Apple hediye kartları güvenli mi?

 (daringfireball.net)
1 puan yazan GN⁺ 2025-12-19 | 1 yorum | WhatsApp'ta paylaş
  • Bir kullanıcı, manipüle edilmiş 500 dolarlık bir Apple hediye kartını redeem ettikten sonra Apple hesabının kilitlendiği ve tüm içerik erişimini kaybettiği bir olay yaşadı
  • Söz konusu kart büyük bir fiziksel perakendeciden satın alınmış, orijinal gibi görünen bir ürün olmasına rağmen, kullanımın hemen ardından hesap devre dışı bırakıldı ve iCloud ile App Store satın alma geçmişinin tamamı kayboldu
  • TidBITS'ten Adam Engst, bu tür riskler nedeniyle “Apple hediye kartlarına fiilen dijital kötü amaçlı yazılım gibi davranmak gerekir” diyerek satın alma ve kullanımdan kaçınılması çağrısında bulundu
  • Apple'ın Executive Relations ekibi olayı inceledi, ancak hesabın neden devre dışı bırakıldığı ve geri yükleme süreci şeffaf değildi; hesap daha sonra bir hafta içinde geri açıldı
  • Bu vaka, Apple hediye kartlarının güvenilirliği ve hesap güvenliği sisteminin şeffaf olmaması konusunda endişeleri ortaya koyuyor

Paris Butterfield-Addison'ın Apple hesap kilitlenmesi olayı

  • Butterfield-Addison, büyük bir perakendeciden 500 dolarlık bir Apple hediye kartı satın alıp kullandıktan sonra Apple hesabının kilitlendiğini ve tüm medya satın alma kayıtlarıyla iCloud erişiminin engellendiğini bildirdi
    • Bu olayı kendi blogunda paylaştı; Daring Fireball, Michael Tsai, Nick Heer, AppleInsider, The Register gibi birçok yayın da haberi aktardı
    • Apple'ın Executive Relations ekibi olayı inceledi, ancak ilk aşamada hesabın geri açılması ya da nedenine dair bir açıklama yapılmadı
  • Gruber, 500 doların nispeten yüksek bir tutar olmasının sorunun bir parçası olabileceğini söyledi, ancak Apple resmî bir gerekçe açıklamadığı için bunun doğrulanamadığını belirtti
    • Apple, ABD'de hediye kartı üst limitini 2.000 dolarla sınırlıyor, bu nedenle 500 dolar başlı başına olağandışı bir tutar değil

Apple hediye kartlarının güvenliği tartışması

  • TidBITS'ten Adam Engst, “manipüle edilmiş bir hediye kartı kullanılırsa hesap kilitlenebilir” diyerek, Apple hediye kartı satın almaktan kaçınılması ve risklerin geniş çapta duyurulması gerektiğini savundu
    • Bunu “dijital Rus ruleti”ne benzetti ve hediye olarak vermenin de riskli olduğu uyarısında bulundu
  • Gruber, bu olaydan sonra hediye kartlarını yalnızca doğrudan Apple Store'da kullanacağını ve Apple hesabına bağlı satın alımlarda kullanmayacağını söyledi
    • Dolandırıcılık yöntemlerinin giderek daha sofistike hâle geldiğini belirterek, kartın kaynağı güvenilir görünse bile bunun tam güvenlik garantisi vermediğini vurguladı

Hesap devre dışı bırakma ve geri yükleme sürecindeki şeffaflık sorunu

  • Gruber, Apple'ın hesabı devre dışı bırakma kararının insan değerlendirmesiyle mi yoksa otomatik dolandırıcılık tespit algoritmalarıyla mı alındığının belirsiz olduğunu belirtti
    • “Apple içinde tek bir düğmeyle hesabı geri yüklemek mümkünmüş gibi görünüyor, ama pratikte öyle değil” dedi
  • Hesabın geri yüklenememesi durumunda, Apple'ın kullanıcının tüm satın alımlarını iade edip yeni bir hesap açtırma yoluna gidebileceğini öne sürdü
    • Böyle bir süreç, kullanıcı verilerinin ve satın alma geçmişinin kalıcı olarak kaybedilmesi riskini barındırıyor

