2023 yılında yaşanan veri ihlali FTX’in alacaklıları ile Kroll Restructuring Administration arasında yasal bir savaşı tetikledi. Alacaklılar Kroll’un iflas başvuruları sürecinde yaptığı ihmaller ve veri güvenliği zafiyetleri nedeniyle toplu dava açtı. Davanın merkezinde kullanıcı bilgilerini içeren bir veri sızıntısının ardından yaşanan kimlik avı saldırıları yer alıyor.
Kroll’un güvenlik açığı alacaklıları hedef haline getirdi
Kroll, iflas etmiş olan FTX’in alacaklı başvurularını yöneten şirket olarak biliniyor. Ancak Ağustos 2023’te yaşanan bir olay Kroll’un güvenlik sistemlerindeki ciddi bir açığı gün yüzüne çıkardı. Bir Kroll çalışanının cep telefonu ele geçirildi ve bu yolla şirketin bulut tabanlı sistemlerine erişim sağlandı. Saldırganlar kullanıcıların isimleri, adresleri, e-posta bilgileri ve hesap bakiyeleri gibi hassas verilere ulaştı.
Bu veriler doğrudan FTX şifrelerini ya da varlıklarını içermese de kötü niyetli kişilerin kullanıcıları dolandırmak için kullandığı kimlik avı e-postalarına yol açtı. Bazı e-postalar FTX’miş gibi davranarak kullanıcıları sahte sitelere yönlendirdi. Dava açan alacaklılardan biri olan Repko, Temmuz 2025’te bu saldırılardan biri sonucu 1.9 ETH kaybettiğini belirtti.
Dava talepleri arasında neler var?
Nicholas Hall tarafından temsil edilen davacılar sadece maddi tazminat değil sistemsel reform da talep ediyor. Bu reformlar arasında şunlar yer alıyor:
- Çok kanallı bildirim sistemi: Sadece e-posta değil, SMS ve diğer iletişim kanallarının da kullanılması.
- KYC engeli olmadan manuel belge yükleme: Vergi formlarının KYC doğrulamasına takılmadan yüklenebilmesi.
- Bağımsız güvenlik denetimi: Kroll’un sistemlerinin üçüncü taraflarca düzenli olarak denetlenmesi.
- İyileştirilmiş alacak yönetimi süreci: Alacaklıların başvurularında yaşadığı ‘Hold’ ve ‘Verified’ durumları arasındaki karışıklığın giderilmesi.
Eğer dava sonucunda mahkeme alacaklıların lehine karar verirse kişi başına 750 dolara kadar tazminat alma ihtimali doğabilir.
Üçüncü geri ödeme turuna günler kala dolandırıcılık riski yüksek
Davanın açıldığı bu dönemde, FTX’in üçüncü geri ödeme turu da yaklaşıyor. 1.9 milyar dolarlık fon 30 Eylül 2025’te BitGo, Kraken ve Payoneer aracılığıyla dağıtılacak. Yetkililer, bu süreçte sahte e-postalar ve web siteleri aracılığıyla yeni dolandırıcılık girişimlerinin artabileceği uyarısında bulundu.
Alacaklıların resmi bildirimler dışında hiçbir e-posta bağlantısına tıklamaması doğrudan talep portalına yönelmesi tavsiye ediliyor. Kroll’un geçmişte bu gibi uyarıları zamanında ve etkin şekilde iletmemesi dava dilekçesinde ayrıca eleştirilen bir unsur olarak yer alıyor.
