E-posta böyle çalışmaz, HSBC

 (danq.me)
1 puan yazan GN⁺ 2026-01-30 | 1 yorum | WhatsApp'ta paylaş
  • HSBC, müşterilerin e-postayı alıp almadığını bir takip pikseline göre değerlendirdiği için, gerçekte e-postaları sorunsuz alan müşterilere “e-posta geri döndü” şeklinde yanlış bildirim gönderdi
  • Banka müşterilerden e-posta adreslerini güncellemelerini istedi, ancak müşteri hesabında zaten doğru adres kayıtlıydı
  • İnceleme sonucunda HSBC e-postalarına HTTP tabanlı takip pikselleri yerleştirildiği görüldü; bu da alım zamanı, sıklığı ve IP adresi gibi kişisel bilgilerin açığa çıkması riskini taşıyor
  • Takip pikselleri engelleme ayarları açık olduğunda çalışmadığı için, bankanın buna dayanarak “e-posta alınmadı” sonucuna varması teknik bir kötüye kullanım olarak eleştiriliyor
  • HSBC’nin şifrelenmemiş takibi durdurmaya, gizliliğe saygı göstermeye ve müşterilerle açık iletişime yönelmesi gerekiyor

HSBC’nin hatalı e-posta geri dönüş bildirimi

  • HSBC, müşterilere “e-posta geri döndü” diyerek adreslerini güncellemelerini isteyen bir posta bildirimi gönderdi
    • Müşteri gerçekte HSBC’nin e-postalarını normal şekilde alıyor ve okuyordu
    • Çevrimiçi hesap kontrolünde kayıtlı e-posta adresinin doğru olduğu görüldü
  • Müşteri hizmetleri sohbetinde, “Banka mektup gönderdiyse adresinizi değiştirmeniz gerekir” şeklinde yalnızca kalıplaşmış yanıtlar tekrarlandı
    • Ancak daha sonra telefon görüşmesinde, “Adres doğruysa mektubu görmezden gelebilirsiniz” yanıtı verildi
  • Yazar, HSBC’ye “işlem gerekli” ifadesi yerine “adres doğrulaması gerekli” ifadesini kullanmasını önerdi

E-posta takip pikselinin yapısı ve sorunları

  • HSBC’nin e-postalarının alt kısmında 1×1 piksel boyutunda iki görsel kodu bulunuyordu
    • Bu pikseller, alıcı e-postayı açtığında sunucuya bağlanıp açılma bilgisini kaydeden bir takip mekanizması olarak kullanılıyor
  • HSBC bu pikselleri HTTP protokolü üzerinden gönderiyordu; bu da ağ üzerindeki üçüncü tarafların e-postanın açıldığını anlayabilmesine yol açan bir güvenlik zafiyeti oluşturuyor
    • Ortak Wi‑Fi ortamlarında aynı ağı kullanan başka kişiler bu bilgiyi tespit edebilir
  • Ayrıca, bir saldırganın e-postanın alt kısmına görsel ekleyerek onu phishing mesajı gibi sahteleştirme riski de dile getirildi

Takip pikselinin güvenilmezliği ve kötüye kullanımı

  • Yazar, takip pikseli engelleme ayarı kullandığı için e-postanın açılma bilgisini göndermiyor
    • Bu, e-postanın aslında tasarlandığı doğal çalışma biçimi; alıcı, açılma bilgisini paylaşıp paylaşmamayı seçebilir
  • HSBC, pikselden sinyal gelmeyince bunu “e-posta alınmadı” diye yanlış yorumlayıp geri dönmüş gibi işlemiş görünüyor
    • Bu, takip pikselinin istatistiksel analiz yerine tek tek müşterileri ayırt etme aracı olarak kötüye kullanıldığı bir örnek
  • Sonuçta HSBC, “e-posta geri döndü” şeklinde yanlış bir bildirim göndermiş oldu

HSBC’ye sunulan iyileştirme önerileri

  • Şifrelenmemiş (HTTP) takibi durdurmak: E-posta açıldığında ağda veri sızmasını önlemek için HTTPS kullanılmalı
  • Takip engelini teslim alınmama olarak görmemek: Pikselin çalışmaması çeşitli teknik nedenlerden kaynaklanabilir
  • Müşterilerin e-posta alışkanlıklarını izlemeyi bırakmak: Zaten yeterince kişisel veriye sahip bir bankanın ek gözetim yapmasına gerek yok
  • E-posta geçerliliğini doğrudan doğrulama yöntemiyle kontrol etmek: “Doğrulama bağlantısına tıklayın” gibi açık rızaya dayalı süreçler öneriliyor
  • Veri etiği ilkelerine uymak: HSBC’nin açıkladığı ‘veri ve yapay zekanın etik kullanımı ilkeleri’ doğrultusunda amaca uygunluk ve şeffaflık sağlanmalı

Sonuç

  • HSBC, takip pikselinin güvenilirlik sınırlarını yanlış anlayarak müşteri e-postalarını hatalı değerlendirdi
  • Bu olay, gözetim kapitalizmine dayalı veri toplama uygulamalarının finans kurumlarının işleyişine kadar sızdığını gösteriyor
  • Yazar, HSBC’nin teknik hatayı kabul etmesi ve şeffaf veri kullanımıyla müşteri gizliliğini korumayı güçlendirmesi gerektiğini vurguluyor

