Bir Türk yazılımcının itirafları: ‘Çalıştığım iki e-ticaret şirketinde de kredi kartlarının kayıtlı olduğu hesaplar çalındı’

Tüm dünya ‘Kara Cuma’ (Efsane Cuma) adlı tüketim çılgınlığına hazırlanırken, güvenlik uzmanları da ardı ardına kullanıcıların verilerini korumalar konusunda dikkatli olmaları için uyarılarda bulunuyor. E-ticaret sitelerinde yapıldığı iddia edilen büyük indirimleri bekleyen milyonlarca tüketicinin kişisel verilerini ve bankacılık bilgilerini çalmak için çeşitli yöntemleri kullanacak siber dolandırıcılar internet kullanıcıları için önemli tehditler olarak niteleniyor. Güvenlik uzmanlarının son kullanıcıya yönelik uyarıları dikkate alınırken, akıllara Türkiye’de faaliyet gösteren e-ticaret sitelerinin siber güvenlik anlamında ne kadar güçlü olduğu sorusu geliyor.

Siber Bülten’e konuşan ve iki yıl öncesine kadar e-ticaret sitelerinde çalışan bir yazılımcının anlattıkları e-ticaret sitelerinin güvenliği ile ilgili kuşkuları artırdı. Türkiye’nin en büyükleri arasında yer alan iki e-ticaret sitesinde çalışan ve isminin açıklanmasını istemeyen yazılımcı, çalıştığı e-ticaret kurumlarında kullanıcı hesap bilgilerinin ve kredi kartı bilgilerinin çalındığına bizzat şahit olduğunu söyledi. “Her iki şirkette de bu tarz olaylara tanıklık ettim. Bu olayların hiçbirinin medyaya yansıdığını görmedim. Yalnız 2015 ve 2017’de birkaç web forumunda çalıştığım şirketlerden biri hakkında kullanıcı hesaplarının ve kredi kartlarının çalındığına dair bir şeyler gördüğümü hatırlıyorum.”

DEVLETİN VERİ HIRSIZLIĞINDAN HABERİ VARDI

Veri hırsızlığının nasıl yapıldığına dair ayrıntıları da anlatan eski e-ticaret sitesi çalışanı, zafiyetin her gün kullanıcının bot olup olmadığını anlamak için kullanılan güvenlik tedbiri CAPTCHA’dan kaynaklandığını aktardı:

“Kredi kartlarının kayıtlı olduğu kullanıcı hesaplarına izinsiz giriş yapılıp alakasız adreslere fiyatı yüksek ürünlerin sipariş edildiğini fark ettik. Bunu da şöyle yaptıklarını düşünüyorduk, login sayfası 3 kere yanlış şifre girince CAPTCHA soruyordu ancak sonraki gün CAPTCHA sistemi resetleniyordu. Bu sayede ‘dictionary attackla’ (bir parola kırma taktiği) kullanıcı başına günde 3 deneme yapılarak uzun vadede birçok kullanıcının şifresi patlatılmıştı. Bu olay anlaşıldığında devlete bağlı bir kuruluştan olayla alakalı ziyaret edildiğimizi anımsıyorum.”

YAZILIMCILAR VERİ TABANINA ULAŞABİLİYORDU

E-ticaret sitelerinin günümüzdeki durumuyla alakalı yorum yapmaktan sektörden 2-3 yıldır uzak olduğu için kaçınan haber kaynağı, çalıştığı dönemde e-ticaret sitelerinin sistemlerindeki yetki önceliklendirmelerinin güvenlik sorunu yaşattığını da yine kendi tecrübesine dayanarak okuyucularla paylaştı:

