Güncelleme Tarihi:
35 binin üzerinde üye restoran ile 19 milyondan fazla kullanıcıya hizmet veren online yemek siparişi platformu Yemeksepeti siber saldırıya maruz kaldı.
Şirketten yapılan açıklamada, "25.03.2021 sabah saatlerinde tespit ettiğimiz üzere, Yemeksepeti kullanıcı veri tabanı, kimliği tespit edilemeyen siber korsan ya da korsanlar tarafından bir saldırıya uğradı ve bir güvenlik ihlali yaşadı. Yemeksepeti kullanıcılarının hesap bilgilerinin bir kısmı korsanlar tarafından ele geçirildi" denildi. Şirket ele geçirilen bilgileri de kullanıcılarına tek tek açıkladı. Neydi onlar:
Ad-soyad bilgileri
Doğum tarihi
Kayıtlı telefon numaraları
E-posta adresleri
Kayıtlı adres bilgileri
Açık olarak görülemeyen, SHA-256 algoritması ile maskelenmiş giriş şifreleri
Kamuoyuna duyurumuzdur. pic.twitter.com/tIJ1ykokwx
— Yemeksepeti (@yemeksepeti) March 27, 2021
Yemeksepeti, çalınan bilgilerin içinde kredi kartlarının olmadığının, söz konusu verilerin kendi sistemlerinde tutmadıklarının altını çizdi. Ancak Yemeksepeti, Türkiye'de en çok üyeye sahip sitelerden biri ve önemli kullanıcı bilgilerinin korsanların eline geçtiğini söylemek mümkün.
Herkesin merak ettiği soru da şu: Bu şekildeki siber saldırı sonucunda bilgilerin ifşa olması ile kullanıcılar ne gibi risklerle karşı karşıya kalabilirler?
Konuyla ilgili siber güvenlik uzmanı Osman Demircan hurriyet.com.tr’ye önemli açıklamalarda bulundu.
Siber saldırılarda çalınan bilgilerin dolandırıcılara data olarak satılabildiğini, insanların dolandırıcılarla uğraşmak zorunda kaldığını söyleyen Demircan söz konusu bilgilerin neden önemli olduğunu şöyle anlatıyor:
“Böyle durumlarda insanlar çok büyük bir dolandırıcılığın parçası olabilir. Çünkü konu dolandırıcılık olduğu zaman, bazı inandırıcı noktalar var. Örneğin kişi sizi arayıp, ‘adresiniz, telefon numaranız ve mail adresiniz bu değil mi?’ dediği noktada sanki gerçekten bir kurum tarafından aranıyormuşsunuz gibi bir hisse kapılabilirsiniz. Bu sefer onların yönlendirmelerine uymaya başlıyorsunuz. Bu nedenle bu datalar çok kıymetli”
‘SİTELERDE YA DA BANKACILIK PLATFORMLARINDA AYNI ŞİFRELER KULLANILMAMALI’
Bilgilerin ve şifrelerin çalınması içinde ödeme verileri olmasa da riskler barındırabiliyor. Demircan, her uygulamada aynı şifrenin kullanılmaması gerektiğinin altını çiziyor.
“Son yaşanan Yemeksepeti olayında şifreler çalınmadı ama eğer başka bir sitede kullanıcıların üye oldukları alışveriş ya da yemek sitelerinde ‘şifre bilgileri’ çalınırsa, kullanıcılar için bu durum çok büyük bir sorun olabilir. Çünkü kişi aynı şifreyi birçok uygulama ya da sitede hatta sosyal medya adreslerinde kullanıyor olabilir. Bu tip durumda üye olunan sitelerden birinden şifreler çalınırsa yaşanılacak ilk şey sosyal medya hesaplarının ele geçirilmesi olacaktır. Burada kullanıcı her platformda farklı bir şifre kullanmalı"
'KULLANICILAR HER İHTİMALE KARŞI SANAL KART KULLANMALI'
Eğer saldırıya uğrayan kurum, kullanıcıların kredi kartı bilgilerinin sistem üzerinde tutulmadığını açıkladıysa, sorun olmadığını söyleyen Demircan, kart bilgilerinin alışveriş sitelerinde daha farklı ve güvenli sistemlerinin üzerinde tutulduğunu ama alışverişlerde sanal kartın kullanılması gerektiğinin altını çiziyor.
“Diyelim ki, siber saldırıda kullanıcıların kredi kartı bilgileri de çalındı. Hemen bilişim korsanları bütün hesabı boşaltacaktır. Bu nedenle insanlar kredi kartı bilgilerinin bir gün çalınabilme ihtimallerine karşı alışverişlerinde mutlaka sanal kart kullanmalılar. Sanal karta aktardığınız para kadar harcadığınız için, 100 lira aktarırsanız kart bilgileriniz çalınırsa sadece 100 lirayı kaybedeceksiniz. 10 bin liralık kredi kartınıza bir zarar gelmeyecek.”
ÇOĞU KURUM, ‘SIFIR GÜN’ GÜVENLİK AÇIĞI SALDIRISINA MARUZ KALIYOR’
Binlerce üyesi olan ve aktif şekilde satış yapan kurumların her türlü sıkı önlemleri aldıklarını söyleyen Demircan, yine de açıklar olabildiğini özellikle çoğunun ‘sıfırıncı gün’ zafiyetine maruz kaldıklarını ifade ediyor.
