Gima’nın alışveriş sitesinde bir sızma olduğu ve son dönemde alışveriş yapan 9229 adet kredi kartına ait bilgilerin çalınmış olabileceği bildiriliyor.
Olayın, ilgili bankaların, bazı müşterilerin kredi kartlarındaki anormal hareketleri farketmeleri ile anlaşıldığı ve Gima’ya 17 mayıs 2006 tarihinde bildirildiği öğrenildi. Gima’nın olayı Kadıköy Cumhuriyet Savcılığı’na suç duyurusu şeklinde bildirdiği ve şüphelilerle ilgili bir listenin de Emniyet yetkililerine iletildiği de verilen bilgiler arasında.
Olayın sadece Gima’yı ilgilendirdiği ve kredi kart kullanıcılarına yönelik genel bir tehditin olmadığı bildiriliyor.
Ancak olayla ilgili bilgiler BKM (Banka Kartları Merkezi) tarafından kısıtlı olarak aktarıldı, Gima’dan henüz detaylı açıklama verilmedi. Örneğin, kredi kart bilgilerinin e-ticaret sitelerinin kendi sunucularında yer almaması, doğrudan işlem yapılan bankaya gönderilmesi gerekirken, bu olayda bilgilerin sunucuda depolandığı anlaşılıyor. Bunun doğru olup olmadığı ya da nedeni konusunda henüz doyurucu bir bilgi yok.
ABD ve Avrupa’da bu çeşit büyük sayıda kredi kart bilgileri çalınma olaylarının meydana geldiği geçtiğimiz aylarda raporlandı. Biz de konuyu güvenlik uzmanı Ferruh Mavituna’ya sorduk. Mavituna daha önce Kanada’daki bir finans sitesinde benzer bir açığı yakalamış, milyon adete yakın kredi kartı bilgisinin ele geçirilebilmesine olanacak sağlayabilecek açığı ilgili firmaya ikaz ederek, sorunun ortadan kaldırılmasını sağlamıştı. Mavituna sorularımıza şu şekilde cevap verdi;
turk-internet.com : Gima’daki olay nasıl meydana gelmiş olabilir?
Ferruh Mavituna : Şu an olayın detaylarını bilmiyoruz ancak büyük bir ihtimalle web uygulaması (sitesi) üzerindeki bir açıktan dolayı oluşmuştur. Zaten bildirilenlere göre Gima’ nın ilk işi eski uygulamayı kapatıp yenisini devreye almak olmuş.
turk-internet.com : Kredi kart bilgilerini sunucuda tutmak sorun değil mi? Neden tutuyor olabilirler?
Ferruh Mavituna : Bunun ana nedeni müşterinin her alışverişinde kart bilgilerini tekrar girmek zorunda kalmamasını sağlamak, yani bir çeşit kolaylık olabilir.
Fakat durum bu şekilde olsa bile CVV2 güvenlik numaralarının hiç bir şekilde saklanmaması lazım. Tam emin olmamakla birlikte sanırım bu korsanlık olayında CVV2 numaraları da çalınmış gibi gözüküyor.
Burada önemli olan “kredi kart bilgisi tutuluyorsa, güvenliğin de en yüksek düzeyde sağlanması” gerekliliğidir. Çünkü kredi kartı numarası saklanıyorsa, bu olayda görüldüğü gibi şirketin içine girdiği risk de artıyor.
Bu olay gördüğümüz kadarıyla çabuk farkedilmiş ve kullanılan kart sayısı 206 ile kalmış. Ancak yurtdışında olduğu gibi milyon adet kartların çalındığı pek çok olay var.
turk-internet.com : Yurtdışında siz de benzer bir olayı ikaz etmiştiniz değil mi?
Ferruh Mavituna : Yurtdışında bir çok örnek var. Sık sık da, yenileri ile karşılaşmaktayız. Bunun en büyüklerinden biri bir çoğumuzun duyduğu Cardsystems’ tan 40 milyon kredi kartı ve müşteri bilgisinin çalınmasıydı. Bu saldırının geçtiğimiz nisan ayında web üzerinden yapıldığı ortaya çıktı ve daha sonra nasıl yapıldığı da açıklandı.
Aynı şekilde geçen aylarda bir Rus saldırganın Rhode Island’ da özel kurumlar ile çalışan devlet sitelerinden birinden 53.000 kredi kartı çaldığı duyuldu. Bir diğer etkileyici örnek ise genelde FBI gibi kurumlar tarafından bilgisayar inceleme işlemlerinde kullanılan Encase yazılımının geliştiricileri Guidance Software da yakın tarihte CVV2 numaları ile birlikte müşteri bilgilerinin çalındığını açıklamasıydı.
turk-internet.com : Bu olayda kredi kart bilgilerinin sunucuda tutulduğu görülüyor. Bu kart sahipleri için potansiyel bir tehlike. Peki alışveriş ederken kredi kartlarının sistemde tutulup tutulmadığını nasıl anlayacağız?
Ferruh Mavituna : Bunu bir çok durumda maalesef kesin olarak anlama şansımız yok ama eğer firma ikinci alışverişinizde size tekrar kredi kartınızı sormuyorsa burada tutulduğundan emin olabilirsiniz.
Normalde sorduğunuz takdirde, firmaların bu bilgiyi yani kredi kartlarının saklandığı ya da saklanmadığı hakkındaki bilgiyi size vermesi gerekiyor.
turk-internet.com : Bundan sonra internetten alışveriş ederken korkalım mı? Kredi kartlarımızı internette kullanmayalım mı?
Ferruh Mavituna : Şahsen 3 kredi kartımı internette Türk ve yabancı çeşitli hizmet ve ürün satan sitelerde gönül rahatlığı ile kullanıyorum.
Kredi kartları sadece internette değil, önceki yıllarda Taksim’deki bir restaurant ve Sahrayı-Cedid’deki Carrefoursa içindeki Boyner mağazasında olduğu gibi normal kasa işlemleri sırasında da kopyalanabiliyor.
Genelde bu tip olaylarda müşteri mağdur olmuyor en fazla biraz uğraş ile paranızı geri alabiliyorsunuz. Düzenli olarak ekstrelerinizi izlemeniz ve gerekirse itiraz etmeniz yeterli olacaktır ki uzun soluklu bir e-alışveriş sever olarak başıma hiç bir şey gelmediğini söyleyebilirim.
Bunun harici sanal kart ya da ön ödemeli kartlar çok pratik ve güvenli bir çözüm, biraz daha paranoyaklar için bir numaralı seçim olabilir.
turk-internet.com Notu 1 : Konuyla ilgili olarak Gima’dan henüz bir yanıt alamadık. Kendilerinden açıklama geldiğinde yayınlıyor olacağız.
turk-internet.com Notu 2 : Ferruh Mavituna’nın vereceği “Online Dünya’da Kişisel Korunma” başlıklı güvenlik semineri 24 haziranda düzenlenecek. Firewall ve diğer koruyucu yazılımlar, zombi bilgisayar, saldırılar, trojan, elektronik sitelerde kredi kart kullanımında dikkat edilecek hususlar gibi çeşitli konuların işleneceği bu eğitimin detayları ve ücreti için [email protected] adresine mail atabilirsiniz.
Kurumsal güvenlik eğitimi almak isteyen firmalar [email protected] adresine mail atabilirler.
İlgili Linkler
Kaynak : 