Tablet Üzerinden Atılan İmzaların Riski
Telekomünikasyon firmaları uzun zamandır müşterilerle olan işlemlerini tablet üzerinden gerçekleştirmektedirler. Sim kart çıkartma ve yenileme, cihaz taahhüdü, ev interneti bağlama gibi tüm işlemleri tablet üzerinden yaparak müşterilere kendi uygulamaları üzerinden imza attırmaktadırlar.
Tablet üzerinden kapasitif ekran uyumlu bir kalemle ya da bilgisayarlar üzerinden grafik tabletlerle atılan imzalar biyometrik imza olarak adlandırılmaktadır. Tablet üzerinden atılan imzaların teknik olarak kağıt üzerinde atılan imzalardan farkı yoktur fakat kağıda göre atılan imzaların aksine güvenlik riski çok büyük boyuttadır. Karıştırılan bir hususta tabletten atılan imza, bir elektronik imza türü değildir. Elektronik imza, sertifika ve kimlik doğrulama esasına dayanan sayısal elektronik veridir.
Turkcell, Superonline, Türk Telekom, Vodafone, Türksat, Digiturk gibi servis sağlayıcılar tabletten imza atılmasını kolaylık sağlama adına yaptığını belirtsede, büyük bir güvenlik riski oluşturmaktadır. Günümüzde dolandırıcılık vakalarının ve hacker gruplarının telekomünikasyon firmalarını hedef almasının ana sebeplerinden biriside, iki faktörlü doğrulama için telefon hatlarının kullanılmasıdır. Bu sebeple, dolandırıcılar ve siber saldırganlar telekomünikasyon firmalarını hedef hale getirmektedirler.
Tablet Üzerinden Atılan İmzalar Güvenilir Mi?
Tabletten imza atılmasının yarattığı sorunlardan birisi telekomünikasyon bayilerinin müşterilerin eline sözleşme ya da belgeyi okutma imkanı olmadan dikdörtgen bir kutucuğa imza atılmasının talep edilmesidir. Personeller genellikle içeriği göstermeden kutucuğu yakınlaştırarak kalemi uzatır ve bu hoş karşılanacak bir durum değildir. Müşteri sözleşmeyi okusa bile, imzanın aynı sayfaya ait olup olmadığı ve sonradan değiştirilmesi konusunda emin olmak zordur.
Kötü niyetli bir bayi çalışanı, tablet ile müşteriye başka bir sözleşme içeriğinin işlem sözleşmesi olduğunu gösterip sağ alt köşesine yer alan kutucuğa imza attırabilir, formu sonradan doldurabilir, tarafınıza iletilecektir şeklinde çeşitli söylemlerle oyalayabilir, imzayı kopyalama işlemlerini gerçekleştirebilir. Bunlar dolandırıcılık vakalarında sık kullanılan yöntemlerdir.
Tablet ve bilgisayar üzerinden atılan imzalar oldukça kolay bir şekilde kopyalanabilir. İmzanın olduğu alanı kopyalayarak, başka bir sözleşmenin altına ustalıkla anlaşılmayacak bir şekilde yapıştırılması teknik olarak mümkün olabilir. İmza orijinalliğini korurken konumunun değişmesinin tespit edilmesi zorlaşabilir. Kötü niyetli şahısların en çok kullandığı yöntemlerden biriside budur. Dijital imzaya dokunmadan farkı bir sözleşmeye ustaca monte edilen imza ile imza sahibi artık bilmediği bir sözleşmeye imza atmış olur. Böylece adına habersiz bir şekilde hat tanımlanabilir ya da cep telefonu taahhüdü yapılabilir. Mağdur, bu durumun kendisine ait olmadığını ispatlasa bile yıllarca mahkemede uğraşması yıpratıcı bir zaman kaybıdır.
