tipik mimari şöyledir:

  • Sıcak depolama — aktif kullanıcılar, destek erişimi
  • Ilık depolama — kısa süre önce kapatılmış hesaplar
  • Soğuk arşivler — çevrimdışı depolama (S3 Glacier, teyp yedekleri, air-gapped storage)

Ancak nadiren dile getirilen bir detay vardır:

Herhangi bir “soruşturma”, yeniden doğrulama veya düzenleyici talep durumunda
veriler yeniden sıcak bölgeye alınır ve burada insan erişimine açılır.

 

1.3. Insider Threat — sektörün gerçek kâbusu

Sistemin en zayıf noktası insandır.

Pratikte:

  • destek hizmetleri sıkça outsource edilir
  • maaşlar düşüktür
  • denetim çoğu zaman şeklidir
  • auditler seçicidir

Tipik coğrafya:

  • Filipinler
  • Hindistan
  • Doğu Avrupa
  • Latin Amerika

Bir destek operatörü şunları görebilir:

  • pasaport
  • selfie
  • adres
  • IP logları
  • giriş geçmişi
  • bazen işlemler

💡 Az bilinen bir gerçek:
Bazı borsalarda tek bir operatör aynı anda 5–10 projeye hizmet verebilir (tek bir taşeron üzerinden).
Bu, ekosistemler arası çapraz erişim anlamına gelir.

 

2. Sızıntılar ve olaylar: gerçekte ne yaşandı

2.1. Binance (2019)

İnternete sızanlar:

  • pasaportlu kullanıcı fotoğrafları
  • üzerinde “Binance” yazan kâğıtlarla çekilmiş selfie’ler

Borsanın açıklaması:

“Bu, eski bir KYC taşeronunun tarafında yaşanan bir sızıntıdır”

Önemli noktalar:

  • veriler, sağlayıcı değiştirildikten bir yıl sonra ortaya çıktı
  • hackerlar 300 BTC talep etti
  • verilerin bir kısmı hâlâ özel veritabanlarında dolaşıyor

 

2.2. Coinbase (2024–2025)

En çarpıcı vakalardan biri.

Ne hack.
Ne bug.
Çalışanların satın alınması.

  • destek taşeronları devşirildi
  • admin panellerine erişim sağlandı
  • ~70.000 kullanıcının verisi dışarı aktarıldı

Buna dâhil olanlar:

  • kimlik belgeleri
  • adresler
  • KYC geçmişi
  • risk ekibinin iç notları

Bu, yalnızca şifreleme ile önlenemeyen klasik bir insider breach örneğidir.

 

2.3. Genesis Market (2023) — endişe verici bir sinyal

Genesis Market sadece belgeleri satmıyordu.

Şunları satıyordu:

  • cookies
  • tarayıcı parmak izi
  • oturumlar
  • KYC fotoğrafları
  • davranışsal kalıplar

Sonuç:

  • hacker hesaba giriş yapabiliyordu
  • 2FA tetiklenmiyordu
  • sistem “güvenilir cihaz” görüyordu

👉 Bu, KYC + davranışsal analitiğin kullanıcıya karşı da kullanılabileceğini gösterdi.

 

2.4. Telegram botu BTC-e / WEX (2020)

En çok küçümsenen vakalardan biri.

Veritabanında şunlar vardı:

  • pasaportlar
  • adresler
  • e-postalar
  • çalışanların iç yorumları

Örnek notlar:

  • “şüpheli”
  • “muhtemel nakit çıkışı”
  • “olası bağlantı”

⚠️ Bu notlar silinmez, sıfırlanmaz ve yıllar sonra yeniden ortaya çıkabilir.

 

3. Devlet ve borsalar: resmî taleplerden fazlası

3.1. Yarı otomatik geçitler

ABD ve AB’deki büyük CEX’ler şu yapıları kullanır:

  • kolluk kuvvetlerinden gelen talepler
  • formatın otomatik doğrulanması
  • birkaç saat içinde yanıt

Avukatlar sonradan devreye girer.

Bu artık manuel bir süreç değil, API benzeri bir mekanizmadır.

 

3.2. CARF — “sessiz” anonimlik dönemi bitiyor

Crypto-Asset Reporting Framework:

  • uygulama: 2026–2027
  • otomatik veri paylaşımı
  • bakiyeler
  • kâr
  • fon hareketleri

Önemli:

  • fiat olmadan bile
  • çekim yapılmadan bile
  • sadece varlık tutuyor olsanız bile

👉 Borsa artık sadece bir platform değil, vergi muhbiri hâline gelir.

 

3.3. Kara listeler ve Source of Wealth

Şunlar yeterlidir:

  • dolaylı bir bağlantı
  • bir mixer üzerinden
  • DeFi üzerinden
  • 5–10 hop sonra bile

Ve sonuç:

  • dondurma
  • SoW talebi
  • geçmiş işlemleri kanıtlayamama

Bu noktada borsa sizin müttefikiniz değil, düzenleyicinin uygulayıcısıdır.

 

4. Yapay zekâ ve kolektif sorumluluk

2025’ten itibaren aktif olarak devreye alınıyor:

  • grafik modelleri
  • kullanıcı kümelenmesi
  • itibar skorlamaları

“İşaretlenmiş” bir hesapla etkileşime girerseniz:

  • profiliniz riski devralır
  • limitler düşer
  • kontroller sıklaşır

Bu artık klasik AML değil, sosyal skorlamadır.

 

Kısa ama sert sonuçlar

  • KYC kalıcıdır, hesap kapatılsa bile
  • En büyük tehdit sunucular değil, insanlardır
  • Sızıntılar sistemiktir, tesadüfi değil
  • 2026’da CEX = tam finansal gözetim noktası

Bu bir teori değil.
Bu, hâlihazırda çalışan bir gerçekliktir.

