Son Yazılar
#Hello world! #Formula 1 Terimleri #2024 Avrupa Şampiyonası #Ünlü Yazılım Firmaları #Ücretlendirme Periyodu Nedir? #GPT-4o: Yapay Zeka ile Etkileşim Yeni Bir Boyuta Taşınıyor #2024 / 2025 Fenerbahçe Fikstürü Çekildi #Crowdstrike Güncellemesi Krizi: Siber Güvenlikte Zor Anlar #Lulus Patisserie: Sapanca’da Gastronomik Bir Cennet #Gümüşhane’nin Tarihi Hazineleri: Santa Harabeleri ve Taş Köprü

Garanti BBVA Mobil Uygulaması çöktü: İşte Olayın Arkası, Güvenlik Açıkları ve Beklentiler

Garanti BBVA Mobil Uygulaması çöktü: İşte Olayın Arkası, Güvenlik Açıkları ve Beklentiler
İş Dünyası Teknoloji Yazılım

Geçtiğimiz gün, Türkiye’nin önde gelen bankalarından Garanti BBVA’nın dijital kanalları yaklaşık 12 saat boyunca kullanılamaz hale geldi.
Kullanıcılar giriş yaparken kritik hatalarla karşılaştı ve Garanti BBVA mobil uygulamasına giriş mümkün olmadı.
Peki bu kesintinin arkasında ne vardı?
Banka hatalar ile ilgili teknik açıklama yapmadığı için burada kesin fikir belirtmek mümkün değil. Gelin hem hatalara hem de olası sonuçlara tarafsız ve şüpheci bir gözle bakalım.

Garanti BBVA Mobil Uygulama Sorunları: Teknik Hatalar Ne Diyor?

garanti bbva

Kullanıcılar uygulamaya giriş yapmak isterken yukarıdaki ekran görüntüsündeki hatayı aldılar. Burada dikkat çeken kısım ise aşağıdaki kod kısmı:

pgsqlKopyalaDüzenlejava.lang.IllegalStateException: The method is called on an invalidated session: overflowed-session

Bu hata doğrudan oturum (session) yönetiminde ciddi bir problem olduğuna işaret ediyor.

Buradan görünen senaryo; Garanti BBVA mobil uygulaması, geçersiz hale gelen kullanıcı oturumlarına işlem yapmaya çalıştı. Bu durum, sistem genelinde oturum taşması (overflow) problemine yol açtı. Hatalar, zincirleme şekilde uygulama katmanını kilitleyerek, kullanıcının uygulamaya erişimini engelledi gibi görünüyor.

Bu tür bir hata, özellikle Java tabanlı uygulamalarda ve özellikle IBM WebSphere Liberty gibi güçlü sunucu altyapılarında IllegalStateException hatasına yol açar. Oturumların yanlış yönetilmesi, oturumları yöneten backend sistemlerinde Garbage Collection (GC) süreçlerinin doğru tetiklenmemesi veya session invalidation mekanizmasının hatalı çalışması gibi çeşitli sebeplerden kaynaklanabilir.

Garbage Collection süreçleri düzgün çalışmadığında, kullanılmayan oturum verileri bellekte birikerek oturum taşmalarına neden olabilir. Bu da, oturumun geçersiz hale gelmesine ve sonuç olarak IllegalStateException hatasının fırlatılmasına yol açar. Ayrıca, oturum geçerliliği sona erdiğinde oturum invalidation mekanizmasının doğru şekilde işlememesi de bu tür hataların oluşmasına sebep olabilir.

Özetle, oturum yönetiminde yaşanan bu arıza, milyonlarca kullanıcının aynı anda işlem yaptığı bankacılık uygulamaları gibi yüksek trafik alan sistemlerde çok daha ağır sonuçlara yol açabilir. Bu tür bir hata, kullanıcı deneyimini ciddi şekilde olumsuz etkiler ve güvenlik risklerini de beraberinde getirebilir. Oturum yönetimi, özellikle kritik uygulamalarda, her zaman dikkatle izlenmeli ve test edilmelidir.

Garanti BBVA’nın IBM Teknolojileri Kullanımı: Tivoli ve Federated Identity Manager

Garanti BBVA, kimlik yönetimi ve oturum doğrulama süreçlerinde IBM Tivoli Federated Identity Manager (FIM) altyapısını kullandığını tahmin ediyoruz.

Bu sistem:

  • Tüm dijital kanallar arasında merkezi oturum kontrolü sağlıyor.
  • Tek oturum açma (SSO) mekanizması üzerinden müşteri deneyimini yönetiyor.
  • Kimlik bilgilerini ve kullanıcı izinlerini federatif bir yapıda tutuyor.

Ancak bu tarz merkezi sistemler, hatalı çalıştığında tüm dijital işlemlerin durmasına neden olabiliyor. “Tekil hata noktası” (SPOF) riskini artırıyor.
Dolayısıyla Garanti BBVA’nın bu altyapısının yaşanan kesinti ile doğrudan ilişkili olması kuvvetle muhtemel.