“Yaklaşık 13-18 kişilik bir yazılım takımıydık. Bir gün kredi kartı sistemde kayıtlı olan arkadaşların o kartlarından harcama yapılmıştı. Bu harcamalar mail-order mıydı, bir internet sitesinden sipariş mi verilmişti hatırlamıyorum. Sisteme kayıtlı kredi kartlarımızı iptal etmiştik. O günden sonra yolumuza sadece ihtiyaç durumunda limit yüklediğimiz sanal kredi kartlarıyla devam ettik. Bu sızıntının kaynağının açığa çıktığını hatırlamıyorum. Şirketten istifa eden ve yurtdışına taşınan bir yazılımcının, giderken kredi kartlarının olduğu veritabanı kopyasını yanında götürdüğü yönünde bir söylenti yayıldı. Bu senaryo benim de aklıma yattı çünkü yazılımcılar bulunduğu takımın canlı veri tabanlarına erişebiliyordu. Bu da başlı başına bir sıkıntı zaten. Mesela bugün nasıldır bir fikrim yok ancak geçmişte çiçek satan bir web sitesinde yazılımcıların canlı veri tabanlarına erişmeye yetkili olmadıklarını biliyorum. Yazılımcıyı canlıda işlem yapmaktan kısıtladığınızda, yazılım geliştirme daha yavaş ve kompleks bir hal alıyor. Bu yüzden bu güvenlik uygulaması her şirkette yok.”

ŞİRKET ÇALIŞANLARI KULLANICI VERİLERİNE ULAŞABİLİYORDU

“Sadece şirket Wi-Fi ağına bağlıyken erişilebilen, artık kullanımda olmayan ancak hala aktif bir portal vardı. Bu portala şirket kullanıcısıyla giren herkes isim-soyisim veya telefon numarasıyla sipariş aratabiliyordu. Bu da şirket çalışanı herkesin, tüm kullanıcıların geçmiş sipariş detaylarını, adresini, ne satın aldığını, telefon numarasını görebilmesi anlamına geliyordu. Bu konuda bir uyarıda bulunmuştum ancak portalın sadece intranete açık olduğu ve portaldaki sorguların loglandığı yanıtını almıştım. Bunu güvenlik açığı olarak nitelendirir misiniz bilmiyorum. İstismar edildiğine de tanık olmadım. Şirket kablosuz ağının güvenliği mac adresi ile sağlanıyordu ama bunu taklit etmek çok zor değil biliyorsunuz.”

Siber Bülten’e e-ticaret sitelerinde gözlemlediği güvenlik açıklarını açıklayan haber kaynağının anlattığı başka bir olay en azından birkaç sene önce bu kurumların bilgi güvenliği açısından ‘güzel bir restoranın pislik içerisindeki mutfağına’ benzediğini ancak duyarlı çalışanlar tarafından ‘temizlendiğini’ gösteriyor:

“Bir de kod geliştirirken fark ettiğimiz bir açık vardı. Ödemeyi kayıtlı kredi kartından gerçekleştirirken o kredi kartının o kullanıcıya ait olup olmadığını sorgulamıyorduk. Dolayısıyla bir kullanıcının, başka bir kullanıcı kayıtlı kredi kartını kullanarak sipariş tamamlamasını sağlıyordu. Bu çok low-level bir açıktı ve önce biz fark etmiştik, bu yüzden istismar edilmeden giderildi. Fixlenene kadar bir önlem alınmadı, fixlenmesi zaten 2-3 gün sürmüştü.”

GÜVENLİK AÇIKLARI NASIL FARK EDİLDİ?

“Güvenlik açıklarını ya istismar edilmeden biz fark ettik, ya da kullanıcılardan “ben böyle bir sipariş vermedim, bu adres benim değil ve kayıtlı kredi kartımdan para çekilmiş” gibi bir feedback geldi. Bizim fark etmediğimiz ve abuse edilmiş açıklar da vardır mutlaka. Eğer kullanıcı hesabı değil de kredi kartı bilgileri çalındıysa, kart bilgilerini hangi e-ticaret sitesinin çaldırdığını kullanıcının öğrenebilmesi çok zor. Benim gördüğüm kadarıyla yöneticiler bu olaylardan hiçbirinin öğrenilmesini ve medyaya yansımaması için önlem geliştirmediler. Zaten yaptılarsa da bizim haberimiz olmadı.”

