Türkiye’den çalınan 463 bin kredi kartının bir yeraltı pazarında satışa çıkması konusunda Bilgisayar Mühendisleri Odası da bir açıklama yayınladı [1]. Açıklamayı aynen yayınlıyoruz ;
Kredi Kartı Bilgilerinin Çalınması Hakkında
Bir An Önce Açıklama Yapılmalı ve Önlemler AlınmalıdırTürkiye’ye ait 460 binden fazla kredi kartı bilgisinin çalındığı ve İnternet üzerinden satışa çıkarıldığı haberleri basına yansımıştır. Kart kullanıcılarının kişisel önlemlerini alabilmeleri için bir an önce konuyla ilgili açıklama yapılmalı, kamuoyu sağlıklı bir biçimde bilgilendirilmeli; ilgili kurumlar, sızıntının kaynağını ve etkisini araştırarak gereken yönetsel ve teknik önlemleri hızla uygulamaya geçirmelidir.
Group-IB adlı bir güvenlik şirketi 11 Aralık 2019’da ZDnet’e yaptığı açıklamada 10 büyük Türkiye bankasına ait 463,378 kredi kartı bilgisinin satışa çıkarıldığı bilgisini paylaşmıştır. 28 Ekim ile 27 Kasım 2019 tarihleri arasında dört bölüm halinde bir ile üç dolar arasında tutarlarla satışa çıkarılan verinin içinde kredi kartı bilgilerinin yanı sıra e-posta, telefon gibi kişisel bilgilerin de yer aldığı belirtilmiştir.
Verinin büyüklüğü değerlendirildiğinde, öncelikli olarak farklı kaynaklardan veritabanı düzeyinde bir sızıntı olasılığı öne çıkmaktadır.
Bu durum, kredi kartı bilgisinin saklanması konusundaki yasal yaptırımlara uyulmadığı ve teknik standartların sağlanmadığı anlamına gelmektedir. Ayrıca verinin zaman içerisinde toplanarak paylaşılmış olması oltalama (“phishing”), ortadaki adam (“man-in-the-middle”) ya da javascript tabanlı veri toplama saldırısı olabileceğini de göstermektedir.
Yaşanan olay, her durumda Türkiye’den bugüne kadar yapılan en büyük kredi kartı hırsızlığıdır. Çalıntı kart bilgileriyle harcama yapılmasının ötesinde, ele geçirilen ad-soyadı, telefon, e-posta vb. bilgilerin kullanılmasıyla uzun süreler boyunca sosyal mühendislik atakları da yapılabilecektir. Bu nedenle öncelikle kart kullanıcıları, kendilerine bankaları tarafından bir açıklama yapılana kadar kredi kartlarını İnternet alışverişlerine kapatarak ve alışverişlerinde sanal kart kullanarak önlem alabilirler.
Öte yandan bu ölçekteki bir hırsızlık hakkında ilgili kurumların şu ana kadar yaptığı açıklamalar doyurucu olmaktan uzaktır. Bankalar, USOM ve Kişisel Verileri Koruma Kurulu başta olmak üzere tüm ilgili kurumlar, kamuoyunu ayrıntılı ve kuşkuya yer vermeyecek biçimde aydınlatan açıklamalar yapmalı; hırsızlığın kaynağı, ölçeği ve etkisini ortaya koyacak kapsamlı bir çalışma hızla başlatmalıdır. Mevcut hırsızlığın yanı sıra aynı yöntemlerle başka verilerin çalınmış olma olasılığına karşı da gereken önlemler bir an önce alınmalıdır.
Bilgisayar Mühendisleri Odası olarak bilişim sistemlerinin tasarımı, denetimi ve güvenliğinin kamusal bir sorumluluk olduğunu bir kez daha dile getiriyor, mesleğimizin bu anlayışla uygulanması için çabalarımızı sürdürüyoruz. Bu süreçte de konuyu hem teknik hem toplumsal etkilerini göz önünde bulundurarak yakından izleyeceğimizi kamuoyuna saygıyla duyururuz.
Bilgisayar Mühendisleri Odası 4.Dönem Yönetim Kurulu