Visa ve mastercard gibi büyük ödeme sistemlerinin ve bankaların, kredi kartı güvenliği ile ilgili büyük umutlar bağlayıp yatırım yaptığı chip&pin uygulaması’nın güvenliği daha 5 sene geçmeden tartışma konusu oldu.
Radikal’de yayınlanan bu habere göre, kredi kartları güvenliğinde yeni bir dönem için kilometre taşı olduğu iddia edilen chip & pin uygulamalarında kullanılan şifreleme sistemlerinin ne kadar güvenliği olduğunu sorgulamaya başlamanın zamanı gelmiş. İngiliz polisi, müşterilerin kredi kartlarındaki çip içerisinde yer alan bilgileri okuyan teknoloji geliştiren organize suç çetesini brimingham kentinde yaklamış. Habere göre çetenin, akaryakıt istasyonu ve alışveriş merkezlerinden alışveriş yapan müşterileri hedef alarak, kendi geliştirdikleri kart okuma cihazı ile kart bilgilerini kopyaladıkları ortaya çıktı. Daha önce Garanti Bankası’nın bonus trink kartının ve benzer uygulamaların kart bilgilerinin ne kadar güvenli olduğunu sorguladığımız yazımızda da BKM’nin yoğun kampanyalar ile desteklediği chip & pin uygulamasının güvenlik açısından bazı sakıncalar içerdiğini paylaşmıştık. Chip & pin projesi ilk tasarlandığı dönemde network ağları günümüzdeki kadar gelişmemişti. İnternet popülerliğini artması ve yaygınlaşması ile beraber network ürünlerinde kullanılan teknolojiler gelişti ve maliyetler büyük ölçüde düştü. Dolayısıyla Chip & Pin projesinin tasarımı esnasında, işlemin güvenlik teyidi olarak kullanılacak şifrenin pin çip üzerinde şifreli olarak saklanması fikri fazla tepki görmeden hemen benimsedi. Özellikle süreç anlatılırken bir arada kullanılan 16 bit ve encryption şifreleme gibi kavramlar, katılımcıların güvenlik konusunda ekstra tedbirli olmasına engel oldu.
Şifreleme ve çipler hakkında bilmeniz gerekenler en temel bilgi, şifrelemenin yapıldığı standartta kullanılan bit sayısı arttıkça, şifrenin kırılma olasılığının da azaldığıdır. 16 bit şifrelemenin kırılma olasılığı 128 bit şifrelemenin kırılma olasılığından 8 kat fazladır. Türkiye’de kullanılan kredi kartlarındaki çiplerin kapasitesinin ağırlıklı olarak 4 bit civarında olduğunu düşünürseniz, bu bankaların bu kredi kartları üzerinde saklamayı tercih ettikleri kart numarası ve şifreyi ne kadar kırılmaz şekilde şifreyebileceklerini siz hayal edin.
Eski nesil manyetik bantlı kredi kartlarının üzerinde şifre saklanmadığı için, bu kartlar merkezden onay alınarak kullanılıyordu. Bu durumda tüketici şifresini ortalık yerde saklamadığı sürece, kart bilgileri kopyalansa dahi kredi kartı ile ATM’den izinsiz nakit çekimi yapılamıyordu. Yeni uygulamada ise hem kart bilgileri kart numarası son kullanma tarihi kartın üzerindeki çipte saklanıyor. Bununla beraber müşterinin ATM ve alışverişlerde kullandığı şifresi de aynı çip üzerinde şifreli bir şekilde saklanıyor Dolayısıyla kötü niyetli bir kişinin doğru ekipman ve bir bilgisayar yardımıyla bu şifreli bilgileri birkaç saniye içerisinde deşifre etmesi ve CVV bilgisi haricindeki tüm bilgileri kopyalaması oldukça kolaylaştırıyor.
Kredi kartı şirketleri ise, kredi kartına ait şifre bilgisinin kötü niyetli kişilerce ele geçirilmesi durumunda tamamiyle kart sahiplerini sorumlu tutuyor. Siz ne düşünürsünüz bilmiyoruz ama bu durum bilgileri deşifre eden programı yazması ve bunu basitçe açıklayan bir dökmantasyon ile internet koyması durumunda tüm dünyadaki çipli kartlar risk altına girmiş olur. Bu konuda doğabilecek mağduriyetler konusunda kazanılmış bir örnek dava olmadığı için de özellikle türk tüketciler risk altında.