Kimlik doğrulamalarında bariz ve hayati güvenlik sorunları

Yazı yazılduktan sonra ek:
Bugün okuduğum bir haber:
Şebekeden 20 milyon kişinin
kimlik ve banka hesap bilgileri çıktı

Özet: Anne kızlık soyadı, doğum yeri, doğum tarihi, nüfus cüzdanı seri numarası gibi bilgiler, kimlik doğrulama amacıyla kullanılmaya elverişli düzeyde gizli değildirler. Tüketicilere hizmet veren kişi ve kuruluşlar, özellikle bankalar, sadece bu bilgilere bakarak kimlik doğrulaması yapmayı terk etmeli, daha güvenli çözümleri acilen hayata geçirmelidirler. Aksi takdirde yaptıkları iş ve işlemlerden müşterilerinin uğrayacağı zararı tazminle sorumlu tutulmaları gerekir.

***

Hizmet aldığımız kurumların, özellikle bankaların kimlik doğrulama işlemlerinde çok bariz ve hayati güvenlik sorunları bulunuyor.

Örneğin kurumların anne kızlık soyadı bilgisini sanki sadece müşterinin bilebileceği bir gizli bilgi gibi kabul ettiği, kimlik teyidi amacıyla bu bilgiye öteden beri başvurduğu malum…

Bugün çoğu bankanın müşteri hizmetlerini telefonla arayarak, hedefteki kişinin nüfus cüzdanı seri numarası, doğum yeri ve tarihi, telefon numarası ve anne kızlık soyadı gibi bilgilerine sahipseniz o kişi adına ve hesabına işlem yapabilmeniz, o kişinin hesaplarını boşaltmanız, o kişiyi borç altına sokmanız mümkün.

Bu çok ciddi bir güvenlik açığı…

Nüfus cüzdanı seri numarası, doğum yeri ve tarihi gibi anne kızlık soyadı da bir sır değil, aksine, özellikle ülkemizde, çok kolayca ele geçirilebilen bir bilgidir.

Bu bilgileri, hemen her gün, çeşitli abonelik veya bankacılık sözleşmelerinde ve birçok resmi işlemde paylaşmak zorunda kalıyoruz. Kimliğimizin fotokopisini yerli yersiz vermeye mecbur bırakılıyoruz. Bazı binalara ancak kimliğimizi güvenliğe bırakarak girebiliyoruz. Örnekler sayısız… Kimlik bilgilerimizin kimlerin elinden geçtiğini, kimlerin bu bilgilere erişebildiğini, bu bilgilerin nerelere aktarıldığını bilmemiz imkansız.

Kaldı ki siz her türlü önlemi alıp anne kızlık soyadı bilginizi hiç kimseyle paylaşmasanız bile, dayınızın, dayınızın çocuklarının adını bilen herkes anne kızlık soyadınızı da biliyor demektir. Dolayısıyla Facebook, Twitter gibi bir sosyal ağı standart gizlilik ayarlarında kullanan bir kişiye ait anne kızlık soyadı bilgisinin, o kişinin yakın veya uzak çevresinden ve hatta internetteki herhangi biri tarafından deneme yanılma yoluyla tahmin edilmesi sanıyorum fazla uzun sürmeyecektir.

Dahası siz dilediğiniz kadar önlem almış olun, bütün vatandaşlarımızın kimlik ve adres bilgilerinin daha geçen sene internete saçıldığını hatırladığınızda kimlik teyidi amacıyla kullanılan bu bilgilerin sizin için de hiçbir güvenliğinin olmadığını anlarsınız.

İşin kötüsü, siz bu bariz güvenlik sorununun farkında olsanız bile bu konuda yapabileceğiniz hiçbir şey bulunmuyor. Tüketici olarak bankaların ve diğer hizmet sağlayıcıların sözleşmeleri ve uygulamaları ne ise bunları olduğu gibi kabul etmek durumunda kalıyoruz.

Tüm bu gerçeklere rağmen ne yazık ki mahkemeler bu kimlik doğrulaması usulünün uygulanmasında bir beis görmüyor, bu yolla bankalar tarafından yapılan kimlik doğrulamalarına dayanılarak kötü niyetli üçüncü kişiler tarafından yapılan işlemlerden hesap sahibini sorumlu tutabiliyorlar (Örneğin, Eskişehir 3. Asliye Hukuk Mahkemesi’nce verilen 16/10/2014 tarih ve 2013/859-2014/646 sayılı karar ve bu kararı temyizen inceleyen Yargıtay 11. Hukuk Dairesi’nin bu hususu bir bozma sebebi olarak zikretmeyen E. 2015/9531 K. 2015/9693 T. 30.9.2015 sayılı kararı).

Bankalar mevzuatları gereği, en üst derecede özenle çalışması gereken uzman kuruluş kabul edilirler. Tüketicilere ve tacirlere sundukları hizmetlerle ilgili güvenlik risklerini saptamak ve gerekli önlemleri almak bankaların sorumluluğundadır. Bankaların nüfus cüzdanı seri no, doğum yeri ve tarihi, anne kızlık soyadı gibi bilgilerin güvenli ve gizli bilgi sayılamayacağını bilemeyecekleri düşünülemez. Dolayısıyla bankaların bu bilgilere dayanarak, müşteri bilgisi ve onayı dışında yaptıkları işlemlerden doğan zararlardan müşterilerine karşı sorumlu tutulmaları gerekir.

Gerek bankaların, gerekse mahkemelerin, bu gerçeklerin artık farkına vararak anne kızlık soyadı teyidi gibi geleneksel yöntemleri bırakmalarının ve çağımızın koşullarına uygun yeni kimlik doğrulama vasıtalarını uygulamalarında esas almalarının çok acil olduğunu düşünüyorum.

Bu uygulamaların yol açabileceği zararların büyüklüğü bilindiği halde geleneksel yöntemlerin sürdürülmesini, herkesin görebileceği bu bariz sorunların hayati konularda görmezden gelinmesini hayretle karşılıyorum.

Bir Cevap Yazın