“‘Sıfırıncı gün’ güvenlik açığı siber saldırısı, yazılımda bir zayıflığın keşfedildiği gün gerçekleşir. Bu noktada, geliştirici tarafından bir düzeltme sunulamadan önce bu zayıflıktan faydalanılır. Günümüzde teknoloji sürekli ilerliyor. Sisteme yeni donanımlar ve yeni yazılımlar ekleniyor. Bu yeni eklenenlerin zaman içerisinde açıkları ortaya çıkabiliyor. Bunlar keşfedildiği zaman hemen numaralandırılıyor ve kurumlar önlemini alıyor. Siber güvenlik departmanları da zaten bu yüzden var. Genelde bugüne kadar hiç raporlanmamış, hiçbir güvenlik araştırmacısı tarafından keşfedilmemiş bir açık üzerinden bu veriler çalınıyor.”
Peki herhangi bir saldırıda kişisel ve kredi kartı bilgilerini çaldıran kullanıcılar, hukuki olarak nasıl bir yol izlemeli? Uzmanlık alanı siber saldırılar alanında suçların önlenmesi olan Avukat Ceren Küpeli hurriyet.com.tr’ye anlattı.
Kişisel bilgileri çalınan kullanıcılar hukuki olarak ne yapabilir?
Yasal süreçlerde öncelikle hangi verilerin ifşa olduğu, siber saldırının kimler tarafından ve hangi ülkeden gerçekleştirildiği, zarar görenin kusur mevcudiyetinin tayini önem arz eder. Akabinde delil tespiti gerçekleştirilir. Tüm bu yasal incelemeler sonrası ceza ve hukuk davaları açılır. Maddi-manevi tazminat davalarıyla birlikte kişisel verilerin hukuka aykırı olarak kaydedilmesi ve ifşası, banka ve kredi kartlarının kötüye kullanılması suçlarından cezai yasal süreçler yürütülebilir. Ayrıca siber saldırıların gerçekleştirilme usulüne göre farklı suç tiplerinden de yasal süreçler yürütebilir.
Peki siber saldırıların önlenemediği gerekçesiyle bir firmaya yaptırım olabilir mi?
Siber saldırı türleri günümüzde ne yazık ki yüzde 100 kesinlikte önlenemiyor. Zaten bilgi teknolojileri doktrininde de bu durum kabul edilmiştir. Buna karşılık, firmanın bağlı bulunduğu sektörel mevzuatlar, Kişisel Verilerin Korunması Kanunu, bilgi güvenliği yeterlilikleri gibi birçok yasal yükümlülük gereği alması gereken teknik ve idari tedbirler mevcuttur. Bu tedbirlerin alınmamış olması durumunda, firma hukuken ‘kusurlu’ konumda olacak ve yasal süreçlerin muhatabı olacaktır.
Bir siber saldırı ile kredi kartı bilgileri çalınıp hesaplarından para transferi yapılan mağdurları düşünelim. Bu kişiler borcu üstlenmek zorunda mıdır?
Bilgi güvenliği yasal tedbirlerine uygun faaliyet gösteren kuruluşlar, genel olarak kredi kartı bilgilerini şifreli olarak barındırırlar ve dolayısıyla siber saldırılar kredi kartı bilgilerine erişemez. Fakat bu durum, böyle bir risk olmadığı anlamına gelmez. Belirttiğiniz şekilde bir olay yaşandığında, siber saldırı ile hesaptan para çıkışı arasında nedensellik bağının kurulabilmesi gerekir. Bu bağ mevcutsa tedbir almayan kuruluşlar ile eylemin faili, kredi kartının kötüye kullanılmasına ilişkin olarak sorumluluk altında olacaktır.
Siber saldırılardan korunmak için nelere dikkat etmek gerekiyor?
Günümüzde kendimizle ilgili veri paylaşmak noktasında çok cömert olduğumuzu fakat haklarımızı tesis etmek noktasında da bir o kadar çekingen kaldığımızı görüyorum. Öncelikle en az dijital okuryazarlık seviyesinde dijital riskleri ve haklarımızın neler olduğunun bilinmesi gerektiğini düşünüyorum. Bu çerçevede paylaştığımız kişisel bilgilerimizi gözden geçirelim. Kendimizle ilgili fazla bilgi paylaşıyor olabiliriz. Siber saldırıya gerek olmadan kendimiz verilerimizi sunuyor olabiliriz.
Bu konuyu hem dijital üyeliklerimiz, satın alımlarımız ve sosyal medya paylaşımlarımız için düşünebiliriz. Bir üyelik veya satın alma aşamasında bizden paylaşmamızın istenildiği veriler, aldığımız hizmet için gerçekten gerekli midir değerlendirelim ve gerekli değilse paylaşmayalım.
İkinci aşamada, teknik önlemler alalım. Cihazımız virüs aldığında yavaşlar, sık sık çerezleri temizleyip şifre değişikliği yapalım. Özellikle dijital sözleşmelerde hangi koşulları kabul ettiğimizi bilelim ve haklarımızın takipçisi olalım. Tüm bunlar gerçekleştirildiğinde kontrolü sağladığımız dijital dünyadan korkulmasına gerek olmayacaktır.