• sözünü edeceğim güvenlik açıklarının iki gün önce mağduru olduğum için (halen mağduriyetim sürüyor) bu konuyu dile getiriyorum. rezaleti mümkün olduğunca açık ve net olarak anlatmaya çalışacağım:

    google adwords'de bir kampanyamızı bundan 17 gün önce durdurmuştuk. 17 ocak perşembe günü akşam saatlerinde bu kampanya ile ilgili kredi kartımızdan 1.000 tl çekildiğini ve ardından 7.000 tl daha çekilmek istendiğini ancak kredi kartı limitinin yetersiz olması nedeniyle bu tutarın çekilemediğini bankadan gelen sms mesajı ile öğrendik. google adwords hesabımıza bağlandığımızda 36.500 tl'lik reklam harcamasının yapıldığını gördük. nasıl bir şok yaşadığımızı tahmin edebilirsiniz. gece saatlerinde google bir destek sağlamadığı için (gündüz saatlerinde de bir destek sağladığı söylenemez) dün sabah google canlı destek üzerinden sorunu google'a bildirdik. çıkarımlarımız ve değerlendirmelerimiz şöyle:

    1. biri ya da birileri bizim adwords hesabımıza girerek bir kampanyamızın ayarlarını değiştirmiş. başka bir açılış sayfasına yönlendirme yapmışlar. bizim çalışma alanımızla hiç ilgili olmayan bir alanda (telekom hizmetleri) çok sayıda anahtar sözcük seçmişler ve bu anahtar sözcükleri onaylatmışlar. ödeme eşiğini değiştirmeden, 36.500 tl'lik reklam yayını sağlamışlar. peki bunu nasıl yapmışlar? google hesabımızdan başka bir e-posta adresine yetkilendirme yapılmış. bu yetkilendirme ile ilgili addwords hesabımıza bağlı g-mail hesabına bir uyarı e-postası gelmediği gibi kullanıcı panelinde de bu yetkilendirmeye yönelik en ufak bir bildirim yok. oysa bir e-posta adresine farklı bir cihazdan bağlantı yapıldığında bile e-posta adresine google tarafından bir uyarı mesajı gönderiliyor. bu kadar ciddi bir yetkilendirmede (sözde) yetkilendirmeyi yapan hesaba ilişkin e-posta adresine bir bildirim ya da güvenlik uyarısı gitmemesi nasıl açıklanablir? ayrıca reklam verenin kullandığı panelde de böyle bir bildirim yok. google'dan bu yetkilendirme ile bir belgeyi bizimle paylaşmalarını istediğimizde böyle bir belgeyi bize (şimdilik) ilet(e)mediler.

    2. ödeme eşiği 500 tl olmasına karşın 5 - 6 saatlik bir zaman dilimi içinde 36.500 tl tutarında reklam yayını yapılmış. google addwords sistemi demek ki kısa bir süre içinde ödeme eşiği aşılırsa bunu fark edemiyor ve reklamları durduramıyor. bu çok ciddi bir açık. yani örneğin 1.000 tl limiti olan bir kredi kartı kullanılarak 36 kat bir bütçe harcanabiliyor. kredi kartı limiti 10.000 tl olsaydı aynı zaman dilimi içinde 300.000 - 400.000 tl tutarında reklam yayını yapılabilecekti. oysa yazılımsal olarak bu kontrolu yapmak son derece kolay. söz konusu günlük reklam bütçesi bizim yıllık reklam bütçemizin bile çok üstünde. hiç bir kontrole takılmamış.

    3. girilen anahtar sözcükler site içeriği ile tamamen alakasız olmasına karşın google bunu fark etmemiş. daha doğrusu zamanında fark etmemiş. girilen ilk reklam onay almış. ancak neredeyse aynı içeriğe sahip olan ikinci reklam, alaka düzeyinin düşük olması nedeniyle onaylanmamış. madem alaka düzeyine ilişkin böyle bir kontrol var neden birinci reklamda bu kontrol yapılmazken onay talebinde bulunulan ikinci reklam bu kontrole takılmış? geç yapılan, iş işten geçtikten sonra yapılan kontrolün kime ne faydası olabilir?

    4. bu kadar yüksek bir bütçe için verilen açılış sayfası blogspot üzerinde bir sayfa. reklam durdurulduğunda dolandırıcılar bu sayfayı da kapatmışlar. blogspot üzerindeki bir sayfa için böyle büyük bir reklam bütçesinin harcanması google'ın kontrollerine takılmamış.

    5. telekom sektörüne yönelik yayınlanan bu reklamlar 1. sayfada tükiye'nin en büyük telekom firmalarının reklamlarından daha üstte daha önde yayınlanmış. böyle bir sayfa için 4- 5 tl'lik bir tıklama başına maliyet seçilmiş olması ne yazık ki google'ın hiçbir kontrolüne takılmamış. bu da, bu durumdan google'ın büyük kurumsal müşterilerinin de ciddi zarar gördüğü anlamına geliyor. bu işi yapanlar şu açıktan faydalanmışlar: eğer bütçe tükenmek üzereyken tekrar yenilenir ve yükseltilirse bu durum google'ın kontrolünden kaçıyor. google kontrolü ilk belirlenen tutar üzerinden gerçekleştiriyor.

