Uluslararası İngiliz Bankası HSBC’nin Türkiye Şubesinden şok açıklama geldi. HSBC Türkiye yaptığı açıklama ile 2.7 milyon Advantage Kart müşterisinin kart bilgilerinin çalındığını açıkladı. Bilişim ve Güvenlik konularına en çok Ar-ge yatırımı ayıran genelde banka kuruluşlarıdır. Peki HSBC gibi uluslararası bir bankanın veri tabanına nasıl ulaşıldı?
Açıkçası bu soru gizemini korumaya devam ediyor…
Yapılan saldırı sıradan bir DDOS veya protesto amaçlı bir saldırı değil. Yapılan saldırı Defcon 1 seviyesinde çok ciddi bir saldırıdır. Hackerler, HSBC Türkiye‘nin müşteri kart bilgilerinin tutulduğu veri tabanına erişip buradan 2.7 milyon Türk müşterisinin kart bilgilerini çekiyor. Bankaların veri tabanına ulaşmak o kadar basit değildir. Birkaç SQL hatası ve bypass yöntemlerle ulaşabileceğiniz bir katman değildir.
Saldırının yapılmasının temel amacı büyük ihtimal HSBC Türkiye‘nin hisselerini düşürerek Türk pazarından çekilmesini veya borsada bir dalgalanmaya sebebiyet vererek ekonomik bir manipülasyon olması için yapıldığını düşünüyorum.
Saldırı kesinlikle 3-4 kişilik basit bir Hack grubunun saldırısı değildir. Saldırının arkasında istihbarat örgütleri bile olabilir. Çünkü HSBC Türkiye‘nin veri merkezinde ciddi bir sızıntı vardır. Her ne kadar banka “Müşterilerimiz açısından bu olaydan kaynaklanan herhangi bir finansal risk bulunmamaktadır. Müşterilerimiz, bankacılık işlemlerine güvenli bir şekilde devam edebilirler.” şeklinde açıklama yapsa da durum çok ciddi. Birde böyle bir saldırı sadece İnternet üzerinden yapılabilmesi çok zor. Büyük ihtimal içeriden bir yardım veya biri olmadan yapılması çok güç.
Senaryoları yazacak olursak, Bankadan çekilen veriler 3 kategori şeklindedir. Kart Sahibinin Adı Soyadı, Kart Numarası ve Son Kullanma Tarihi. Bankanın açıklamasına göre kartların arakasında yazan 3 haneli Güvenlik Kodu (CVV) Hackerler tarafından ele geçirilememiştir. Şimdi iki ihtimal var. Ya Güvenlik kodları ayrı bir Database’de tutuluyordu ve Hackerler oraya ulaşamadı veya Hackerlar CVV bilgilerini çekti ama ele geçirdikleri güvenlik kodları HASH‘lı olduğu için ve Hackerlerin algoritmayı bilmediklerinden dolayı decode edemeyeceği için banka böyle bir açıklama yaptı.
HSBC Türkiye müşterileri doğal olarak telaşta. Acaba kartımdan para çekildi mi? Öncelikle şunu söyleyeyim 3 haneli güvenlik kodları eğer Hackerler tarafından ele geçirilemediyse para çekilemez. Fakat sizin bu bilgileriniz yine de yurt dışına veya başka kanallara satılmayacağı garantisini de kimse veremez. Bir şekilde 3 haneli güvenlik kodlarını deneme yanılma yöntemi ile kartlar üzerinde deneyeceklerdir.
Peki HSBC Türkiye müşterisi ben olsaydım?
Kişisel fikrimi paylaşacak olursam her ihtimale karşı ben kartımı iptal ederdim. Kart bilgilerini değiştirmek açıkçası benim için çok önemli olmazdı bu haberi duyduktan sonra. Çünkü HSBC Türkiye’nin veri merkezine sızan güç ertesi gün tekrar sızamayacağı veya hala kullanmadıkları ve 0-day’de tutukları güvenlik zafiyetinin olmadığını kim garanti edebilir. Banka bile garanti edemez. Çünkü bu yapılan eylem çok ciddi bir saldırıdır ve Bankada şuan kesin kriz masası kurulmuştur bile. Fakat CVV numaralarına erişilemediği için paranızın çekilmesi imkansızdır bu yönden içinizi ferah tutabilirsiniz.
Bankalara Güvenebilir miyiz?
Eskiden ve halen E-Ticaret siteleri ne kadar güvenli olduğunu tartışırdık fakat bu olaydan sonra açıkçası Bankalara güvenebilir miyiz? sorusuna %100 evet diyemiyorum. Hem de saldırı yapılan kurum Uluslararası bir banka kurumu. Sadece Türkiye içinde çalışan bir mevduat bankası değil. Tabi güvenlik konusunda en çok harcamayı bankaların yaptığını da unutmamak gerek. Bu olaydan sonra eminim diğer bankalarda güvenlik seviyelerini bir derece artıracaklardır.
Güvenliğimi Nasıl Sağlarım?
Açıkçası yapılan saldırının hedefi banka olduğu için müşterilerin ek bir güvenlik önlemi almasını gerektiren durum yoktur. Güvenliği burada banka almalıydı. Müşteriler güvenlik olarak şunu yapabilir: Her ay kredi kart hesap ekstresini mutlaka detaylı inceleyebilirsiniz. Çünkü Hackerler bu tip saldırılardan sonra hesaplardan 1 dolar çekip toplu bir para vurgunu yapıyor. Kart sahipleri de 1 dolar veya 1 lira niye çekilmiş diye incelemeyip önemsemiyor. Benim sizlere önerim mutlaka her ay hesaplarınızı ve harcamalarınızı kontrol edin. Bilmediğiniz bir harcama görürseniz bankanızın müşteri hizmetlerine başvurup bilgi alınız.
Kaynaklar
http://www.burakavci.com.tr
http://www.radikal.com.tr/ekonomi/hsbcnin_kart_musterilerine_buyuk_sok-1229546
http://finans.mynet.com/haber/detay/ekonomi/milyonlarca-kisinin-kart-bilgileri-calindi/97293
http://sozcu.com.tr/2014/ekonomi/hsbc-turkiyede-buyuk-sok-646075/
http://uzmanpara.milliyet.com.tr/haber-detay/gundem/hsbcnin-turk-musterilerine-buyuk-sok/7500
http://www.aa.com.tr/en/economy/419710–hsbc-turkey-hacked-for-credit-card-information
