Selamlar,
Hala 3D secure olmadan / zorlamayı bırakın seçeneği olmadan alışveriş 
yaptığımız siteler var. Puan kısmı bu sitelerin büyüklüğü, bilinirliği ve 
kullanım sıklığı yanında düşük bir risk gibi geldi..
PCI DSS in bu konuda da tüm bankaları dolayısıyla da tüm perakendecileri 
zorlaması gerekiyor bence. Bankalar irili ufaklı tüm kuruluşlara sanal pos 
veriyor birşekilde… Sadece transaction limitine bağlı kalmak, sadece belirli 
ürün ve markalar üzerinden pentest kabul etmek, sadece pentesti kabul etmek de 
son derece yetersiz…
Ruhumuz duymadan kart bilgilerimizin saklandığı, beyana dayalı bankalardan onay 
alınabildiği, güvenli olduğunu varsaydığımız sanal alışveriş ortamında 
yaşıyoruz.


Tuğba Öztürk
Bilgi Güvenliği ve Risk Müdür Yardımcısı
 [Açıklama: Açıklama: cid:[email protected]]
Teknosa İç ve Dış Tic. A.Ş.

From: Liste [mailto:[email protected]] On Behalf Of Umit GULER
Sent: Wednesday, October 26, 2016 10:58 PM
To: [email protected]
Subject: [NetsecTR] Garip bir sanal kart alışverişi

Merhaba,

Bugüne kadar internet üzerinden bir çok kez alışveriş yaptım ve hepsinde 
güvenlik nedeniyle sanal kart kullandım. Sanal kart ta yapacağım alışveriş 
kadar limit tanımlayıp alışverişimi tamamlıyordum. Sanırım listeye üye olan 
herkes de bu şekilde sanal kart ile alışveriş yapıyordur.

Bugün yaptığım bir alışveriş tecrübesi aslında sanal kartlarda kapatılması 
gereken bir güvenlik zaafiyeti olduğunu gösterdi. Sanal kartımda hiç limit 
tanımlamadan, sıfır limitle alışveriş gerçekleştirdim. Ödeme sayfasında sanal 
kart numaramı, son kullanım tarihini ve güvenlik kodunu girdim. Hemen sanal 
kartımın bağlı olduğu ana karttaki birikmiş puanlarımı getirdi. Puanla ödemeyi 
seçtim ve ödeme başarıyla gerçekleşti.

Birçok kişi belki zaten kartımda puan çok az bir güvenlik zaafiyeti değildir 
diyebilir ama kartında yüklü miktarda puan olan birisi için (seyahat puanları 
biriktirenler gibi) bir güvenlik zaafiyeti olarak görünüyor.

Açıklaması ne olursa olsun bence bu durum önlem alınması gereken bir 
zaafiyettir.

Geçici önlem;
Bankadan iki ayrı kredi kartı çıkartılır,
Biriken puanlar tek bir karta aktarılır,
Puan olmayan ana karta bağlı sanal kart ile güvenle(!) alışveriş yapılır

Not: Bu durum sadece puan ile alışveriş kabul eden siteler için geçerli

--
Umit GULER

Cevap