Sahibinden.com’da Büyük Kriz! Kriz Neden Oldu, Nasıl Çözülecek Uzmanlara Sorduk

Türkiye’nin en önemli ilan platformlarından biri olan Sahibinden.com’a bir gündür erişim sağlanamıyor. Sosyal medyada Sahibinden.com’un yaşadığı problem gündeme gelmişken, şirketin de konuyla kamuoyuna ilgili açıklaması bulunuyor.

Alan Adları Nasıl Çalışıyor? Sahibinden.com Olayında Sorumlu Kim?

Dünyada alan adı yönetim sistemine kısaca DNS (Domain Name System) adı veriliyor. DNS’in çalışma yapısı ise bir piramit şeklinde çalışıyor.

DNS otoritesinin en üst konumunda kısa adı ICANN olan Internet Corporation for Assigned Names and Numbers adlı uluslararası kuruluş bulunuyor. Los Angeles merkezli kuruluşun Orta Doğu ve Afrika bölgesine hizmet veren ofisi ise İstanbul’da.

Ancak yaşanan bu tür durumlarda ICANN ile direkt görüşmek mümkün olmuyor. ICANN sadece alan adı uzantılarını yöneten kuruluşlarla çalışan uluslararası bir yapı. ICANN ise alan adlarını ülkelere ait iki harfli uzantılar (.TR, .DE gibi) ile üç ve daha fazla harften oluşan genel uzantılar (.COM, .ISTANBUL gibi) şeklinde iki farklı şekilde ele alıyor.

Dünyanın en çok kullanılan alan adı uzantısı olan .COM, geçmişte Amerika Birleşik Devletleri Savunma Bakanlığı tarafından yönetilirken daha sonra Verisign isimli Amerikan şirketine devredildi. Verisign da .COM alan adının teknik ve idari yönetiminden sorumlu şirket. Verisign üzerinden doğrudan alan adı işlemleri yapılamıyor. Verisign’ın muhatap aldığı alan adı kayıt şirketleri ya da Registrar / Yazman adı verilen şirketler bildiğimiz anlamda alan adı kayıt ve yönetim işlerinden sorumlular.

Bu yazman şirketlerden ise dünyada yüzlerce bulunuyor. Türkiye’de de bu alanda hizmet veren bazı yazman şirketler bulunuyor. Bir yazman şirket olmak için en önemli kriterlerden biri ICANN’e akredite olmak. Akredite olan bir yazman şirket üzerinden son kullanıcılar alan adı kayıt ve yönetim işlemlerini yapabiliyorlar. Sahibinden.com örneğinde ise alan adının Amerikalı Network Solutions isimli şirkette kayıtlı olduğu görülmekte. Sahibinden’in yaptığı açıklamada belirtilen teknik sorunun da Network Solutions şirketi ile olduğu açıklamadan anlaşılıyor.

Öte yandan haber yayına hazırlandığı sırada Sahibinden tarafından bir başka açıklama daha geldi ve alan adının süresinin sona erdiği yönündeki haberler yalanlandı:

Yaşanan olayı alan adı altyapıları konusunda Türkiye’de hizmet veren tek şirket olan FF Registry Servisleri‘ne sizin için sorduk:

Sahibinden.com’un Yaşadığı Problem Nedir?

Ülkemizin önemli internet girişimlerinden biri olan Sahibinden.com’un bu problemi yaşamış olması öncelikle üzüntü verici. Alan adı altyapılarının tümünde sunulan kamuya açık WHOIS sistemleri üzerinden alan adının durumu ile ilgili bazı bilgileri edinebiliyoruz.

Alan adı sahiplerinin takip etmesi gereken en önemli bilgilerden biri alan adlarının sona erme tarihi yani expiry date alanı. Sahibinden.com için yaptığımız WHOIS sorgusunda alan adının sona erme tarihinin 30 Aralık 2025 olarak belirtildiği görünüyor. Alan adı yenilemeleri genellikle yıl bazında yapıldığı için alan adının 30 Aralık 2023’te süresinin dolduğunu düşünebiliriz.

Geçmişte alan adı sektöründe yaşanan olaylar neticesinde ICANN Registrar’lara uyulması gereken katı bir kural listesi sunuyor. Bu kurallar registrarın yetkilerinin alınmasına kadar uzanan oldukça sert yaptırımlar içeriyor. Dolayısıyla alan adı kayıt süresi dolan bir alan adına da registrar şirketin yapabileceği eylemler oldukça sınırlı.

