[NetSec] Çalıntı Kredi Kartlar ile Bağış Yapılması.

85 views
Skip to first unread message

ma...@abdullahcetinkaya.com.tr

unread,
Aug 1, 2015, 10:51:21 AM8/1/15
to Liste
Bir Sivil Toplum kuruluşun online bağış sistemini 3dsiz işlemlere açtık
yurtdışındaki bağışcılar sorun yaşamasınlar diye. Gece yüktü bir
miktarda bağış yapıldı 20'e yakın kart ile 3dsiz ödeme yöntemi
üzerinden. Konudan kıllandık ve araştırma yaparken kart sahipleri banka
tarafından bilgilendirme mesajları üzerine bizi aramaya başladılar. Geri
ödemeleri yapıldı kart sahiplerine ama bu gibi sorunlarda hukuki olarak
bizim zarar görme durumumuz var mı? varsa ne gibi önceden önlemler
almamız gerekir.


Teşekkürler.
-------------------
Siber Güvenlik Yaz Kampı '15 - 24-29 Ağustos 2015 / Ankara

www.siberkamp.org

-------------------

Mustafa Kuşçu

unread,
Aug 3, 2015, 3:12:59 AM8/3/15
to li...@netsectr.org
Çalıntı kartlarla bağış yapmakla aklıma gelen herhangi bir fayda sağlanamayacak olduğundan, STK'nız, duruşu itibariyle hedef alınabilecek nitelikte ise, içinde hukuki boyutu da olan çok boyutlu, kurumunuzun itibarına yönelik bir saldırı gerçekleştirildiğini düşündürüyor.

Kart açısından, 3D secure olmayan işlemlerde, müşteri itiraz ederse banka itirazı değerlendirip müşteriye ödeme yapmak (chargeback) durumunda. Yalnız sizin örneğinizde bazı kişiler, STK'nızdan hoşlanmıyor iseler banka yerine sizi muhatap kabul edip hukuki işlem başlatabilirler. Ancak bir hukukçu olmadığımdan bu durumun gerçekçiliği açısından yorum yapamıyorum. Yine de ben olsaydım kaçınmak istediğim bir durum olurdu.

Alınabilecek teknik önlem olarak, birinci paragraftaki durum geçerliyse güvenliği elden geçirmek, detaylı logları korumak en faydalı işlem olacaktır. Ödeme politikalarıyla ilgili de birşeyler konuşulup çizilebilir ama ilgili detayların bu listenin konusu dışında olacağını düşündüğümden yazmadım.

Kolay gelsin,
iPad'imden gönderildi

1 Ağu 2015 tarihinde 13:27 saatinde, ma...@abdullahcetinkaya.com.tr şunları yazdı:

Yiğit Kozan

unread,
Aug 3, 2015, 3:32:09 AM8/3/15
to li...@netsectr.org

Genel sebep kart bilgilerinin geçerli olup olmadığını test etmek.

3 Ağu 2015 10:13 tarihinde "Mustafa Kuşçu" <mustaf...@gmail.com> yazdı:

Murad çevik

unread,
Aug 10, 2015, 6:11:17 AM8/10/15
to li...@netsectr.org
Yiğit beyin belirttiği gibi geçerli olup olmadığını test etmek ama neden hacker(lar) yüklü miktarda neden bir bağış yapsınlar acaba sizin sisteminiz üzerinde de bir zafiyet mi tespit ettiler ? 


3 Ağustos 2015 10:28 tarihinde Yiğit Kozan <yigit...@gmail.com> yazdı:

Aydın Yakar

unread,
Aug 14, 2015, 5:18:24 PM8/14/15
to li...@netsectr.org
Sanal pos üzerinden ülkeye göre 3D aktif edilebiliyor mu hatırlamıyorum ama oluyorsa IP bloğundan tespit edilip Türkiye IP blokları için zorunlu hale getirilebilir.

10 Ağustos 2015 13:07 tarihinde Murad çevik <mmura...@gmail.com> yazdı:
Reply all
Reply to author
Forward
0 new messages