Amerika’nın teknoloji alanında önde gelen haber sitelerinden ZDNet, 463 bin kart bilgisinin çalındığını ve bu bilgilerin hackerlar tarafından satışa çıkarıldığını iddia etti. Black Friday ve 11.11 indirimlerinin tam da peşine gelen bu haber, varsa sızıntının hangi dönemde gerçekleştiği ve bu dönemde alışveriş yapanların tehlikede olup olmadığı sorusunu akıllara getirdi. BKM ve güvenlik sistemleri sağlayıcıları ESET ve Kasparsky’den gelen bilgiler ise saldırıyı doğrular nitelikte
Tekno Safari Özel Haber // Bahsi geçen sızıntı haberinin büyük indirimlerle geride bıraktığımız 11.11 ve Efsane Cuma’nın hemen ardından gelmesi oldukça dikkat çekiyor. İddialar hakkında dün Elektronik Ticaret İşletmecileri Derneği tarafından yapılan açıklamada “Konuyla ilgili değerlendirme yapan ETİD Yönetim Kurulu Başkanı Emre Ekmekçi, sektör meclisinde yapılan değerlendirmelerde, kişisel verilerin korunmasıyla ilgili herhangi bir güvenlik ihlali tespit edilmediği, kredi kartı bilgilerinin uluslararası standartlara göre saklandığını aktardı.” İfadesine yer verilmişti.
ETİD açıklamasının tam metni için tıklayınız.
ESET: Kredi Kartı Ekstrelerinizi Kontrol Edin
Bahsi geçen sızıntı hakkında görüşünü sorduğumuz ESET bilgilerin ne zaman ve nereden sızdığının belli olmadığını belirterek kullanıcıları hemen banka ekstrelerini kontrol etmeleri konusunda uyardı.
ESET Türkiye Ürün ve Pazarlama Müdürü Can Erginkurban, Türk kredi kartı kullanıcılarını hedef alan veri sızıntısıyla ilgili merak edilenleri şöyle aktardı: “Türk kredi kartı kullanıcılarına ait verilerin, Deepnet veya Derin İnternet ortamında Joker’s Stash adındaki internet ticareti sitesinde satışa sunulduğu görüldü. 10 büyük Türk Bankasına ait yaklaşık 460 bin kaydın yer aldığı görülüyor. Konu ilk kez, kredi kartı ihlalleriyle ilgili konularda uzmanlaşmış Singapur merkezli Group-IB siber güvenlik kuruluşunun açıklamasıyla duyuldu. Sızdırılan veriler, kart numarası, kart üzerindeki isim, son kullanım tarihi ve cvv kodunun yanı sıra e-posta adresi, telefon numarası da içeriyor.”
Sızıntının Black Friday alışveriş dönemi ile ilgisi var mı?
Enginkurban şu şekilde devam etti: “Verilerin kimden ve ne zaman çalındığı şu aşamada belli değil. Verilerin eposta adresi ve telefon numarası gibi kişisel bilgiler de içeriyor olması kart bilgilerinin muhtemelen ATM veya fiziksel pos cihazlarından çalınmadığını gösteriyor. Diğer taraftan çalınan kart sayısının fazlalığına bakarak, tek bir bankanını hedef alınmadığı ve ülkemizde kullanılan online ödeme platformlarından birinin hacklenmiş olabileceği de ihtimaller arasında.”
Sızıntının hangi dönemi kapsadığına dair tahminini paylaşan ESET, Verilerin Joker’s Stash adındaki internet sitesine 28 Ekim ve 27 Kasım tarihleri arasındaki 1 aylık dönemde yüklendiği bilgisini paylaşarak “Ancak bu, verilerin bu dönemde sızdığı anlamına gelmiyor. Hatta tam tersine verilerin çok daha önce sızdığı ancak bu dönemde siteye yüklendiği tahmin ediliyor.” açıklamasında bulundu.
Kaspersky: Türkiye’deki bankalar için bir aracının hassas ve korunmasız veri tabanının internete maruz kalmış olması olabilir.