Öncelikle hatırlamamız gereken en önemli konu şu, bir alan adına asla tamamen sahip olamıyorsunuz. Bir otel odası ve kiralık bir otomobil gibi belli süreler içinde alan adını yöneten şirketten kiralıyor ve kullanım hakkına sahip oluyorsunuz. Bu süre .COM için minimum 1 yıl, maksimum ise 10 yıl şeklinde. Süre dolduğunda ise alan adını bir başka kişi ya da kurum başvuruda bulunup kaydını gerçekleştirebilir. .COM özelinde genel kayıt ve ilk gelen alır prensibi uygulanıyor.

Bilgilerden gördüğümüz kadarıyla da Sahibinden.com’un bir başka isim tarafından kayıt edilmiş olması olası gözüküyor. Zira alan adının WHOIS bilgilerinde de mevcut kayıt eden kişinin adresi olarak ad soyad ve iletişim bilgilerinin gizli olduğu görülüyor. Bu durumda karşı tarafa ulaşmak oldukça güç olabiliyor. Özellikle GDPR ve yerel versiyonu olan KVKK kanunlarından sonra bu durum çok daha zor bir hale geldi.

Alan adının süresi dolmadan da bir problem yaşanmış olma olasılığı da var. Bu durumda Sahibinden.com alan adının bulunduğu hesabın ele geçirilmiş olması da söz konusu. Hesap ele geçirilmişse önce şirketin e-posta adreslerinin kendilerine yönlendirip alan adının başka bir kişiye transfer edilmesi mümkün.

Özellikle yılbaşı tatilinin hemen arkasından böyle bir durumun yaşanmış olması planlı bir eylem olasılığını yükseltiyor. 2013’te Türk Trust isimli Türk Güvenlik Sertifikası (SSL) şirketi üzerinden noel ve yılbaşı tatilleri sonrası yine aynı tarihlerde Google ve iştirakleri üzerine geçersiz bir sertifika üretmiş ve tüm tarayıcı şirketlerinin Türk Trust şirketini listelerinden silmesiyle durum sonuçlanmıştı.

Sahibinden’in yaptığı ikinci açıklamada da alan adının yenilenmesinin unutulduğu konusunun asılsız olduğu belirtiliyor. Dolayısıyla yaşanan olayın bu ikinci konu olma olasılığı oldukça yüksek.

Bu tür durumlarda yaşanan olayın tespit edilmesi çok önemli, çünkü alan adı başka şirketlere taşınmışsa karşıda muhatap bulmak ve sorunu çözmek günlerce hatta haftalarca sürebiliyor.

Alan Adının Kontrolü Geri Alınabilir mi?

Bu konuya iki farklı açıdan bakmak gerekiyor. Teknik ve İdari açıdan. Teknik açıdan az önce bahsettiğimiz gibi ICANN kuralları oldukça katı. Alan adı teknik olarak bir başka kullanıcının kontrolüne geçti ise o alan adının kendi insiyatifinde değerlendirebilir.

İdari açıdan ise konu biraz daha karmaşık. Bu tür durumlarda alan adı yazmanı ile genelde görüşmeye çalışılır fakat ICANN kuralları sebebiyle çözüm neredeyse mümkün değil gibi. Yazman şirket alan adının kullanıcısını tekrar Sahibinden.com yöneticilerine verse bile ICANN tarafından yaptırımlarla karşılaşabilir. Bu sebeple çoğu zaman bu tür konular hukuk yolu ile çözülüyor.

Sahibinden.com Hukuk Yoluna Başvurursa Alan Adını Geri Kazanabilir mi?

Burada da farklı durumlar söz konusu. Alan adını yeni kaydeden kişi ya da kurumun durumundan, alan adını kullanım metodu gibi konular da süreci etkileyebiliyor. Burada Sahbinden.com un marka tescili gibi durumlar elbette sürecin lehine sonuçlanmasını oldukça kolaylaştırabilir.

Ancak bu oldukça uzun bir süre alabilir. Uluslararası alan adı uyuşmazlıklarında WIPO üzerinden bir dava süreci söz konusu oluyor. Kamuoyuna bu tür davalar zaman zaman yansıyor. Örneğin yakın bir zaman önce TOGG, togg.com için bir dava süreci başlatmış ancak bu süreç olumsuz şekilde neticelenmişti. Özetle TOGG davasında alan adını kullanan taraf TOGG’dan çok daha önce var olduğu için sonuç TOGG’un aleyhine sonuçlanmıştı.

