Türkiye'de 460 bin kredi kartı bilgisinin çalınıp karaborsaya sürüldüğü iddia ediliyor

Singapur merkezli siber güvenlik şirketi Group-IB, çoğu Türkiye bankalarına kayıtlı 460 binden fazla karta ait bilginin çalındığını ve bir veri tabanında satışa çıkarıldığına ilişkin Türk yetkililerin uyarıldığını duyurdu.

Türkiye'de bilgileri çalınan kart sayısının 463 bin 378 olduğu belirtiliyor.

Kart bilgilerinin bir ila üç dolar arasından satışa çıkarıldığı ve bunun "son yıllardaki en büyük Türkiye kaynaklı kart bilgileri hırsızlığı" olduğu kaydediliyor.

BBC Türkçe'nin raporla ilgili temas kurduğu Group-IB yetkilileri, veri hırsızlığı iddiaları ile ilgili Ulusal Siber Olaylara Müdahale Merkezi'nin (USOM) uyarıldığını aktardı.

Ulusal Siber Olaylara Müdahale Merkezi, Bilgi Teknolojileri ve İletişim Kurumu'na bağlı olarak hizmet veriyor.

Group-IB şirketinin siber suçlar araştırma birimi başkanı Dimitri Şestakov, BBC Türkçe'ye yaptığı açıklamada, 3 ve 6 Aralık tarihlerinde Türk yetkililere uyarı yapıldığını söyledi.

BBC Türkçe'nin ulaştığı USOM yetkilileri, "bu konu ile ilgili açıklama yapılmayacağını" söyledi.

Şestakov, kart hırsızlığı raporunu açıklamadan önce, "yetkililere olaydan etkilenmiş kişileri haberdar etmesi için zaman tanıdığını" da belirtti.

Bilgilerin, 28 Ekim ile 27 Kasım tarihleri arasında toplandığı da belirtiliyor.

Dimitri Şestakov, rapor ettikleri hırsızlığın, Kara Cuma (Black Friday) alışveriş etkinlikleri ile ilişkisi olmadığını düşündüklerini de söyledi.

"Ödeme sistemleri kuruluşu olabilir"

Siber saldırıların önlenmesi konusunda uzmanlaşan şirket, çalınan kredi kartı bilgilerinin Türkiye'nin en büyük 10 bankasına kayıtlı kartlar olduğunu ve dört bölüm halinde 'Joker's Stash' adlı en büyük yer altı 'kart mağazasına' satıldığını aktarıyor.

Group-IB şirketinin siber suçlar araştırma birimi başkanı Dmitry Şestakov, "Verilere erişim üç yolla olabilir. Elektronik dolandırıcılıkla internet ortamından, kötü amaçlı yazılımlardan veya giderek artan Java-Script yazılımı kullanan dolandırıcıların veriye erişmesinden" diyor.

Şestakov, kredi kartlarının CVV/CVC numaralarının yanı sıra, kart sahiplerinin isimlerinin, kullanım sürelerinin ve iletişim bilgilerinin de veri tabanında bulunduğunu ifade etti.

Çalınan bilgiler arasında, elektonik postaların da yer alıyor olmasının bu veri hırsızlığının, POS makineleri ve atm cihazları üzerinden gerçekleşme ihtimalini ortadan kaldırdığı da belirtiliyor.

"Yaklaşık 500 bin dolara satışa çıkarıldı"

Group-IB'nın raporuna göre, kredi kartlarının yanı sıra banka kartlarını da kapsayan bu veri hırsızlığının, kaynağı tek bir banka sistemi değil.

Farklı bankalara kayıtlı kişisel kart bilgilerinin ele geçirilmiş olmasının, bir ödeme kuruluşunun hack'lediğini gösterdiği de ifade ediliyor.

Global-IB isimli siber güvenlik şirketi bunların çıkarım olduğunu "kaynağın bilinmediğini" de açıklıyor.

Şirket, kredi kartı bilgilerinin toplandığı yer altı kart mağazasının değerinin de yaklaşık 500 bin dolar olduğunu söyledi.

Konuyla ilgili Türkiye'deki yetkililerin de bilgilendirildiği belirtildi.

BMK'dan konuya ilişkin açıklama

BKM'den yapılan açıklamada, "Basına yansıyan, Türkiye'de bazı kredi kartı bilgilerinin çalındığına ilişkin haberler, düzenleyici otoriteler, kart çıkaran kuruluşlar ve ilgili tüm paydaşlarca titizlikle takip edilmektedir" denildi ve şu bilgiler verildi:

"Banka kartı ve kredi kartları kanun ve yönetmeliklerine göre ülkemizde tüm ödeme kartları, kullanıcıları dolandırıcılık risklerine karşı güncel uluslararası standartlarla korunmaktadır.

"Türkiye'de faaliyet gösteren tüm kart çıkaran kuruluşlar, güvenlik hizmetleri ve sahtekarlıkla mücadele eden çözümleriyle kart bilgilerini sıkı bir biçimde korumaya her daim özen göstermektedir.

"Bu kapsamda, zaman zaman bazı internet sitelerinden çalındığı iddia edilen kartlara ilişkin işlemler, kart çıkaran kuruluşlar tarafından yakından takip edilerek gerekli önlemler alınmaktadır.

"Tüm kullanıcılar kart güvenliğiyle ilgili her türlü güncel bilgiye www.bilgiguvende.com adresinden her zaman ulaşabilmektedir."