Taraf gazetesi, Vodafone abonelerinin özel bilgilerinin herkes tarafından elde edilebileceğini yazınca önlem alındı.
Taraf’ın dünkü haberinde Ağrı’lı lise mezunu bir genç olan Eyüp Çelik’in Vodafone sitesinde bulduğu güvenlik açığı gündeme getirilmişti. Bu açık sayesinde, diğer kullanıcıların fatura bilgileri, görüştüğü telefon numaraları gibi kişisel bilgilere kolayca ulaşılabiliyordu. Kendi numaralarımızla test edildikten sonra konuyu gündeme getirmemizle birlikte, Vodafone’un 16 milyon kullanıcısının bilgilerine ulaşmaya yarayan açık kapatıldı.
Dün güvenlik gerekçesiyle açıklamadığımız olayın özü, aslında çok basit bir işleme dayanıyordu. Gazetemize gelen Eyüp Çelik, Vodafone müşterilerinin hesaplarını incelemek için kullandığı “My Vodafone” menüsünden istediği kişinin menüsüne geçiş yapabiliyordu. Bu geçiş web sayfasındaki adres uzantısında yapılan küçük değişikliklerle mümkündü. Çelik, hesabının uzantısında yaptığı birkaç küçük oynama ve telefon numarasını değiştirerek istediği kişinin hesabına geçiş yapabiliyordu. Güvenlik açığının, bu geçiş esnasında sorulması gereken şifrenin sorulmamasından kaynaklandığı anlaşıldı. Eyüp Çelik’in çok basit bir şekilde gerçekleştirdiği gözlenen bu olay, Vodafone açıklamasında “hacking” olarak tanımlandı. Konuya ilişkin Vodafone Türkiye’nin yaptığı açıklamada ise şu görüşlere yer verildi:
“Vodafone Türkiye, müşterilerinin veri güvenliğinin korunmasına azami derecede önem vererek, yasalar ve teknolojik imkânlar çerçevesinde tüm yükümlülüklerini eksiksiz yerine getirmektedir. Vodafone Türkiye, bilgi işlem sistemlerinde herhangi bir güvenlik açığı olmadığını güvence altına almak üzere periyodik testleri ve sürekli geliştirmeleri en ileri teknolojileri kullanarak yapmaktadır. Vodafone Türkiye’nin veri güvenliği sistemleri ve süreçlerinin kalite ve güvenliği, bu konudaki en ileri uluslararası standart olan ISO 27001 sertifikasyonu ile belgelenmiştir.
BUNUN ADI ‘HACKİNG’
Teknolojik gelişmelerin bir sonucu olarak kurumlar zaman zaman internet ortamında art niyetli saldırı “hacking”girişimleri ile karşı karşıya kalabilmektedirler. Şirketimiz de buna benzer bir girişime ilişkin bu haftasonu bir ihbar almıştır. Bu ihbarın hemen ardından, tüm incelemeler ve araştırmalar ivedilikle yapılmış, web sitemizin My Vodafone bölümünün bir bileşeninin saldırıya hedef alındığı tespit edilmiştir. Bu eylemin, bir müşteri tarafından suç işleyerek gerçekleştirilen, son kullanıcı sözleşmesine aykırı bir kullanım ihlali olduğu belirlenmiştir. Bu eylemin, az sayıda bireysel müşterinin fatura bilgilerinin herhangi kişisel veri içermeyen bir kısmına ulaşmakla sınırlı kalan birkaç denemeden ibaret olduğu tesbit edilmiştir. Bu eylemden etkilenen az sayıdaki bireysel müşterimiz, konu hakkında bilgilendirilmek üzere şirketimiz tarafından telefonla aranmıştır.
Önemle altını çizmek isteriz ki; konuyla ilgili tüm güvenlik önlemleri sonuçlandırılarak, My Vodafone servisinin güvenli olduğu teyit edilmiştir. My Vodafone servisi güvenli ve kullanıma açıktır. Bütün bu testler ve önlemler neticesinde, müşterilerimizin endişe etmesini gerektirecek hiçbir durum bulunmamaktadır.”
Vodafone açıklamasında, veri ağına yapılan saldırıların bilişim suçu kapsamında olduğuna işaret edilerek, “Türk Ceza Kanunu’nda cezai yaptırıma tabi tutulmuştur. Vodafone Türkiye, kurumsal itibarını zedelemeye yönelik bu tür eylemleri yapan kişi ya da kişilere karşı tüm yasal haklarını saklı tutmaktadır” dendi.