Yeni Bir Hack Yöntemi : Kredi Kartı Bilgileriniz Tehlikede Olabilir!

Merhaba,

Başıma gelmiş bir olaydan yola çıkarak bu makaleyi yazdığımı belirtmek isterim.

Hepsiburada.com üyeliğimin bulunduğu @outlook.com uzantılı email adresime 28 Mart günü 2 adet email düştü. İlk email şifre değişikliği bilgilendirmesi, sonraki mail ise kayıtlı telefon numaramın değiştirildiği ile ilgili. Bu iki mail de spam klasörüne düştüğü için gözümden kaçmış.

Bugün Hepsiburada.com’a giriş yapmaya çalıştığımda şifre hatası aldım. Şifremi unuttum sayfasından email adresimi yazdığımda ise email adresimin kayıtlı olmadığı bilgisini öğrendim. Ardından hemen Hepsiburada.com Müşteri Hizmetlerini aradım. Durumu izah ettim. Eski sipariş numaralarımı verdim. Hesabıma ulaşıldı fakat tüm bilgiler değiştirilmiş. Telefonda ki arkadaş konuyla ilgili bir kayıt oluşturduğunu ve bana geri dönüş yapılacağını söyledi. Şuan beklemedeyim.

İşin hack kısmı ise şöyle;

Sadece bir defa kullanacağınız herhangi bir web sitesine veya uygulamaya aynı email adresiniz ve şifrenizle üye oldunuz. Buraya kadar herhangi bir problem yok. Bu web sitesinin veya uygulamanın veri tabanında şifre bilgileri şifrelenmeden kaydediliyorsa kötü niyetli kişiler bu veritabanına sızabilir.

Bilgiler şifrelenip mi kaydediliyor, şifrelenmeden mi kaydediliyor bunu bilmenizde fayda var. Öncelikle şifrelenmiş verilerin geriye dönüşü olamaz. Yani bir web sitesinde şifremi unuttum dediğinizde size şifrenizi mail atıyorsa demek ki şifreniz şifrelenmeden kaydediliyor. Ama bir aktivasyon maili gönderip yeni şifre oluşturmanız isteniyorsa kesin olmamakla birlikte büyük ihtimalle şifreleniyordur. Bunun yanında popüler blog, forum, içerik yönetimi gibi hazır sistemler şifre bilgisini şifreleyip kaydetmektedir.

Email adresi ve şifre bilgisi elinde olan kötü niyetli kişiler önce email hesabınıza girmeye çalışacaklar. Benim email adreslerimin şifreleri farklı farklıdır. Bu çok önemli. Sizin de farklı farklı olması hayat kurtarır.

Email hesabınıza sızması, tüm üyeliklerinizi ele geçirmesi anlamına gelir. Email hesabınıza sızamasalar bile artık bu bilgileri alışveriş sitelerine girmekte kullanıyorlar.

Son aşama;

Eğerki sık kullandığınız alışveriş sitelerinde kredi kartı bilgilerinizi kaydettiyseniz, sizin kartınızı kullanarak çok rahat bir şekilde alışveriş yapabilirler. Yakayı ele vermemek adına ise türlü numaralar var. Bir şekilde sizin kartınızla yapılacak bir alışveriş mutlaka yerine ulaşır ve teslim alan kişiyi de kolay kolay bulamazsınız.

Benim kredi kartı bilgilerim Hepsiburada.com’da kayıtlı değildi. Bu sebeple herhangi bir maduriyetim olmadı fakat benim kişisel bilgilerime 3. şahıslar tarafından ulaşıldı. Bu güne kadar yaptığım alışverişlerim, adreslerim, kazandığım puanlarım vs.

Sonuç olarak Hepsiburada.com, telefon numarası, email adresi, isim gibi önemli bilgilerin değişiminde SMS veya aktivasyon linki içeren email göndermesi gerekirdi. Bu bir güvenlik açığıdır.

Siz siz olun kredi kartı bilginizi hiçbir web sitesinde kaydetmeyin. Çünkü kaydedilen kredi kartı bilgileriniz asla şifrelenmez. Açık açık veritabanına yazılır. Bu da ciddi bir güvenlik açığıdır.

2 yorum

  1. elveda cırık Yanıtla

    öncelikle bu konu hakkındaki bilgilendirici yazılar için çok teşekkür ederim ne yazıkkı hepsiburada aynı güvenlik ihlali yüzünden insanları mağdur etmeye devam etmekte 2015 mayıs ayında aynı durum benimde başıma geldi benim hesabım kullanılarak başkası alışveriş yapmış ancak hepsi burada işlemi şüpheli görerek iptal etmiş ve kişinin kredi kartına geri ödemeyi yapmış tüm bunları hotmalimi açtığımda gördüm hepsiburadayı haberdar ettim hesabım kapatılmadı şifrelerimi değiştirdim ve buna rağmen bugün şüpheli sıfatıyla karakola çağrıldım hesap sahibi ben göründüğüm için hakkımda şikayet yapılmış süreçte yapmadığım bir durumdan dolayı mağdur ediliyorum izlemem gereken bir yol var mıdır bilgilendirirseniz çok sevinirim

    • chndkmn YazarYanıtla

      Merhaba,
      Öncelikle geçmiş olsun demek istiyorum. Korkulacak birşey yok. Hepsiburada.com kullanıcı ip adreslerini kaydetmektedir. Mahkeme hepsiburada.com’dan bu ip adreslerini isteyecektir. Bunu siz de hepsiburada.com’dan talep edebilirsiniz. Dikkat etmeniz gereken nokta şu. IP adresini resmi evrak olarak hazırlanması gerekiyor. Aksi durumda mahkemede delil olarak kullanılamaz. Sonrasında savcılık siparişin gerçekleştiği tarih ve saatte hepsiburada.com’un vereceği ip adresini kullanan kişilerin bilgilerini internet servis sağlayıcılarından isteyecek. Bu süreç birkaç ay sürebilmektedir. Sonrasında zaten siparişi kimin yaptığı ortaya çıkacak.

      Herşey bittikten sonra sizi dolandırıcılık, hırsızlıkla suçladıkları ve mağdur ettikleri için hepsiburada.com’a karşı dava açabilirsiniz diye düşünüyorum.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir