MUSA SAVAŞ/ Yeni nesil bankalar ve finans kuruluşları artık hayatımıza iyice girdi. Biraz abartarak söyleyelim, neredeyse her hafta yeni birinin haberini duyuyoruz. Nitekim biz de Para dergisi olarak bu konuyu önceki hafta kapağımıza taşımıştık.
Bu bankalar doğal olarak müşteri portföylerini hızlıca astırıp çeşitlendirmek için çağımızın teknolojik imkanlarını dağıtım, iletişim ve ulaşım yöntemleriyle bütünleştirerek mümkün olan maksimum hızda çalışıyorlar. Bu yeni nesil bankalar sadece ülkemizde değil, tüm dünyada da hızla büyüyen popüler bir alan.
Eski kovboy filmlerini seyredenler hatırlayacaktır. "Vahşi Batı"da her kasabada birkaç çalışanı olan yerel bir banka olur ve haydutlar ellerini kollarını sallayarak gelip bu bankaları soyarlardı. Özel güvenlik ne mi yapıyordu? Kavram olarak insanların hayal dünyasında bile bu yoktu.
Aşağıda bahsedeceğim olay da hayatımıza giren bu yeni nesil bankaların sistemlerini inşa ettikleri teknolojiler nezdinde onlar için vahşi batı devrini yaşadıklarını gösteren gerçek bir vaka.
Dijital bankacılık platformu (kendisi dijital bankacılık yapmıyor, yapanlara her türlü teknolojik altyapıyı sağlayan sistemleri veriyor. Yani bir fintech platformu) Bankingly, Orta ve Güney Amerika'da müşterisi olan yedi finans kuruluşuna ait verilerin sızdırılmasına engel olamadı. Latin Amerika genelinde bu yedi finans kuruluşunun yaklaşık 135.000 müşterisinin kişisel verileri internette ifşa oldu.
Bankingly, Uruguay merkezli bir şirket. Ağırlıklı olarak Latin Amerika'nın kırsal kesimlerinde bulunan kredi kooperatifleri, mikrofinans kuruluşları ve bankalar gibi küçük ve orta ölçekli finans kuruluşlarına hizmet veriyor.
Etkilenenler arasında Dominik Cumhuriyeti (mağdurların çoğu bu ülkeden, yaklaşık 100.000 kişi), Meksika, Ekvador, El Salvador, Bolivya ve Kosta Rika vatandaşları da yer alıyor.
SIZDIRILAN VERİLER, FİNANS KURULUŞUNUN İTİBARINI ZEDELİYOR
Para ile uğraşan kurumlar itibar müesseseleridir. Para, güvenilir ve itibarlı yerlerde saklanmak zorundadır. Mevduat sahipleri de bu kuruluşlarda hesap oluştururken, bazen çok önemli ve sadece onlarda bulunan bilgileri de verebiliyorlar. Dolayısıyla sızdırılan veriler, finans kuruluşunun itibarına zarar vermesinin yanı sıra, etkilenen kişiler için de risk oluşturuyor.
Uzmanlar diyor ki; "Sızdırılan veriler, siber suçluların kredi başvurusunda bulunmak veya yeni banka hesabı açmak gibi doğrudan finansal işlemler yapması için yeterli olmayabilir. Genellikle, bu tür faaliyetleri gerçekleştirmek için hükümet tarafından verilmiş kimlikler, sosyal güvenlik numaraları veya pasaport bilgileri, kredi kartı numaraları veya hatta parolalara erişim gibi daha hassas bilgilere ihtiyaç duyulur."
Fakat hem teknolojiye hem de finansa gerçekten hakim insanlar bilir ki, kişisel tanımlanabilir bilgileri (Personally Identifiable Information - PII) ifşa etmek hala kimlik avı ve sosyal mühendislik saldırılarına zemin hazırlar. Yani kötü niyetli hacker'lar bu bilgileri kullanarak seçtikleri kurbanın finansal hizmet sağlayıcısından veya banka çalışanını taklit eden aramadan geliyormuş gibi görünen karmaşık kimlik avı e-postaları oluşturmak için sızdırılan verileri kullanabilir. Sonuç ne mi olur? Bunun cevabını sizin hayal gücünüze bırakıyorum. Diğer bir risk ise kimlik bilgisi doldurma şeklindeki oltalardır. Kurbanlar parolalarını farklı platformlarda tekrar kullanırsa, hacker'lar ifşa edilen kullanıcı adlarını veya e-posta adreslerini eski veri ihlallerinden gelen bilgilerle birlikte kullanmayı deneyebilir ve ardından hesaplara erişim sağlayabilir.
Sonuç olarak yeni nesil finansal kuruluşların bu vakadan çıkarması gereken dersler var. Fakat ben en önemlisini söyleyeyim. Bu tür hassas konularda şayet üçüncü taraflardan hizmet almayı düşünüyorsanız gerçekten uzmanlarla çalışın ve defalarca test edin. Bir an önce yapıp sistemi açalım diye üç kuruşu esirgeyip eksik bilgili yazılımcılarla bir an önce faaliyete geçmeye çalışmayın. Unutmayın, siz bir itibar kurumusunuz.
Sızdırılan veriler
-Tam adlar
-Finansal uygulama kullanıcı adları
-e-postalar
-Telefon numaraları
-İş telefon numaraları
Etkilenen finans kuruluşları ve müşteri sayıları
AMC (El Salvador) – 1.887
Asociación La Nacional de Ahorros y Préstamos (ALNAP) (Dominik Cumhuriyeti) – 99.000
Caja Buenos Aires (Meksika) – 3.811
Caja Mitras (Meksika) – 9.199
Coac Puellaro (Ekvator) – 2.395
Credecoop (Kosta Rika) – 8.747
La Cooperativa de Ahorro y Crédito Abierta "San Martín de Porres" (COSMART) (Bolivya) - 9.852