ZDNet'tin güvenlik araştırma firması Group-IB'den aldığı bilgiye göre, 463.378 Türk kredi ve ödeme kartı çalındı. Bilgilerin internet üzerindeki en büyük kart satış sitesinde satışa çıkarıldığı kaydediliyor[1].
28 Ekim - 27 Kasım tarihleri arasında dört partide yayımlanan veriler, son yıllardaki en büyük Türkiye merkezli kart sızıntısını gösteriyor. Çalınan kredi+ödeme kartları yeraltı pazarını izleyen Group-IB, dört partinin (30K + 30K + 190K + 205K) satıldığı zaman korsanlara 500.000 dolardan fazla gelir sağlayacağını tahmin ediyor.
Sızıntıların, birçok Türk bankasının kartlarını içerdiği görülmüş. Çeşitli bankalara ait çeşitli kart türlerinin olması, sızıntının, tek bir banka yerine ödemeleri yöneten bir kaynaktan geldiğini gösteriyor.
Group IB, sızan kredi kartı ve banka kartı kayıtlarının, 'CC' veya 'fullz' olarak da bilinen ham kart verileri olduğunu ve son kullanma tarihi, CVV / CVC, kart sahibi adı ve bazı ek bilgiler gibi e-posta, isim ve telefon numarası gibi bilgileri içerdiğini belirtmiş.
E-postaların ve telefon numaralarının varlığı, bu bilgilerin ATM'lere veya PoS cihazlarından alınmadığını gösteriyor. Group IB verilerin tarayıcılardan bilgi toplayan kötü amaçlı yazılımlar (hacklenmiş bir site) üzerinden gelebileceği düşünülüyor.
Group IB'nin bu sene keşfettiği 2'nci büyük kredi kart sızması (çalınması) olduğu kaydedilen olayın MegaCard saldırısı olabileceği düşünülüyor[2].
Otobüs firmaları bilet alımından mı sızdı?
Konuyla ilgili olarak bizim aldığımız bilgi ise, otobüs firmalarına altyapı sağlayan bir firmanın sorumlu olabileceği. Dolayısıyla eğer geçtiğimiz 1-2 yıl içinde otobüs bileti aldıysanız:
- Kredi kartınızı değiştiriniz.
- Sanal kart kullanıyorsanız limitini sıfırlayınız.
- Fiziksel kart sanal işlemlere açık ise kapatınız.
Kredi Kartının Sızdığını Düşünen, İptal Ettirmeli
Konuyu avukat Mehmet Ali Köksal'a sorduk. Şunları söyledi :
"Söz konusu olay kredi kartı bilgilerinin çalınması işlemi bu bilgileri çalanlar ve kullananlar açısından TCK 245'teki suçu oluşturur.
Ancak, ilgili firmalar açısından bu konu 6698 sy. Kişisel Verilerin Korunması Kanunu'nun 12. maddesindeki kişisel verilerin güvenliğinin sağlanmasına ilişkin veri sorumlusunun idari ve teknik önlemleri alma sorumluluğunun eksik ifası anlamına gelir.
Yani, veri sızıntısına konu sistemi işleten firma (ilgili alt yapı sağlayıcı) ve/veya ilgili verileri o alt yapıyı kullanarak sağlayan elektronik bilet satışı yapan firmalar bu nedenle Kanunun 18. maddesinin 1. fıkrasının (b) bendini ihlal etmiş olurlar ve 15 bin TL'den 1 milyon TL'ye kadar para cezası yerler.
Ayrıca, olay basına yansıdığı gibi aslında 72 saatten önce gerçekleşmiş ve bu süre içerisinde Kurul'a haber verilmemiş ise yine 12. maddenin bu defa 5. fıkrasına aykırılık oluşacaktır. Daha önceki örneklerden gördüğümüz üzere Kurul bunu da ayrıca yaptırıma bağlayacaktır.
Kişiler ilgili sitelerden bir alışveriş yapmışlarsa kredi kartlarını iptal edip bankadan yenisini talep edebilirler. Ya da bankadaki güvenlik ayarlarını değiştirip bazı işlemlere kartlarını kapatabilirler.
Bazı Bankalar online alış verişleri veya diğer şüpheli işlemleri SMS ile müşterilerine bildiriyor. Genelde gün içerisinde sayısız istenmeyen SMS alındığı için dönüp bakmasak da, bugünlerde bunları takip etmek ve gerekirse kartı derhal iptal ettirmek gerekir.”
[1] 460,000 Turkish card details put up for sale, web skimmers suspected
[2] Dikkat : Hackerlar 100’lerce e-Ticaret Sitesini Etkiledi