Bayide çalışan kötü niyetli kişiler veya hacker saldırıları neticesind ele geçirilen müşteri verileri ve dijital imza ile saldırgan birçok dolandırıcılık yöntemini kolaylıkla yapabilir. Özellikle mağdurun hattını yenileyerek çift doğrulama ile yapılan bankacılık işlemleri dahil tüm hesaplarına erişim sağlayabilir. Genellikle bu yöntem keşif yapılarak iz bırakmamaya dayanır.
Verileri ele geçiren saldırganlar, imzayı gerekli kişisel verileri elde etmek ya da elektronik para şirketlerinde ve bitcoin borsalarında hesabı olan şahısların şifrelerini yenileyerek hesaplarını ele geçirmek ya da yeni hesaplar açarak illegal işlemler için kullanırlar.
Sonuç olarak,
Dijital imza geçerli olsada telekomünikasyon firmalarına bu konuda sınırlama getirilmeli ve bu tür imzalama yönteminden vazgeçilmesi sağlanmalıdır. Devlet kurumları ve yetkilileri gerekli önlemleri almadıkları sürece vatandaşın yapabileceği en iyi şeyse tablet ve grafik tabletler üzerinden katiyen imza atmamaktır. Kağıt üzerinden imza atabileceğini belirterek işlem yapmak müşterinin hakkıdır.
Bu konuların birçoğu maddi zarar olmadıkça hukuki sürece yansımamaktadır fakat bu konularda bir hayli şikayet ve dava mevcuttur. Bunlarla beraber kişisel verilerin ihlalinin söz konusu olduğu durumlara da tehlikenin boyutunu gözler önüne sermektedir.
Örnek olarak Vodafone bir vakasını KVKK’ya “Veri İhlali” bildiriminde şu şekilde bulunmuştur;
“Veri sorumlusu sıfatını haiz olan Vodafone Telekomünikasyon A.Ş. (Vodafone) tarafından Kurumumuza intikal ettirilen 10.06.2019, 13.06.2019 ve 17.06.2019 tarihli yazılarda özetle;
Vodafone’la yarı münhasır bayilik ilişkisi bulunan bir bayinin çalışanı tarafından MERNİS kullanıcı adı ve şifresinin üçüncü şahısla paylaşıldığı ihbarı alındığına,
İhbar üzerine Şirket tarafından suç duyurusunda bulunulduğuna,
Bayi çalışanı tarafından, GSM hattı abonesi olmak isteyen kişilerin verdiği kimlik fotoğraflarına ait ekran görüntülerinin kopyalandığına,
İhlalden etkilenen kişisel verilerin kimlik bilgileri olduğuna,
Kimlik bilgilerinin bayi çalışanı tarafından yasadışı bahis oynatan siteler için bazı kişilere satıldığına,
İhlal ile ilgili inceleme ve araştırmaların tamamlanmasının beklendiğinden ilgili kişilere herhangi bir bildirim yapılmadığına,
Elde edilen bilgilere göre ihlalden etkilenen kişi sayısının yaklaşık beş – altı bin civarında olduğuna,
yer verilmiştir.”
Yazarın Platformumuzdaki “Telefon Numaraları Klonlama Saldırıları” isimli diğer yazısını bağlantıdan okuyabilirsiniz.
Hukuk ve Bilişim Dergisi’nin Yeni Sayı’sını okumak için bağlantıya tıklayınız.
Yazar: Yalkın Dağdaş – Bilişim Uzmanı
http://linkedin.com/in/yalkindagdas
Hukuk ve Bilişim Dergisi ve Blog kısmımızda,
Bilişim Suçları
Blockchain ve Dijital Paralar
Yapay Zekâ ve Robot Hukuku
Elektronik Ticaret Hukuku
İnternet Hukuku
Kişisel Verilerin Korunması Hukuku
Start-Up Hukuku
E-Spor Hukuku
Fikri Mülkiyet Hukuku ve benzer teknoloji hukuku alanlarında yazılar okuyucularımıza sunulmaktadır.