Görüş sorduğumuz Kaspersky Kıdemli Güvenlik Araştırmacısı Maher Yamout konuyu şu şekilde açıklıyor: “En son yaşanan bu Türkiye’deki kredi kartı bilgileri olayının kaynağının da Türkiye’deki bankalar için bir aracının hassas ve korunmasız veri tabanının internete maruz kalmış olması olabilir. Bunun esas sebebi büyük sayılarda kredi kartı bilgisi açığa çıkması ve bu verinin içinde yer alan, kullanıcıların e-posta adresi ve telefon numarası gibi bilgilerinin olması. Dünya çapında böylesi olaylar yaygın ve çok yakında da karşılaştık. Büyük ihtimalle bu sızıntı Türk bankalarına hizmet veren bir aracı kurum veya kuruluştan kaynaklanıyor.”
Bu sızıntının sonuçlarını sorduğumuz Yamout sorumuzu şu şekilde yanıtladı: “Başlıca sorumluluk etkilenen bankalara aittir. Gerçekleşen olayın etkisini değerlendirmeli ve bunun gelecekte tekrarlanmaması için olayın sebebinin köküne inmelilerdir. Bulunduğu zaman ise bankalar bu ihlal hakkında müşterilerini bilgilendirmeli ve karşılığında banka müşterileri de ihlale uğrayan bilgilerin ne tür veriler içerdiğini sormalıdır. Bu, mağdurlara kendi risk değerlendirmelerini yapmada ve kendilerini güvene almalarında yardımcı olacaktır.”
BKM: Kartların Hareketlerini Takip Ediyoruz.
BKM yaptığı açıklamada konuyu takip ettiğini belirterek “Bazı internet sitelerinden çalındığı iddia edilen kartlara ilişkin işlemler, kart çıkaran kuruluşlar tarafından yakından takip edilerek gerekli önlemler alınmaktadır.” ifadesinde bulundu.
Tam açıklama şu şekilde:
“Basına yansıyan, Türkiye’de bazı kredi kartı bilgilerinin çalındığına ilişkin haberler, düzenleyici otoriteler, kart çıkaran kuruluşlar ve ilgili tüm paydaşlarca titizlikle takip edilmektedir.
Banka kartı ve kredi kartları kanun ve yönetmeliklerine göre ülkemizde tüm ödeme kartları, kullanıcıları dolandırıcılık risklerine karşı güncel uluslararası standartlarla korunmaktadır.
Türkiye’de faaliyet gösteren tüm kart çıkaran kuruluşlar, güvenlik hizmetleri ve sahtekarlıkla mücadele eden çözümleriyle kart bilgilerini sıkı bir biçimde korumaya her daim özen göstermektedir. Bu kapsamda, zaman zaman bazı internet sitelerinden çalındığı iddia edilen kartlara ilişkin işlemler, kart çıkaran kuruluşlar tarafından yakından takip edilerek gerekli önlemler alınmaktadır.”
ESET verilerin daha öncesi bir döneme ait olabileceğini paylaşsa da hangi döneme ait olduğu ve hangi banka/bankalara ait olduğu bilinmiyor. Bu da kaç milyon kullanıcının risk altında olduğu soru işaretini doğuruyor. Sızıntının zamanlaması Kasım ayının tamamını veya öncesini kapsıyorsa tehdit altındaki kullanıcı sayısı bundan çok daha fazla olabilir.
Markalardan herhangi bir açıklama gelmese de bir haftaya yayılan Black Friday dönemine dair Related Digital tarafından açıklanan araştırma sonuçlarına göre satın alınan ürün adedi 2 milyon 265 bin 642 oldu. Bu rakam geçen yıldan %45 daha fazla. Sabah Gazetesi’nden Pınar Çelik’in TOBB E-Ticaret Meclisi Başkanı Öget Kantarcı’ya dayandırdığı haberine göre ise e-ticaret platformlarının Black Friday dönemi cirosu 5 milyar TL’yi gördü. 9-11 kasım dönemini kapsayan indirim günlerinde ise 2 milyar TL’lik bir satış hacmine ulaşıldığı düşünülüyor.