Olaydan sonraki gelişmeler

  • Yazı yayımlandıktan hemen sonra, Butterfield-Addison Apple Executive Relations ekibindeki bir yetkili tarafından hesabının geri açıldığını duyurdu
    • Hesap geri açılmış olsa da, neden kilitlendiği ve çözümün neden bir hafta sürdüğü hâlâ açıklığa kavuşmuş değil
  • Gruber, olay çözülmüş olsa bile “Apple hediye kartı redeem etmenin ne kadar güvenli olduğu” sorusunun temelde yanıtsız kaldığını belirtti

Kalan sorular ve çıkarımlar

  • Bu vaka, Apple hediye kartı sistemindeki zafiyetleri ve hesap yönetimi süreçlerindeki şeffaflık eksikliğini ortaya koyuyor
  • Normal satın alma kanallarında bile hesap kilitlenmesinin yaşanabileceğinin görülmesi, kullanıcı güvenini etkiliyor
  • Apple'ın iç güvenlik ve müşteri destek yapısının otomasyona aşırı bağımlı olup olmadığı başlıca tartışma başlıklarından biri hâline geliyor

İlgili okumalar

1 yorum

 
GN⁺ 2025-12-19
Hacker News görüşleri

  • Bu olay birçok konuyu akla getiriyor. Apple/iCloud hesabının günlük hayat için vazgeçilmez olduğu bir dönemde, hesabın bu kadar kolay askıya alınabilmesi ciddi bir sorun
    Mesajlar, Apple Wallet, dijital kimlikler, abonelikler, medya satın alımları gibi her şeye erişim bir anda kesilebilir. Sadece “teknolojiye bu kadar bağımlı olmayın” demektense, böyle durumları önleyecek mekanizmalar gerektiğini düşünüyorum
    Ayrıca boşanma ya da ayrılık durumunda satın alma geçmişini bölüşmeye yarayan bir özellik yok; aile hesabından ayrılmak ya da bir çocuğu birden fazla aileye atamak da mümkün değil. Apple’ın bu tür gerçek hayattaki senaryoları daha iyi ele alması gerekiyor

    • Mevcut hizmet seviyesi 25 yıl öncesinden pek farklı değilmiş gibi geliyor. Eskiden e-postanı kaybetmek çok büyük mesele değildi ama bugün tek bir hesap yüzlerce önemli hizmetle bağlantılı
      Buna rağmen müşteri destek personeli neredeyse hiç artmadı ve sistem büyük ölçüde sadece SSS okuyan dış kaynak çağrı merkezlerine dayanıyor
    • Apple ve Google hesapları çok önemli ama dolandırıcılar günde binlercesini oluşturabiliyor. Bu yüzden toplam hesapların kayda değer bir kısmı muhtemelen sahte hesap
      Gerçek kullanıcılar spam istemediği için Apple’ın kötü niyetli hesapları hızla engellemesi gerekiyor. Ama aynı zamanda normal hesapları da koruması gerektiğinden burada bir denge lazım
      Eğer Apple hesap engellemelerini gevşetirse, bunun bedeli olarak daha güçlü kimlik doğrulama gerekir. Yani hesapları daha güvenli tutmak için gözetim düzeyi de kaçınılmaz olarak artar
    • iCloud’un abartılmış bir hizmet olduğunu düşünüyorum. Uzun süre saklanan veriler için şifreleme bile yoktu. Ben Time Machine ve bir parola yöneticisi kullanıyorum, yedekleri de kasada tutuyorum
    • Fotoğraflarımın çoğunun Google Photos’ta olması beni tedirgin ediyor. Amazon ya da iCloud ile çift yedekleme yapmam gerektiğini hissediyorum
    • Google da benzer şekilde verimsiz. Kişilerimde kayıtlı birini tamamen engellemenin yolu yok. Eski kurucu ortağımla yollarımı ayırdıktan sonra, aynı adı taşıyan bir arkadaşımla çalışırken otomatik tamamlama yüzünden sorun yaşamıştım. Gerçek hayatta böyle bir ilişki koparma özelliği şart

