Sahibinden.com ve Vukuatlı Nüfus Kayıt Örneği
20 yıllık internet kullanıcılığım ve 13 yıllık sahibinden.com üyeliğim süresince ilk kez bir hesabım başkası tarafından ele geçirildi. Sahibinden.com hesabımı 2007 yılında açmışım. Bugüne kadar bir şey satmasam da emlak ve araç ilanlarına bakmak yeri geldiğinde bir ürünün ikinci el fiyatını takip etmek için kullanıyordum. İyi kötü 2–3 ayda bir giriş yapıyordum. Kayıtlı listelerim ve takip ettiğim ilanlar vardı.
Giriş — Her şey bir e-mail ile başladı
2 gün önce gece 1'de sahibinden.com’dan şöyle iki e-mail geldiğini gördüm:
Görür görmez birinin hesabıma eriştiğini fark edip maildeki linkten erişerek şifremi değiştirdim. Daha sonra da giriş yaparak bu dolandırıcının verdiği ilanı yayından kaldırdım ve “Bey Halil” yaptığı adımı tam adımı vermemek adına “Eda Yıl” olarak değiştirdim. (Ki bu olaydan önce kullandığım isim de tam ismim değildi.) Sonrasında da Sahibinden müşteri hizmetlerini arayarak durumu bildirdim. (O saatte desteğin çalışması takdire şayan.) Hesabımın ele geçirildiğini, gelen mailleri ve yaptığım işlemleri anlatarak bu hesabın nasıl ele geçirildiğine dair bilgi istediğimi, kişinin hesabıma erişme yönteminin diğer hesaplarımın da güvenliği açısından önemli olduğunu belirttim.
Ertesi gün hesabımın güvenlik sebebiyle askıya alındığına dair bir e-mail aldım. :D Bu e-mailde iletilen linkte tekrar hesabımı aktive etmek istiyorsam kimliğimin ön yüzü ve ADIMA BİR FATURAYI taraflarına iletmem gerektiğini belirtiyordu.
Gelişme — Hesap İptali
Herhangi bir ilan vermediğim veya ödeme almadığım durumda neden bunlara ihtiyaç duyduklarını anlayamadım fakat uğraşmama değmeyeceği için de gülüp geçtim.
Gelelim niye bunları anlattığıma. Çünkü telefonumun ve e-mail adresimin hiç değişmediği 13 yıllık üyeliğimi sahtekarın biri ele geçirdi diye iptal etmeleri komik, hesabı tekrar açmak için talep ettikleri ise daha komik.
Hesabımın iptal edildiğinin ertesi günü ise sahibinden.com müşteri hizmetlerinden bilgilendirme için telefonla arandım. Arayan kişi süreci değerlendirdiklerini, problemin benim e-mail adresimde olduğunu tespit ettiklerini söyledi. :D
E-mail adresimde herhangi bir şüpheli işlem olmadığını, problemin onlarda olduğunu tahmin ettiğimi ve zaten bu sebeple kendilerini arayıp bildirimde bulunduğumu anlattım. Müşteri hizmetleri ısrarla hesabımdaki “sahibinden üyelik sözleşmesine aykırı” hareketlerden dolayı hesabımın durdurulduğunu, hesabımı açmak istiyorsam kimliğimi doğrulamam gerektiğini ya da farklı bir hesap açabileceğimi söyledi. Bilgi vermeyeceğimi, hesabımı silmelerini ve benim aynı e-mail ile tekrar üye olmak istediğimi ilettiğimde de bana yine KVKK ile başlayan ve belge beyanıyla biten süreçlerini anlattılar. Benim itirazım üzerine arayan ikinci kişi de aynı şeyleri tekrarladı sayılır.