Türkiye’de 455 bin kredi kartı bilgisi çalınıp, internette satışa çıkarıldı haber için tıklayınız.
Black Friday’de 2,6 Milyon Kart Kullanıldı
Bankalararası Kart Merkezi (BKM) sadece 29 Kasım’a denk gelen Efsane Cuma günü internetten 1,4 milyarlık kartlı ödeme gerçekleştirildiğini açıkladı. Bu işlem hacmi için kullanılan kart adedi ise 2,6 milyon. Haftaya yayılan büyük indirim dönemi boyunca bundan çok daha fazla işlem yapıldığı düşünülüyor.
Türkiye’den 463 bin kart bilgisinin çalındığı ve satıldığı iddialarına yönelik olayın genel olarak taraflarını kapsayabilecek şekilde bazı e-ticaret platformları, bankalar, ödeme hizmeti sağlayıcıları ve güvenlik hizmeti veren kuruluşlara konu hakkında görüşü olup olmadığını sorduk. Sorularımızı ilettiğimiz N11, Amazon, Garanti, İş Bankası, Visa, Ödeal, İyzico tarafından şu anda elimize ulaşmış bir açıklama bulunmuyor. Hepsiburada ise dün ETİD tarafından paylaşılan açıklama dışında yeni bir açıklamalarının olmadığını paylaştı.
E-ticarete güveni olumsuz etkileyebilir
Türkiye’de e-ticarete güven konusunda hala ciddi ön yargı var. Kapıda ödeme bu alanda en önemli alternatif. İdeaSoft’un paylaştığı verilere göre Kasım ayında e-ticaret platformları üzerinden yapılan alışverişin %73,9’u kredi kartıyla gerçekleşirken, %21,3’ü kapıda ödeme, %4,8’i ise havale ile yapıldı.
İnternetten alışveriş yapılmasına rağmen ödeme işlemini eski usule göre sürdürmek isteyen tüketicilerin olduğunu hatırlatan IdeaSoft CEO’su Seyhun Özkara, “Bir kesim tüketici, ürünü eline almadan ödeme yapmıyor ve bu nedenle kapıda ödeme seçeneğini kullanıyor. Kapıda ödeme seçeneğini tercih eden bir diğer grup tüketicinin ise e-ticaret alışkanlığı yok. Ancak e-ticarete karşı güven kazanıldıktan sonra kapıda ödemenin yerini kredi kartına bıraktığını görüyoruz. Bu noktada tüketicilerin e-ticarete alışması için e-ticaret sitelerinin tüketicilere ödeme yöntemi noktasında alternatif sunması gerekiyor.” açıklamasında bulundu.
Bir bilimsel karşılığı olmasa da Twitter hesabımız üzerinden takipçilerimize sorduğumuz 2 soruya aldığımız yanıt bu konuda bize fikir veriyor. Şu ana dek 700 kişinin katıldığı Twitter anketimizde kullanıcıların %15’i iddiaları gerçekçi bulmadığını ifade ederken, %52’si iddialara inandığını ifade etti. Katılımcıların %33’ü ise çalınma iddiası için “olabilir” yanıtını verdi. Yine Twitter hesabımızdan iddiaların e-ticarete olan güveni etkileyip etkilemeyeceğini sorduk. Bu soruya ise takipçilerimizin %66’sı “evet” yanıtını verirken diğer %33 “hayır” yanıtını verdi.
Bilimsel bir örneklem, metodoloji ve sonuç içermese de sorularımıza aldığımız yanıtlar e-ticaretin önündeki engellerin ve ön yargının süreceğine dair işaret veriyor. Resmi kurumlar ve ilgili kuruluşlar tarafından bu iddialar açıklığa kavuşturulmadıkça bu engeller daha sürecek gibi duruyor.