  • Hediye kartlarının meşru kullanımı ile dolandırıcılık amaçlı kullanımı arasındaki sınırın çok dar olduğunu düşünüyorum. Eskiden kredi kartı puanı biriktirmek için manufactured spend denemiştim ve bu neredeyse kara para aklama gibi görünüyordu
    Belirli hediye kartlarıyla puanı iki kez kazanıp hemen nakde çevirmek mümkündü. Sonunda bu açık kısa sürede kapatıldı

    • Ben de eskiden benzer bir yöntemle havayolu milleri biriktirip Avrupa gezisine gitmiştim. Ön ödemeli Visa kartlarıyla money order alıp tekrar yatırarak puanları sonsuz döngüye sokuyordum. Kasiyerlerin bana şüpheyle baktığını hatırlıyorum
    • Aslında kara para aklamadan pek farkı yok. Tek fark, ortada yasa dışı para olmaması. Yasallık ile yasadışılık arasındaki ayrım sadece niyete bağlı
    • Üstelik meşru görünen hediye kartları bile dağıtım zincirinin bir yerinde zaten dolandırıcılıkla ilişkilendirilmiş olabilir. Mağdur kişi bildirim yaptığında, hiçbir suçu olmayan kullanıcılar da zarar görebilir

  • Olayın çözülmesine sevindim ama hâlâ çok soru var

    1. Neden sorunlu bir hediye kartını hesaba tanımlamak tüm hesabın askıya alınmasına yol açıyor
    2. Neden medya ilgisi olmadan destek almak mümkün olmuyor
    3. Şirketlerin müşteri desteği veremeyecek kadar büyümesini sınırlamak gerekip gerekmediği
      Bankalar bu tür sorunları daha kademeli ele alır ama Facebook gibi platformlar hesabı bir gün içinde kalıcı olarak kapatabiliyor
    • Bankalar yasal olarak müşterinin parasını kalıcı olarak donduramaz ve kimlik doğrulama süreçleri de nettir. Buna karşılık çevrim içi hesaplarda neredeyse hiç yasal düzenleme yok ve çoğu zaman kimlik bilgisi de toplanmıyor
    • Ama bankalar da bazen sebepsiz yere hesap donduruyor. Sadece şanslıydınız; bu herkesin başına gelebilir
    • Apple’ın kullanıcıyı suçlu sanmış olma ihtimali yüksek. Ama neden gerçek fail yerine mağdurdan şüphelenildiğini anlamak mümkün değil. Sorun ölçekten çok müşteriyi umursamama kültürü gibi görünüyor
    • Belki de isimde Butt gibi bir kelime geçtiği için otomatik filtreleme algoritmasına takılmış olabilir. Yine de temel bir açıklama yok

  • İlgili yazı: Apple has locked my Apple ID, and I have no recourse — 1730 puan, 1045 yorum

  • Meselenin özü sahte bir sahiplik hissi. İnsanlar hesaplarına ve verilerine sahip olduklarını sanıyor ama gerçekte durum öyle değil. “Satın alma” ifadesinin kendisi bile yanıltıcı. Hukuken buna “kiralama” ya da “sınırlı kullanım hakkı verilmesi” denmeli

    • Apple hesabı oluştururken zaten kullanım şartları hesabın her an kapatılabileceğini söylüyor. “Sahiplik” kavramından çok, tüketici hakları bildirgesi benzeri bir düzene ihtiyaç var. Meşru kullanıcıların hesap kapatılmasına itiraz etme hakkı olmalı
    • Bence tam tersine, hukuk gerçek anlamda “satın alma”yı güvence altına almalı. Vatandaşların haklarını zayıflatan yönde ilerlemek doğru değil

  • Artık aileme Apple hediye kartlarının riskli olduğunu ve kullanılmaması gerektiğini söyleyeceğim. Kaynağı açıklamak da zor olduğundan, tamamen yasaklamak en güvenlisi gibi görünüyor

  • Bu açıkça güvenli olmayan bir hediye kartı. Bu olay, dijital ekosisteme ne kadar bağlı olduğumuzu gösteriyor. Eskiden hiç düşünmeden “Login with Google/Apple”a basıyordum, şimdi iki kez düşünüyorum