CEO NE ZAMAN IT KATINA UĞRAR?

Çalıştığı dönemde yazılım ekibinde bulunduğu e-ticaret sitesinin çöktüğüne şahit olan haber kaynağı, benzer kriz durumlarında şirkette neler yaşandığını da anlattı:

“Çökmenin sebebi IT altyapımızı patlatan, sunucu tarafındaki bir geliştirmeydi. Site 404 verdi, birkaç dakika sonra IT direktörü gelip müdürlerden birbiriyle panik halinde olayı bir an önce çözmek için tartışmaya başladı. Sitenin tekrar ayağa kalkması yaklaşık 1 saat sürmüştü. Kesinti saat 14-15 civarı olması lazım, cironun yüksek olduğu saatlerden biriydi. Sitenin kapalı olduğu kesinti suresince 2015’teki değeriyle 500 bin TL civarı ciro tahmin ediliyordu. Olay çözüldükten sonra da IT’ye CEO’nun geldiğini ve IT’deki yöneticilerle görüştüklerini hatırlıyorum.

Yazılım sektöründe bu ölçekte olmasa da serviste kesintiler sık sık yaşanıyor. Kullanıcının fark etmeyeceği, küçük servislerimizin ortalama iki haftada bir patladığını hatırlıyorum. Bir keresinde 12-24 saat civarı ödeme alıp, sipariş detayını kaydedip işleme koymadığımızı ve bunu sonraki gün fark ettiğimizi hatırlıyorum. Akşam deploy edip çıkmıştık, sanırım sonraki günün öğlenine doğru fark edip fixlemiştik.”

ÖNLEM ALMAK İÇİN NELER YAPILMALI?

Benim naçizane fikrim, her sistem bir şekilde kesintiye uğrar veya hacklenir. Hem yazılım sistemlerinde, hem de hayatımızda ‘single point of failure’ uygulamalardan kaçınmamız gerektiğini düşünüyorum. Ayrıca online alışverişlerde ve sanal pos siparişlerinde sanal kredi kartı kullanmak ve bu sanal kredi kartına sadece ihtiyaç halinde, yapılacak harcama kadar limit yüklemek bizi bir nebze güvende tutacaktır. Gördüğüm  kadarıyla bireyler zorunlu trafik sigortası ve kasko ödemelerinde yaygın bir biçimde sanal pos kullanarak kredi kartı bilgilerini sigorta acentesine aktarıyorlar.

Adresimiz ve telefon numaramız kargo şirketlerinde, online yemek siparişi sitelerinde, online market sitelerinde, online alışveriş sitelerinde, devlet kurumlarında, internet/elektrik/su altyapı sağlayıcılarında ve telefon operatörlerinde, mağazada adımıza fatura keserken telefon numarası soran mağaza zincirlerinde mevcut.

Otomobil plakamızı bilen biri benzin istasyonu olan bir şirkette çalışan birini tanıyorsa hangi saatlerde, hangi istasyonlardan yakıt aldığımızı biliyor. Telefon operatörümüz hangi gün saat kaçta nerede olduğumuzu biliyor. İnternet servis sağlayıcıları hangi gün saat kaçta neredeki kablosuz ağa bağlı olduğumuzu görüyor. Sağlık personellerinin hakkımızda erişebildiği veriler var. Problem sadece şirketlerin bu verileri bulundurması değil, ayni zamanda çalışanların kullanıcı verilerine kolaylıkla erişebilmesi.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

One Comment

  1. Keşke hangi firmlardan çalınma durumu olduğunu da yazsaydınız da o firmalar ile alışveriş yaptıysak önlem alsaydık.

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.