Ziraat Bankası Güvenlik Açığı: 1 Milyon TL İşlem Denemesi Engellenemedi

Ziraat Bankası müşterisiyim ve bankanın sistemlerindeki büyük bir güvenlik zafiyeti ve risk yönetimi eksikliği nedeniyle, 08.06.2026 tarihinde gece saat 03:01’de çok ciddi bir dolandırıcılık girişimiyle karşı karşıya kaldım. O saatte, doğrudan Ziraat Bankası’nın resmi SMS kanalından telefonuma bir 3D Secure işlem onay şifresi geldi. Mesajda, “telegram @ayyıldızteams” isimli son derece şüpheli bir iş yerinden tam 1.000.000,00 TL (Bir Milyon tl) harcama yapılmaya çalışıldığı ve işlemi onaylamam için gönderilen şifreyi girmem gerektiği yazıyordu.

Gecenin bir yarısında, “Telegram” isimli şüpheli bir sanal pos üzerinden tek seferde 1 milyon tl gibi astronomik bir tutar çekilmeye çalışılmasına rağmen, bankanın güvenlik ve sahtecilik (fraud) sistemleri bu işlemi nasıl normal kabul edip bana onay SMS’i gönderebiliyor, bunu anlamıyorum. Böyle olağanüstü tutarda ve son derece sıra dışı bir işlem, Ziraat Bankası’nın risk algoritmaları tarafından otomatik olarak şüpheli görülecek en bariz örneklerden biri olması gerekirken, sistem bunu engellemek yerine onaylamam için bana şifre iletiyor. Bu durum, bankanın sözde güvenlik ve risk yönetimi mekanizmalarının kağıt üzerinde kaldığını açıkça gösteriyor.

En az bu kadar ciddi olan diğer husus ise kart bilgilerimin dolandırıcıların eline geçmiş olmasıdır. Kart bilgilerim (kart numarası, SKT, CVV) Ziraat Bankası’nın altyapısında veya çalıştığı sistemlerde nasıl bir güvenlik açığı var ki bu kadar büyük meblağlı bir dolandırıcılık girişiminde kullanılabiliyor, bunun cevabını da merak ediyorum. Müşteri olarak kart bilgilerimin bu kadar kolay bir şekilde kötü niyetli kişilerin eline geçebilmesi ve ardından 1 milyon tl’lik işlem denenmesi, bankanın müşteri verisi ve kart güvenliğini koruyamadığını düşündürüyor.

Durumu tamamen tesadüf eseri, SMS’i anında görmem sayesinde fark ettim. Hemen Ziraat mobil uygulamasına girip kartımı e-ticaret işlemlerine (yurt içi / yurt dışı) saniyeler içinde kendim kapattım ve paramın çekilmesini son anda engelledim. Yani beni bankanın güvenlik sistemi değil, kendi refleksim ve dikkatim korudu. Eğer o saatte uyuyor olsaydım ya da telefonu görmeseydim, bu güvenlik zafiyeti nedeniyle hayatım ciddi şekilde karanlığa sürüklenebilirdi.

Olayın ardından bankayı telefonla aramayı denedim fakat çağrı merkezine dahi ulaşamadım. Böyle kritik bir anda, hem bu çapta bir şüpheli işleme sistemin izin vermesi hem de acil durumda müşterinin kimseye ulaşamaması, Ziraat Bankası’nın güvenlik ve müşteri odaklı kriz yönetimi konusunda ne kadar yetersiz kaldığını gösteriyor.

Bu devasa güvenlik açığı, risk yönetimindeki ağır ihmalkârlık ve şüpheli işlem filtrelerinin açıkça çalışmaması nedeniyle Ziraat Bankası’ndan acil, net ve tatmin edici bir açıklama bekliyorum. Gecenin bir yarısı “Telegram” benzeri şüpheli bir sanal pos üzerinden 1 milyon tl’lik işlem denemesini bile anında bloke edemeyen, bunun yerine müşterisine onay SMS’i gönderen bir bankaya, müşterileri olarak paramızı ve geleceğimizi nasıl emanet edeceğiz? Savcılığa yapacağım başvurunun yanı sıra, bu güvenlik zafiyetinin de sonuna kadar takipçisi olacağımı, bu konunun üzerinin kapatılmasına kesinlikle izin vermeyeceğimi açıkça bildiriyorum.