Oysa hesabıma başkası tarafından erişilmesinin kimliğimin doğrulanmamış olmasıyla uzaktan yakından ilgisi olmadığı gibi, benim istenen belgeleri vermem ve aynı kişinin tekrar aynı yöntemle hesabıma erişmesi durumunda güncellenmiş kimlik bilgilerime ulaşabileceği gerçeği nedeniyle bunu yapmam benim açımdan hiç mantıklı değildi. 13 yıldır sitelerine aynı e-posta ve telefon ile kayıtlı olan ve kim olduğunu asla bilmedikleri bir kullanıcının gerçek kimliğini doğrulamanın bu konuda kimseye bir faydası yoktu.
Hesabıma erişen kişi,
- En iyi ihtimalle e-mail ve şifre kullanarak,
- En kötü ihtimalle ilan verme kurgusundaki bir açık nedeniyle önce rastgele bir kullanıcı id’si ile ilan verip sonra ilandan kullanıcımı bularak giriş yaptı.
Her iki durumda da benimle ilgisi olsun olmasın benim kimliğimi doğrulamanın bu güvenlik problemine en ufak bir faydası yok. Olan benim hesabıma oldu.
Cevabını veremediğim sorular:
- Bu kişi benim e-mail hesabıma erişebiliyorsa gidip Sahibinden’de sahte ilan vererek dolandırıcılık yapmaya uğraşmak yerine daha farklı yollardan direkt beni dolandırması daha karlı olmaz mıydı?
- Bu kişi Sahibinden’de bir şekilde giriş yapmadan ilan verebiliyor, üye e-maillerine ulaşabiliyorsa ve açığa çıkmış şifrelere erişimi varsa bu kişinin sahibinden.com’da sahte ilan vermekten ziyade yapabileceği daha karlı işler yok mudur?
- Bu kişi benim sahibinden.com şifre kombinasyonuma sahiptiyse ve direkt giriş yaptıysa bu nasıl oldu? Benim buna sebep olabilecek herhangi bir uygulamaya sahibinden.com bilgilerimi vermişliğim veya kişisel bilgisayarım ve telefonum dışında siteyi kullanmışlığım yok.
Sonuç — Kimlik bilgileriniz ne zaman gereklidir?
Özellikle online işlerde karşılaşılan bir hata karşısında çoğunlukla ilk refleks kullanıcıyı suçlamak olur. Sahte ilandan alacağı parayla insanları dolandırmaya çalışan bir kişinin direkt olarak benim hesabımı hedef alması çok olası olmadığı için, bir şekilde sahibinden.com’un bir açığı sebebiyle benim hesabıma erişebilmiş olması ihtimali daha akla yatkın. Fakat onlar e-mailimin ele geçirilmiş olduğunu (öyle bir şey yok) iddia etmeyi tercih ediyorlar. Aynı e-posta ile üyeliğimi korumak istiyorsam da problemin kaynağı ben olmamama rağmen yasal sorumluluğu ben üstlenmeliymişim. 😇
Nasıl olmalıydı?
sahibinden.com’un, site aracılığıyla yapılan dolandırıcılıkların önüne geçebilmek ve güven sağlamak amacıyla böyle bir akış tasarladığını tahmin ediyorum. Bu kimlik doğrulama talebinin benim önüme birine ödeme yapmak veya birinden ödeme almak istediğimde çıkması gerekirdi. Verilen ilanların bağlayıcılığı düşünüldüğünde ilan verme adımından önce de bunu istemesi dolandırıcılığın önüne geçmek açısından mantıklı olabilirdi.
Pazaryeri vb sistemlerde şüpheli işlem sonucu mail ve/veya telefon yoluyla kişi uyarılır ve şifresini sıfırlaması istenir. Bunun önlemi budur. KVKK olsun olmasın, giriş yapmadan dahi görebildiğim bir ilanı yer işaretleri yerine sağladıkları hesapta tutmak istiyorum diye bir internet sitesine fatura beyan etmemin istenmesi gereksizdir. Sahibinden.com devlet dairesi, banka veya belediye olmadığı için herhangi bir yasal sorumluluk gerektirmeyen bir üyelik işleminde benden kimlik, fatura, ikametgah, vukuatlı nüfus kayıt örneği, adli sicil kaydı, dilekçe istemesi abesle iştigaldir.