 

5. Az bilinen, ama kritik öneme sahip detaylar, hakkında neredeyse hiç konuşulmayan

Burası, uzman medyanın bile nadiren yayımladığı bölüm, çünkü hem borsalar hem de düzenleyiciler için rahatsız edici.

 

5.1. KYC verilerinizin «ikinci hayatı»

İlk doğrulamadan sonra veriler boşa yatmaz.

Yeniden kullanılır:

  • dahili dolandırıcılık önleme modellerini eğitmek için
  • risk puanlarını kalibre etmek için
  • geçmiş analizler için («O zaman hata yapmış olabilir miyiz?»)

💡 Az bilinen bir gerçek:
Bazı yargı bölgelerinde KYC anonimleştirmesi yalnızca formalite olarak kabul edilir. Pratikte veriler:

  • kısmen hashlenir
  • tokenleştirilir
  • ancak dahili uyum anahtarları ile geri kazanılabilir

Yani «anonimleştirme» sıklıkla geri döndürülebilir.

 

5.2. Dahili «kara profiller»

Büyük borsalarda, kullanıcıların asla görmediği dahili risk profilleri vardır:

Parametre örnekleri:

  • «düzenleyici ilgi olasılığı»
  • «davranışsal istikrarsızlık»
  • «alışılmadık desen değişiklikleri»
  • «coğrafi anomaliler»

Bu profiller:

  • silinmez
  • sıfırlanmaz
  • birleşmeler, işletme satışı veya yargı değişikliklerinde aktarılır

👉 Borsa «ülkesini değiştirirse» bile, veritabanı onunla birlikte gider.

 

5.3. Birleşmeler, devralmalar ve veri tabanı transferleri

GDPR, kişisel verilerin transferine izin verir:

  • işletme satın alındığında
  • yeniden yapılandırmada
  • iflas durumunda
  • varlık transferlerinde

Pratikte bu ne demek:

  • bir borsada KYC yapmışsınız
  • 3 yıl sonra o borsa satın alındı
  • pasaportunuz yasal olarak başka bir şirkete geçti

Ve size tekrar onay vermeniz gerekmez.

 

5.4. Loglar – en az değer verilen sızıntı kaynağı

Belgeler şifrelenmiş olsa bile, kalanlar:

  • erişim logları
  • denetim logları
  • debug logları
  • API hataları

Genellikle bunlar içerir:

  • pasaport dosya adı
  • ülke
  • belge türü
  • doğum tarihi
  • bazen base64 parçaları

⚠️ Bu loglar:

  • nadiren temizlenir
  • sıklıkla DevOps ve yükleniciler tarafından erişilebilir
  • yıllarca saklanır

 

6. Neden «sıfır anonimlik» bir slogan değil, mimari bir gerçekliktir

6.1. KYC + on-chain analiz kombinasyonu

Bugün her büyük borsa kullanır:

  • Chainalysis
  • TRM Labs
  • Elliptic
  • Crystal

Model basittir:

  1. KYC → gerçek kimlik
  2. Adresler → bağlantı grafiği
  3. Davranış → profil

Bundan sonra sistem otomatik olarak çalışır.

Hatta siz:

  • adres değiştirmiş olsanız
  • DeFi kullanmış olsanız
  • 20 ara adım yapmış olsanız bile

Grafik yine de daralır.

 

6.2. İtibar, ömür boyu bir özellik

Az bilinen ama önemli nokta:

İtibar riski miras alınır.

Eğer:

  • eski hesabınızda bir bayrak vardı
  • KYC’yi yeniden tamamladınız
  • aynı yargı yetkisini veya cihazı kullanıyorsunuz

Sistem profilleri olasılıksal olarak bağlar, resmi olarak değil.

Bu artık «hesap» değil, dijital gölge.

 

7. Ahlak dersleri olmadan pratik çıkarımlar

Sloganlar olmadan ve çağrılar olmadan.

Anlamanız gerekenler:

  1. Üst düzey CEX, cüzdan veya banka değildir.
    Bu bir gözlem düğümüdür.
  2. Hesap silmek ≠ veri silmek.
  3. Düzenleyici ilgi zamanla kaybolmaz.
    Birikir.
  4. Kontrol teknolojileri, yasal garantilerin önündedir.

 

Yapılmaması gerekenler (yaygın hatalar):

  • «küçük miktarlar kimseyi ilgilendirmez» düşüncesi
  • «bir borsa = bir veri tabanı» inanışı
  • hesabı değiştirmek problemin çözümü olduğunu sanmak
  • davranışsal meta verileri görmezden gelmek

 

8. Ana sonuç

Üst düzey borsalarda KYC sadece kimlik doğrulama değildir.
Bu, uzun vadeli bir sistemin giriş noktasıdır:

  • depolama
  • analiz
  • korelasyon
  • aktarım

Ve bu sistem asla unutmaz.

Astra EXMON
Astra EXMON

Astra is the official voice of EXMON and the editorial collective dedicated to bringing you the most timely and accurate information from the crypto market. Astra represents the combined expertise of our internal analysts, product managers, and blockchain engineers.

...

Leave a comment

Your email address will not be published. Required fields are marked *

Kripto Borsa Akademisi Kripto Borsa Akademisi

Gerçek özgürlük kişisel güvenlik ve anonimlik ile başlar. Kripto Para: Finansal Kontrole Karşı Silahınız.

Tag Clouds

#trading #anonimlik #security #blockchain #anonymous
Your experience on this site will be improved by allowing cookies.