İlgili okumalar

1 yorum

 
GN⁺ 2026-01-30
Hacker News görüşleri

  • 2026 yılında içeriğin hâlâ HTTP üzerinden sunulmuş olması dikkat çekiciydi
    Düzgün bir güvenlik incelemesi yapılsaydı bu kesin yakalanırdı; belli ki bu adım tamamen atlanmış
    Ben banka verileriyle çalışan bir iş yapıyorum ve iç sistemler de aynı şekilde berbat
    Aynı banka içinde bile CSV tarih biçimleri birbirini tutmuyor ve işlem açıklamaları kesilmiş dizgelerle standart dışı bırakılıyor
    Düzenleyici baskı bu kadar yüksekken durumun hâlâ böyle olması, çoğu bankanın dijital altyapıyı eski tesisat gibi görmesinden kaynaklanıyor

    • Ben de banka verileriyle çalıştım; aslında OFX diye standart bir biçim var
      Ama bankalar not uzunluklarını farklı yerlerden kesiyor ya da AMEX gibi NAME ve MEMO alanlarını ters çeviriyor; ortalık karmakarışık
      Yine de en azından asgari bir standart mevcut
      İlgili belgeler: Open Financial Exchange, Financial Data Exchange
    • Bankalar çevrimiçi bankacılık UI'ına o kadar da önem vermiyor
      ATM ekranları bile aynı derecede demode hissettiriyor
    • Aslında HTTP'nin kasıtlı olarak kullanıldığı pek çok durum var
      Örneğin ACME HTTP-01 challenge ya da sertifika verme, CRL/OCSP yanıtları gibi şeyler hâlâ HTTP kullanıyor
      Bkz. RFC8555, Let's Encrypt belgeleri
      Dolayısıyla “HTTP artık işe yaramaz” gibi bir genelleme yanlış
    • Bu durumda HTTP'nin gerçekten sorun olup olmadığından emin değilim
      HTTPS de SNI değiş tokuşu yaptığı için, birinin HSBC ile iletişim kurduğunu anlamak mümkün
      URL'nin geri kalanı yalnızca anonimleştirilmiş bir takip kimliği, yani gerçek tehdit çok büyük görünmüyor
    • Büyük olasılıkla e-posta takibini yapan üçüncü taraf bir hizmet içeriği HTTP ile sunuyordu
      Çünkü HTTPS kullanmak, yapılandırma ve sertifika yönetimi açısından daha karmaşık

  • Bunun neden yaşandığını merak etmiştim
    Banka BT'sinde böyle bir e-posta takip özelliğini devreye almak için bile onlarca kişi işin içine girer ve iş 1 yılı bulur
    Bu süreçte “2026'da HTTP risklidir” diyen bir geliştirici mutlaka çıkmıştır ama büyük ihtimalle orta kademe yöneticiler bunu görmezden gelmiştir

    • Ben de FAANG'de e-posta içerik üretim ekibini destekledim; “açılma takibi güvenilir değildir” diye defalarca anlatsam da kimse dinlemedi
      Yönetim sürekli neden bazı kişilerin postayı açtığı hâlde kaydının olmadığını, bazılarının da açmadığı hâlde açmış göründüğünü soruyordu
      İçerik yazarları tıklama oranından daha yüksek çıktığı için başarı göstergesi olarak açılma oranını kullanıyordu
      Sonuçta herkes kendini iyi hissetsin diye hatalı metrikler kullanılmaya devam ediyor
    • Elbette yetkin insanlar vardır ama büyük bankalardaki teknik çalışanların çoğu motivasyonunu kaybetmiş durumda
      Tüm kararları yönetim veriyor, geliştiriciler de sadece söyleneni yapıyor
      Ben de geçmişte büyük bir bankada çalıştım; birkaç yıl içinde ayrılmayanlar genelde “düğmeye basıp maaş alan insanlar” olarak kalıyor
    • Yine de en azından e-postayla bildirim göndermelerini tercih ederim
      “Önemli bir mesajınız var, giriş yapın” tarzı postalardan çok daha iyi
    • Bunun ‘state of the practice’ olduğunu düşünüyorum
      Apartman uygulamalarında olduğu gibi kolaylık özellikleri giderek zorunlu hâle geliyor ve sonunda tüm kullanıcıların uyması gereken bir yapıya dönüşüyor
      Bu süreçte bireyin kontrol alanı daralıyor
    • Açıkçası bu koşullarda yetkin geliştiricilerin bankada kalması için pek neden yok
      Ne maaş ne ortam özellikle iyi, yenilik yapma alanı da neredeyse yok

  • NAB Australia da aynısını yapıyor
    E-postada uzaktaki görsellerin yüklenmesine izin vermezseniz, “e-posta teslim edilmiyor” diyerek sizi kâğıt ekstreye geçirdiklerini bildiren bir mektup gönderiyorlar
    Oysa e-postalar gayet düzgün geliyordu