    6. bu tür sorunlarla ilgili google türkiye destek vermiyor. google türkiye telefonuna bağlı elektronik sesli yanıt sistemi google'ın kendi verdiği hesap numarasının geçersiz olduğu yönünde bir bildirimde bulunuyor. yani google türkiye google irlanda'nın verdiği hesap numarasını geçersiz olarak görüyor.

    7. google chat'de yapılan yazışmayı gerçekleştiren google görevlileri yazılı olarak bu güvenlik açıklarını teyid ediyorlar. bu durum google canlı sohbet kayıtları ile belgeleniyor.

    8. domain search ile yetkilendirme yapıldığı söylenen e-posta adresinine ilişkin domain sahibine ulaştık. kendisi böyle bir yetkilendirme almadığını kendisinin de bizim gibi bir adwords müşterisi olduğunu söylüyor. kendisinin de bu sorunla ilgili google ile iletişime geçtiğini. bu demek oluyor ki biz yetki vermemişiz, yetkilendirme aldığı söylenen e-posta adresinin sahibi yetkilendirme almadığını söylüyor. ancak google'a göre böyle (şimdilik belgelendirilemeyen) bir yetkilendirme var. bunun nasıl mümkün olduğunu tahmin etmek çok güç.

    bu kadar önemli bir sorunla ilgili olarak google canlı sohbetin kullanılması ve ısrarla talep etmemize karşın google'dan hiç kimsenin bizi aramaması dünyanın en büyük firmalarından birinin sahip olması gereken kurumsal yaklaşımla hiç örtüşmüyor. bu sorun yüzünden bir gece uykusuz kaldık, 2 gündür işe gidemedik ve dahası hesabımızdan kesilen 1.000 tl'yi geri alabilmek için uzunca bir süre mücadele etmemiz gerektiği anlaşılıyor. ayrıca bizim hiçbir ihmalimizin olmadığı bu sorun yüzünden savcılığa suç duyurusunda bulunmamız, yine işimizi gücümüzü bırakıp bunlarla uğraşmamız gerekiyor. ayrıca güvenlik nedeniyle google hesabına bağlı kredi kartını iptal ettirdik. yeni kartın elimize geçmesi sürecinde kredi kartı kullanamayacağız. benzer bir sorunu yaşamamak için google'da olan diğer kampanyalarımızı da durdurmak zorunda kaldık. bu da bizim gibi küçük işletme için çok ciddi bir gelir kaybı anlamına geliyor.

    google adwords forumuna girildiğinde başka kişilerin de aynı güvenlik açıklarının kurbanı olduğu anlaşılıyor. yine aynı şekilde bu kişiler google'dan bir yanıt alamadıklarını söylüyorlar.

    son olarak, e-posta hesaplarımız ya da sitemiz hack'lenmedi. google adwords hesabımıza girerek bu dolandırıcılığı gerçekleştiren kişiler hesap bilgilerini başka bir kaynaktan ele geçirmiş olmalılar. bu da hesap bilgilerinin google'dan ele geçirildiği şüphesini uyandırıyor.

    hem dolandırıcılar için hem de güvenlik açıkları nedeniyle google için 22 ocak 2018 pazartesi günü savcılığa bir suç duyurusunda bulunacağız. bu girişimden önce google'dan bir cevap gelmesini bekledik ancak bir cevap gelmedi.

    google adwords kanalıyla reklam verenlerin hesaplarının güvende olmadığı konusunda endişemi de burada paylaşmak istiyorum.

    24 ocak 2018 edit1:
    bu başlığa cevap yazan arkadaşlardan biri mağduriyette reklam verenin ihmali olduğuna dair bir yorum yazmış. oysa hem kredi kartımıza hem e-posta adreslerimize ilişkin tüm güvenlik önlemleri profesyonel düzeyde alınmış durumda. olayda hiç bir şekilde bizim tarafımızda bir güvenlik açığı yok. bir hack'lenme ya da bizden bir bilgi alınması ya da sızdırılması söz konusu değil. bu dolandırıcılık ancak birtakım bilgilerin google'da çalışan kişi ya da kişilerle bir işbirliği sonucu gerçekleştirilmiş gibi görünüyor.
    bugün google türkiye ile iletişime geçmeyi başardık. telefonda bizimle konuşan görevli durumun araştırıldığını ve süreç sonucunda bizim faydalanmadığımız bir hizmetten sorumlu tutulamayacağımızı söyledi. konuşmadan anladığımız kadarıyla bu dolandırıcılık vakası google tarafında da ciddi bir kaygı yaratmış görünüyor.

    7 şubat 2018 edit2:
    20 gündür google’dan tek bir resmi yanıt yok. savcılıklara yapılan suç duyurusu sayısı yirminin üzerinde. bu dolandırıcılığın ancak google’da çalışan birinden destek alınarak yapılabileceği kesin. burada üç kuruşluk aklıyla yorum yapan ve suçu ya da ihmali mağdurlarda bulan ergen moron yazarlara da önemli not: yazılanları okumadan ukalalık sıçmayın. hesabımda en ufak bir güvenlik açığı yok. google da dolandırıcılığın insider bağlantısının farkında.
10 entry daha
hesabın var mı? giriş yap