Merhaba,
Başıma gelmiş bir olaydan yola çıkarak bu makaleyi yazdığımı belirtmek isterim.
Hepsiburada.com üyeliğimin bulunduğu @outlook.com uzantılı email adresime 28 Mart günü 2 adet email düştü. İlk email şifre değişikliği bilgilendirmesi, sonraki mail ise kayıtlı telefon numaramın değiştirildiği ile ilgili. Bu iki mail de spam klasörüne düştüğü için gözümden kaçmış.
Bugün Hepsiburada.com’a giriş yapmaya çalıştığımda şifre hatası aldım. Şifremi unuttum sayfasından email adresimi yazdığımda ise email adresimin kayıtlı olmadığı bilgisini öğrendim. Ardından hemen Hepsiburada.com Müşteri Hizmetlerini aradım. Durumu izah ettim. Eski sipariş numaralarımı verdim. Hesabıma ulaşıldı fakat tüm bilgiler değiştirilmiş. Telefonda ki arkadaş konuyla ilgili bir kayıt oluşturduğunu ve bana geri dönüş yapılacağını söyledi. Şuan beklemedeyim.
İşin hack kısmı ise şöyle;
Sadece bir defa kullanacağınız herhangi bir web sitesine veya uygulamaya aynı email adresiniz ve şifrenizle üye oldunuz. Buraya kadar herhangi bir problem yok. Bu web sitesinin veya uygulamanın veri tabanında şifre bilgileri şifrelenmeden kaydediliyorsa kötü niyetli kişiler bu veritabanına sızabilir.
Bilgiler şifrelenip mi kaydediliyor, şifrelenmeden mi kaydediliyor bunu bilmenizde fayda var. Öncelikle şifrelenmiş verilerin geriye dönüşü olamaz. Yani bir web sitesinde şifremi unuttum dediğinizde size şifrenizi mail atıyorsa demek ki şifreniz şifrelenmeden kaydediliyor. Ama bir aktivasyon maili gönderip yeni şifre oluşturmanız isteniyorsa kesin olmamakla birlikte büyük ihtimalle şifreleniyordur. Bunun yanında popüler blog, forum, içerik yönetimi gibi hazır sistemler şifre bilgisini şifreleyip kaydetmektedir.
Email adresi ve şifre bilgisi elinde olan kötü niyetli kişiler önce email hesabınıza girmeye çalışacaklar. Benim email adreslerimin şifreleri farklı farklıdır. Bu çok önemli. Sizin de farklı farklı olması hayat kurtarır.
Email hesabınıza sızması, tüm üyeliklerinizi ele geçirmesi anlamına gelir. Email hesabınıza sızamasalar bile artık bu bilgileri alışveriş sitelerine girmekte kullanıyorlar.
Son aşama;
Eğerki sık kullandığınız alışveriş sitelerinde kredi kartı bilgilerinizi kaydettiyseniz, sizin kartınızı kullanarak çok rahat bir şekilde alışveriş yapabilirler. Yakayı ele vermemek adına ise türlü numaralar var. Bir şekilde sizin kartınızla yapılacak bir alışveriş mutlaka yerine ulaşır ve teslim alan kişiyi de kolay kolay bulamazsınız.
Benim kredi kartı bilgilerim Hepsiburada.com’da kayıtlı değildi. Bu sebeple herhangi bir maduriyetim olmadı fakat benim kişisel bilgilerime 3. şahıslar tarafından ulaşıldı. Bu güne kadar yaptığım alışverişlerim, adreslerim, kazandığım puanlarım vs.
Sonuç olarak Hepsiburada.com, telefon numarası, email adresi, isim gibi önemli bilgilerin değişiminde SMS veya aktivasyon linki içeren email göndermesi gerekirdi. Bu bir güvenlik açığıdır.
Siz siz olun kredi kartı bilginizi hiçbir web sitesinde kaydetmeyin. Çünkü kaydedilen kredi kartı bilgileriniz asla şifrelenmez. Açık açık veritabanına yazılır. Bu da ciddi bir güvenlik açığıdır.