IBM Güvenlik Bülteni ve Garanti BBVA Kesintisi İlişkili mi?

Bu olaydan sonra IBM, WebSphere ürünlerinde tespit edilen güvenlik açıklarına ilişkin bir güvenlik bülteni yayımladı. Bülten linki
Bu bültende; bellek tüketiminde kontrolsüz büyüme (memory leak) ve hizmet reddi saldırılarına (DoS) karşı zafiyetler belirtildi.

Şu an için Garanti BBVA’nın yaşadığı kesinti ile IBM güvenlik açıkları arasında doğrudan bir bağlantı olduğunu söylemek mümkün değil. Ancak tarihin olaydan sonra olması ve Tivoli gibi IBM ürünlerinin bu bülten kapsamındaki servisleri kullandığı düşünülürse, dolaylı etkiler göz ardı edilmemeli.

Özellikle patch yönetimi eksikliği, güncel olmayan sistem bileşenleri gibi faktörler zincirleme arızalara kapı aralayabilir.

Bankadaki Borçlar Silinir mi?

Bu tür büyük sistemsel kesintiler yaşandığında kamuoyunda sıkça dile getirilen sorulardan biri, “Acaba borçlarımız silinir mi?” oluyor. Ancak bunun cevabı oldukça net: Hayır, böyle bir ihtimal yok.

Bankalar, verilerini yalnızca tek bir sunucuda saklamaz. Aksine, Aktif-Aktif ve Aktif-Pasif veri merkezleri arasında sürekli çalışan yedekleme sistemlerine sahiptirler. Ayrıca, olası bir felaket durumunda kullanılmak üzere tamamen farklı coğrafi bölgelerde konumlanan offsite repository yedeklemeleri oluştururlar. Üstelik bu veri merkezleri, müşteri bilgilerini ve hesap hareketlerini gerçek zamanlı olarak kopyalayarak sürekli güncel tutar.

Bu nedenle, bir sistem hatası veya erişim kesintisi yaşandığında, borçların silinmesi, kredi kayıtlarının kaybolması ya da hesap bakiyelerinin sıfırlanması gibi bir durumun ortaya çıkması teknik olarak bile mümkün değildir. Bankacılık sektöründe bu tür verilerin korunması için çok katmanlı güvenlik ve yedekleme protokolleri uygulanır.

Sonuç olarak, sosyal medyada yayılan “borçlar silindi” gibi söylentilere kulak asmamak gerekir. Gerçeklik, bankacılık altyapısının sağlam yapısında yatıyor.

Son Söz;

Bu yaşanan olay bize gösterdi ki, bankacılık gibi kritik sektörlerde, görünüşte küçük bir hata bile tüm dijital sistemleri saatlerce işlevsiz hale getirebiliyor. Özellikle merkezi kimlik yönetimi gibi sistemler, kullanıcı deneyimini kolaylaştırırken, aynı zamanda ciddi güvenlik ve erişim risklerini de beraberinde taşıyor.

Ayrıca, resmi açıklamalarda teknik detaylar paylaşılmadığında, olayların ciddiyetine ve kapsamına şüpheyle yaklaşmanın önemli olduğunu bir kez daha anladık. Şeffaflık ve doğru bilgilendirme, kriz anlarında hem kurumlar hem de kullanıcılar için hayati bir gereklilik haline geliyor.

Bir diğer önemli ders ise bankacılık sektöründe felaket senaryolarına hazırlıklı olmanın artık bir tercih değil, mutlak bir zorunluluk olduğu gerçeği. Yedekleme, sistem sürekliliği ve hızlı müdahale planlarının eksiksiz olması, böylesi kritik anlarda fark yaratıyor.

Şimdi gözler, hem Garanti BBVA’nın hem de sektördeki diğer oyuncuların bu ciddi kesintiden ne gibi dersler çıkaracağına çevrilmiş durumda. Tabi burada BDDK’ya da çok büyük iş düşüyor. Banka gibi BDDK’nın da olayı şeffaf bir şekilde kamuoyu ile paylaşması gerekiyor.

Banka teknik bir açıklama yapılmadığı için bu yazıdaki her şey fikir belirtmek için senaryolardan ibarettir.

Hikmet Tüfekçi

Merhaba, ben Hikmet Tüfekçi. Bu siteyi açma sebebim de bir yazı alışkanlığı yakalamak ve güncel konular hakkında bilgi vermektir. Benimle iletişime geçmek isterseniz iletişim sayfasından formu doldurabilirsiniz.

Önceki Gönderi WordPress Brute Force Saldırılarını Önleme Yöntemleri
Sonraki Gönderi Beykoz’da İstanbul Kelebek Çiftliği Deneyimimiz: Giriş Ücreti, Ulaşım ve Tüm Detaylar

Yorumunuzu Bırakın

Son Gönderiler

Son Yorumlar