    • Ben de Capital One'da benzerini yaşadım
      E-postaları okumadığımı varsayıp bakiye bildirimlerini otomatik olarak devre dışı bıraktılar
      Oysa sadece okundu bilgisini kapatmış ve uzak kaynakları engellemiştim
      Sonunda bankayı değiştirdim
    • Bankanın müşterinin e-postayı alıp almadığını doğrulama ihtiyacı var ama kâğıt posta daha da güvensiz
      Apartman posta kutularına gelen postalar sık sık yanlış dağıtılıyor, çalınıyor, hatta bazen yanıyor

  • Geçmişte Bank of America'dan pazarlama amaçlı spam alıyordum ama abonelikten çıkma seçeneği yoktu
    Ben de o e-posta adresini devre dışı bıraktım; bunun üzerine “e-posta geri dönüyor” diyerek düzeltme talebini postayla gönderdiler
    Sonunda yıllarca devre dışı bıraktım, daha sonra e-posta tercihleri özelliği geldi
    Eşim ise hâlâ Citi'den spam posta alıyor ve orada da çıkış yolu yok
    Bunları görünce HSBC BT ekibinin tracking pixel verisine bakıp “mail okunmadı” sonucuna varması gerçekten aptalca
    Günümüzde çoğu e-posta istemcisi görselleri zaten varsayılan olarak engelliyor

  • HSBC'nin teknik yeterliliği gerçekten çok kötü
    Çevrimiçi bankacılık uygulaması 2000'lerin başından kalmış gibi ve ailemden biri hâlâ kullanıyor; sürekli hata veriyor
    Sorun kullanıcı hatası değil, sistemin kendisi

  • Bir bankayı müşteriyi dinlemeye zorlamanın en etkili yolu hesabı kapatmak
    Tabii gerçekten taşınmaya hazır olmanız gerekir

    • Ama günümüzde bankalar hesaplardan para kazanmadığı için, hesabı kapatmanın onlara neredeyse hiç etkisi yok
    • Bunun yerine düzenleyici kuruma şikâyet etmek çok daha etkili
      Sorunu resmî kayda geçirirseniz tekrarlandığında işlem yapılması mümkün olur
    • Aslında HSBC'nin kendi kendine sorunsuz hesapları kapattığı örnekler de var
      Bkz. The Guardian haberi
      Ben de o dönemde mağdur oldum ve sonrasında Wise'a geçtim

  • Capital One da benzer bir şey yapıyor
    En azından “son dönemde e-postalarımızı açmadınız” diye açıkça söyledikleri için ne demek istediklerini anlayabiliyorsunuz
    Gerçekte e-postaları açmıştım; sadece tracking pixel'ı engellemiştim

    • Ben de bu ifadeyi görünce Gmail kuralıyla otomatik silinecek şekilde ayarlıyorum
      Onların sorununu benim çözmem için bir neden yok

  • Gmail görselleri önceden indirdiği için, kullanıcı e-postayı hiç açmasa bile tracking pixel çağrılıyor

    • Bunu lise öğrencilerine yönelik bir teknoloji etiği dersinde Gmail hesabıyla göstermiştim; gerçekten çalıştığını görünce şaşırdım
    • Apple Mail ve çoğu webmail de aynı şekilde davranıyor, bu yüzden açılma sinyali neredeyse anlamsız
    • Gmail'in aynı görsel çok sayıda kişiye gönderildiğinde heuristic filtering uyguladığını duydum
      Kendim test etmedim ama diğer posta hizmetleri de muhtemelen benzer bir şey yapıyordur
    • Gmail görseli indirirken GoogleImageProxy olarak tanımlanıyor ve istek GCP ASN'den geliyor
      Çoğu e-posta hizmeti kötü amaçlı yazılım taraması için görselleri sunucu tarafında önceden çektiğinden, pratikte pixel tracking neredeyse her zaman harici e-posta hizmet sağlayıcısı tarafından işleniyor

  • Ben de HSBC'de tam olarak aynısını yaşadım
    Dijital kimlikle 10 dakikada hesap açıp bir gün içinde Apple Pay kartını alacak kadar süreçleri harikaydı
    Ama pazarlama e-postalarını reddedince, bana bir “welcome upsell” postası gönderdiler ve o geri dönünce hesabı bloke ettiler
    Sonunda OP ile aynı duruma düştüm

  • Charles Schwab da benzer
    E-postalar sorunsuz gelirken bile “teslim edilmiyor” diyerek kâğıt ekstreye geçiriyor
    Asıl sorun tracking pixel engellemesi

    • Sanırım ben de Fidelity'de aynı sorunu yaşıyorum
      Özel alan adlı e-posta adreslerinde sorun çıkıyor ama ProtonMail adresiyle her şey düzgün çalışıyor
      Muhtemelen nedeni ProtonMail'in tracking pixel'ı engellememesi
    • Capital One da aynı durumda
      Artık umursamamaya karar verdim
      Kâğıt posta onlara para kaybettirdiği için, bir gün farkına varırlar diye düşünüyorum