About Author
öncelikle bu konu hakkındaki bilgilendirici yazılar için çok teşekkür ederim ne yazıkkı hepsiburada aynı güvenlik ihlali yüzünden insanları mağdur etmeye devam etmekte 2015 mayıs ayında aynı durum benimde başıma geldi benim hesabım kullanılarak başkası alışveriş yapmış ancak hepsi burada işlemi şüpheli görerek iptal etmiş ve kişinin kredi kartına geri ödemeyi yapmış tüm bunları hotmalimi açtığımda gördüm hepsiburadayı haberdar ettim hesabım kapatılmadı şifrelerimi değiştirdim ve buna rağmen bugün şüpheli sıfatıyla karakola çağrıldım hesap sahibi ben göründüğüm için hakkımda şikayet yapılmış süreçte yapmadığım bir durumdan dolayı mağdur ediliyorum izlemem gereken bir yol var mıdır bilgilendirirseniz çok sevinirim
Merhaba,
Öncelikle geçmiş olsun demek istiyorum. Korkulacak birşey yok. Hepsiburada.com kullanıcı ip adreslerini kaydetmektedir. Mahkeme hepsiburada.com’dan bu ip adreslerini isteyecektir. Bunu siz de hepsiburada.com’dan talep edebilirsiniz. Dikkat etmeniz gereken nokta şu. IP adresini resmi evrak olarak hazırlanması gerekiyor. Aksi durumda mahkemede delil olarak kullanılamaz. Sonrasında savcılık siparişin gerçekleştiği tarih ve saatte hepsiburada.com’un vereceği ip adresini kullanan kişilerin bilgilerini internet servis sağlayıcılarından isteyecek. Bu süreç birkaç ay sürebilmektedir. Sonrasında zaten siparişi kimin yaptığı ortaya çıkacak.
Herşey bittikten sonra sizi dolandırıcılık, hırsızlıkla suçladıkları ve mağdur ettikleri için hepsiburada.com’a karşı dava açabilirsiniz diye düşünüyorum.
Merhaba,
Ana kartım ve sanal kart bilgilerim kısa süre önce çalınmıştı internet alışverişine kapalı olduğu için işlem yapamadılar bilgilerin çalındığını fark edince kredi kartını yeniledim. Yeni bir sanal kart açtım ve internette sadece iki sitede işlem yaptım siteler google adwords ve onurair. Sadece bu iki sitede kullandığım sanal kart bigileri yine çalındı ve alış veriş denemesi oldu kart sanal alış verişe kapalı olduğu için yine alış veriş yapamadılar. Kart bilgileri bu iki siteden birinden çalınmış olabilir mi yada bilgisayarım vasıtası ile çalınmış olabilir mi acaba nasıl önlem almalıyız bu işi nasıl yapıyorlar ?
Yardımlarınız için şimdiden teşekkür ederim
Merhaba,
Yenilenen kart bilgilerinizin tekrar çalınmasının en büyük sebebi kullandığınız bilgisayar diye düşünüyorum. İşletim sisteminiz orijinal değilse hemen kişisel verilerinizi yedekleyin ve orijinal bir işletim sistemine geçiş sağlayın. İşletim sisteminiz orijinal ise güncel bir antivirüs programı ile tam sistem taraması yapmanızı ve aktif olarak koruma durumunda kullanmanızı tavsiye ederim. Ağ ayarlarınızda DNS adreslerini güncellediyseniz güvenilir bir DNS kullandığınıza emin olun. Kablosuz bir ağ kullanıyorsanız bu ağın şifresini değiştirin. Güçlü bir şifre ve şifrelemesinin WPA2 tipi olması önemli. Modeminizin WPS özelliği varsa kapatınız. Bağlandığınız ağın güvenliğinden şüphe ediyorsanız ve halka açık internet bağlantılarını kullanıyorken kredi kartı bilgilerinizi kullanmayın. Aynı ağda birden fazla bilgisayar varsa bu bilgisayarlarda da güncel bir antivirüs programı çalıştırın. Bunların dışında ekstra güvenlik için kredi kartı bilgilerini girerken ekran klavyesi kullanabilirsiniz.
Umarum başınıza kötü birşey gelmez. Sanal kartınızı kullanacağınız zaman açıp kullanmayacağınız zaman kapatmanız çok doğru bir kullanım yöntemi olmuş.