    • Bir Apple çalışanı, “hediye kartlarını mutlaka doğrudan Apple’dan alın” tavsiyesinde bulundu. En gerçekçi çözüm bu gibi görünüyor
      Sonuçta perakende mağazalarda satılan hediye kartları dolandırıcılar için yem olmaktan öteye gitmiyor. Hatta bu ürünü satan perakendeciye karşı küçük talepler mahkemesinde dava açılabileceğini düşünüyorum
    • Ben önemli hesaplarda asla sosyal giriş düğmelerini kullanmıyorum. Sadece tek kullanımlık hesaplarda kullanıyorum

  • Perakendeciler açısından da bunun zor bir mesele olduğunu düşünüyorum. Çünkü hediye kartları ödeme dolandırıcılığında bir numaralı araç. Çalıntı kartlarla nakit gibi kullanılabildiği için risk sistemleri son derece hassas tepki veriyor
    Ama bu, müşterinin uğradığı zararı görmezden gelmek anlamına gelemez

    • O zaman basitçe hediye kartı satışını durdursunlar
    • Bazı mağazalar hediye kartlarını yalnızca nakitle satın aldırıyor. Tam çözüm değil ama bir tür tampon önlem
    • Ben bu mantığa katılmıyorum. Patrick McKenzie’nin dediği gibi, “dolandırıcılığın optimal seviyesi sıfır değildir” diye bir kavram var. Tüm dolandırıcılığı engellemeye çalışırken müşteri zararını daha da büyütmek yanlış
      Şirketler belli bir dolandırıcılık seviyesini maliyet olarak üstlenmeli. İlgili yazı
    • Apple hem satın alma kartını hem de kullanıcıyı izleyebilir. Sorun, yanlış pozitif üreten algoritmaların normal kullanıcıları da engellemesi

  • Ünlü biri olduğu için çözüldü ama sıradan insanların böyle bir sorunu çözme şansı yok. Teknik nedeni anlamak, yazı yazmak, bunun medyada yayılması ve PR ekibinin devreye girmesi gerekiyor
    Sonuç olarak Apple ve Google veri emanet edilecek kadar güvenilir yerler değil

    • Ben de Steam’de benzer bir şey yaşadım. Ödeme sorunu yüzünden hesabım askıya alındı ve binlerce dolarlık oyunumu kaybetmenin eşiğine geldim. Banka belgeleri gönderip zar zor geri aldım ama tavır “bu seferlik affediyoruz” şeklindeydi
    • Şaka gibi ama, böyle bir sorunu çözmek için belki de bizzat bir Apple geliştirici konferansı düzenlemek gerekir.
      Teknik olarak bakınca hediye kartı sistemine çift etkinleştirme tespiti eklenirse dolandırıcılık azalabilir
    • Böyle olayları görünce Apple’ın hediye kartı işinden tamamen çıkmasının daha iyi olacağını düşünüyorum. Dolandırıcılık hesaplarının çoğu bu pazardan çıkıyor
    • Büyük çaplı kesintilerde RCA (kök neden analizi) yayımlandığı gibi, Apple da bu olay hakkında resmî bir RCA yayımlamalı
    • Bu olayı gördükten sonra iCloud’a emanet ettiğim fotoğrafları düşününce, Apple hediye kartını bir daha asla kullanmamaya karar verdim

  • Ben de yakın zamanda benzer bir şey yaşadım. Apple’ın hediye kartı sistemi şüpheli görünüyor. Ya satış rakamlarını şişiriyorlar ya da dolandırıcılıktaki artış nedeniyle güvenlik sertleştirilmiş durumda
    Benim çıkardığım dersler şunlar

    1. Donanım alımında kullanılacak hediye kartlarını ayrı bir Apple ID ile yönetmek
    2. Tüm makbuzları saklamak — tek kanıt bunlar
    3. Apple destek ekibi kullanıcıya dolandırıcı muamelesi yapmaya hazır
    • Son dönemde Target gibi yerlerde de yeni hediye kartı dolandırıcılıkları hızla arttı. Mümkünse yalnızca fiziksel mağazada kullanmak gerekiyor
    • Ayrıca, blog etkisi yoksa Apple sizi umursamıyor. Buttfield-Addison örneğinde olduğu gibi, elinizde kanıt olsa bile görmezden gelinebiliyorsunuz