Bu durumda Sahibinden.com u kaydeden yeni kişi ve kurumun durumunu bilmiyoruz. Sahibinden.com un 1999’da kayıt olduğunu ve 2000 yılında faaliyete geçtiğini biliyoruz. Eğer kaydeden kişi 1999 ve öncesinde kurulmuş bir başka şirket tarafından alınmış olsaydı Sahibinden’in alan adını geri alamaması bile söz konusu olabilirdi.

Sahibinden’in ikinci açıklamasını baz alırsak, konunun bir tür dijital hırsızlık olması da söz konusu elbette.

Bu Tür Alan Adı Problemlerinin Yaşanmaması İçin Nelere Dikkat Etmeliyiz?

Öncelikle alan adını kayıt ettiğimiz şirket oldukça önem taşıyor. Alan adlarının ICANN kurallarına tabi olan ICANN akredite şirketlerden alınması oldukça önemli. Bazı ICANN akredite şirketler alt bayilik sistemi ile alan adı satışı yapıyor. Bu durumlarda kullanıcılar alt bayilerle muhatap oluyorlar.

İkinci olarak Alan adı WHOIS bilgilerinin alt bayiden alınsa dahi doğru olması ve size ait olduğunu ispat edecek şekilde doldurulması gerekiyor.

Üçüncü olarak sahip olunan alan adının yenilenme tarihlerinin takip edilmesi ve süre dolmadan uzatma işleminin yapılması, hatta yapıldıktan sonra değişikliğin WHOIS sistemine yansımış olduğunu da teyit etmek gerekiyor.

Dördüncü konu alan adının transfer kilidinin kapalı olması. Bu durumda hesaba yetkisiz bir erişim olsa bile ek kontroller yapılabiliyor ve transfer süresi uzatılarak yetkisiz işlemlerin süresi uzatılabiliyor.

Bir başka konu ise alan adı yazman şirketi üzerinden transfer kilidi uygulanması. Ki Sahibinden.com’da da an itibariyle transferi engelleyen clientTransferProhibited kilidinin bulunduğu görülüyor. Ancak bu kilidi Sahibinden ekibimi yoksa alan adını kontrol eden kişiler mi koydu henüz belli olmadığı için yorum yapmak mümkün değil.

En önemli konulardan biri de hesap güvenliği. Her şifrenin elbet ele geçirilebileceği ya da tahmin edilebileceği unutulmamalı. Hesap şifrelerini güncellemek ve sadece şifre güvenliği ile sınırlı kalmamak gerekiyor. Hemen tüm ICANN akredite şirketler bugünlerde iki faktörlü korumaya sahipler. Telefon uygulaması ya da e-posta üzerinden anlık kod üretiyorlar. Özellikle telefona bağlı bir korumaya geçmek önemli. Sim kartların kopyalanabilme riski olduğu için SMS yerine Google Authenticator ya da Microsoft Authenticator gibi OTP uygulamaları ile alan adı hesabını ek bir korumaya almak oldukça önemli.

Ayrıca alan adının iletişim ve hesap bilgileri için de e-posta adresinin aynı hesapta olmaması oldukça önemli.

Bir diğer çözüm ise aradaki şirketleri devreden çıkararak şirketin kendi uzantısına sahip olması ve direkt olarak ICANN ile muhatap olması yönünde.

Sahibinden.com gibi küresel boyuttaki e-ticaret şirketleri 2012 yılında başlatılan New gTLD sürecinde Marka uzantılarına sahip oldular. Örneğin Amazon şirketinin .amazon uzantısı ile biten kendi uzantısı var.

Markalara ait uzantılara sahip kurumlar geçen 10 yıllık sürede kendi alan adlarını kullanıma aldılar.

Sahibinden.com, 2012’de ICANN’e başvurup kendi uzantısına sahip olmuş olsaydı bugün www.sahibinden gibi bir adres üstünden hizmet vermeye devam edebilirdi. Önümüzdeki dönemde de şirketlerin kendi uzantılarına sahip olması için imkanlar olacak. Sahibinden gibi büyük şirketlerimizin bu süreçleri kaçırmaması gerekiyor.

Bizi takip edin: