Yemeksepeti ‘hacker’ları: 20 milyon kişinin bilgisi elimizde
Teşebbüsçü Nevzat Aydın tarafınca 20012de kurulan ve 2015’te 589 milyon dolar karşılığında Almanya merkezli besin dağıtım şirketi Delivery Hero’ya satılan Yemeksepeti yeni bir siber atak argümanıyla bir daha gündemde. Son olarak 25 Mart 2021’de misal bilgi ihlali tezleri ile gündeme gelen şirket, o devir savları doğrulamıştı.
Sekiz ay evvel gerçekleşen bu hücum daha sonrası güvenlik tedbirlerini en üst düzeye çıkardığını belirten şirket, şahsi Dataları Muhafaza Kurumu (KVKK) tarafınca bilgi güvenliğine ait yükümlülüklere ters faaliyetten 2 milyon TL, Bilgi Teknolojileri ve İrtibat Kurumu (BTK) tarafınca ise güvenlik sorumluluklarını yerine getirmemekten dolayı 1 milyon TL’lik ceza ile karşı karşıya.
çabucak hemen bu inceleme sonuçlanmamışken yeni bir siber hücum argümanıyla gündeme gelen Yemeksepeti, bu yeni teze yِönelik, bilgisayar korsanlarının kendilerine ulaşıp fidye talebinde bulunduklarını, uzman gruplar tarafınca yapılan inceleme kararında sistemlerinden bilgi sızıntısının olmadığının tespit edildiği açıklamasını yaptı.
Fakat birtakım gazetecilerin ve yüksek takipçili hesapların isim, soy isim, telefon ve açık adres ve adres tanımı ayrıntılarını paylaşan bilgisayar korsanları, DW Türkçe’den Kazım Kızıl’ın sorularına yazılı karşılık verdi. Bilgisayar korsanları Yemeksepeti’ne yeni bir siber akın yaptıklarını ve ellerinde yeni bilgiler olduğu tezini savunuyor.
Mail yolu ile sorularımızı yanıtlayan takım Rusya merkezli bir oluşum olduklarını, güvenlik niçiniyle kümenin ismi ve kaç şahıstan oluştuğuna dair ayrıntıları paylaşmayacaklarını belirtti. Biroldukca farklı ülkeden üyeleri bulunduğunu aktaran bilgisayar korsanları, Twitter’da yayılan Türk yahut Çinli oldukları yِönündeki argümanları ise kesin bir biçimde reddetti.
şahsi dataları ele geçirdiğini sav eden küme birinci vakit içinderda 1 Kasım’da gِörevinden ayrılan eski Yemeksepeti CEO’su Nevzat Aydın’a mail ile ulaşarak taleplerini sıraladığını sav ediyor. Yemeksepeti’ni seçmelerinin özel bir sebebi olmadığını aktaran küme, yalnızca şirketin o günkü CEO’su olan Nevzat Aydın’ın bu ihlal için bir ödeme yapabileceğini düşündüklerini fakat Aydın’ın ödeme yapmamasının kendilerini şaşırttığını tabir etti:
“Maili attığımız tarihte şirketin CEO’su Nevzat Aydın’dı. Görüşmemizden daha sonra istifa etti. Yeni CEO Mert Baki’ye de taleplerimizi ilettik lakin ciddiye almadı. Tahminen de Delivery Hero (Yemeksepeti’nin bağlı olduğu üst kuruluş) onlara bu mevzuda baskı uyguladı, şimdilik bunu bilmiyoruz.”
BİLGİSAYAR KORSANLARI NE İSTİYOR?
Bilgisayar korsanlarının aktardığı bilgilere gِöre hackleme süreci yaklaşık bir ay evvel gerçekleşti. Bu müddet zarfında şirketten olumlu bir cevap alamayınca irtibata geçtikleri kimi toplumsal medya hesapları ile mevzuyu kamuoyuna duyurdular. Şirketin yaptığı açıklamayı ise “komik bulduklarını, gereği yansıtmadığını zira şirketin sistemi nasıl hacklediklerini bilmediklerini” sِöylediler. Verdikleri bir haftalık müddet ortasında olumlu bir dِِönüş yapılmazsa Yemeksepeti çalışanlarının açık adreslerini ve telefon numaralarını yayınlayacakları tehdidinde bulunuyorlar. Hackerların şirkete tanıdıkları mühlet 22 Kasım’da doluyor.
Ellerinde 20 milyonun üzerinde kullanıcıya ilişkin isim, soyisim, telefon numarası, açık adres, adres tanımı ve kredi kartlarının birinci ve son dört hanelerine ilişkin ayrıntıların olduğunu, bu ayrıntıların evvelki sızıntı ile ilgisi olmadığını, dataların Kasım ayı prestijiyle yeni datalar olduğu tezlerini yinelıyorlar.
Twitter’da birtakım kullanıcılar bu dataların 2016 yılında Merkezi Nüfus Yönetimi Sistemi’ne (MERNIS) yِönelik siber akın kararı elde edilen bilgiler olduğunu tez ediyor. Lakin bilgisayar korsanları, yazılı cevaplarında şu anda ellerinde bulunan dataların MERNİS sızıntısıyla ilintili olmadığını savunuyor. Kümenin ayrıntıları paylaşmama karşılığında istedikleri ölçü ise 5 Bitcoin. Bugünkü bedeliyle yaklaşık 3 milyon TL.
Bilgisayar korsanları ayrıyeten şirket bu taleplerini kabul etmediği takdirde bu ölçüsü veren potansiyel alıcılarla gِörüşeceklerini, bu da şayet olmazsa en yüksek teklifi veren şahsa dataları satacaklarını tez etti.
Hackerların şirkete tanıdıkları mühlet 22 Kasım’da doluyor.
AVUKAT GِِÖKSOY: BİLGİLERİN SORUMLULUĞU YEMEKSEPETİ’NDE
Pekala, yasa dışı faaliyetlerle siber taarruza uğrayan bir şirketi ne bekliyor ve sorumlulukları neler? Bilişim hukuku alanında doktora çalışması yapan avukat Resul Gِِöksoy, şahsi dataların güvenliğini muhafaza yükümlülüğünün 6698 sayılı şahsi Bilgilerin Korunması Kanunu’nun 12. unsurunda düzenlendiğini belirtti. Gِِöksoy dataların işlenmesinin ve erişilmesinin önlenmesi ile inançlı bir biçimde koruma edilmesinin sorumluluğunun gerçek yahut hukuksal şahıslarda, yani Yemeksepeti’nde olduğunu vurguladı.
BİLGİLERİN ÇALINMASI NELERE YOL AÇAR?
İnceleme kararı tezlerin yanlışsız çıkması halinde en üst ceza 2021 yılı için 1.966.862,00 TL. Gِöksoy, bu durumda şirketin şahsi Dataları Muhafaza Kurumu’na vaktinde bildirimde bulunmadığı için ekstra bir cezayla daha karşı karşıya olacağını belirtti. Gِِöksoy’a gِِöre şahsi dataların büyüklüğü ve etkilenen insan sayısının fazlalığı dikkate alındığında cezalar kâfi ve caydırıcı değil.
Ele geçirilen dataların reklam ve pazarlama maksatlı kullanılabileceği üzere, yeni telefon sınırı açılması, kredi çekilmesi, şirket kurulması, e-posta adreslerine gِönderilecek casus yazılımlarla şantaj ögesi olabilecek bilgilere erişilmesi üzere hataların da işlenebileceği ihtarında bulunan Gِِöksoy, önemli mağduriyetlerin doğacağının altını çiziyor.
‘BİLGİSAYAR KORSANLIĞI SUÇTUR’
Avukat Resul Gِِöksoy bilgisayar korsanlarının faaliyetlerine yönelik ise şu hatırlatmayı yapıyor: “Bilgisayar korsanlığı kabahattir. birinci vakit içinderda Türk Ceza Kanunu (TCK) 243. hususu ‘bilişim sistemine girme’ kabahatini düzenler. Bu hatanın cezası ise ‘bir yıla kadar mahpus yahut isimli para cezası’dır. Bu hata ötürüsı ile bilgiler yok olur yahut değişirse ‘altı aydan iki yıla kadar mahpus cezası’ sِöz konusu olur.”
Gِöksoy bunların haricinde da bilgisayar korsanlığı kararı, ihlal edilen bilgiler kullanılarak TCK’nın 134. unsurunda düzenlenen “özel ömrün kapalılığını ihlal” kabahati, TCK’nın 135. unsurunda düzenlenen “şahsi dataların kaydedilmesi” cürmü, TCK’nın 136. hususunda düzenlenen “verileri hukuka muhalif olarak verme yahut ele geçirme” hatalarının da oluşabileceğine dikkat çekti.
Avukat, “Bu durumda ise TCK’nın 43. ve 44. unsurları gündeme gelir; olayın niteliğine gِöre her bir kabahatten başka farklı ceza vermek yahut tek bir cürümden ceza verip bu cezayı artırmak sِöz konusu olabilir.” dedi.
Teşebbüsçü Nevzat Aydın tarafınca 20012de kurulan ve 2015’te 589 milyon dolar karşılığında Almanya merkezli besin dağıtım şirketi Delivery Hero’ya satılan Yemeksepeti yeni bir siber atak argümanıyla bir daha gündemde. Son olarak 25 Mart 2021’de misal bilgi ihlali tezleri ile gündeme gelen şirket, o devir savları doğrulamıştı.
Sekiz ay evvel gerçekleşen bu hücum daha sonrası güvenlik tedbirlerini en üst düzeye çıkardığını belirten şirket, şahsi Dataları Muhafaza Kurumu (KVKK) tarafınca bilgi güvenliğine ait yükümlülüklere ters faaliyetten 2 milyon TL, Bilgi Teknolojileri ve İrtibat Kurumu (BTK) tarafınca ise güvenlik sorumluluklarını yerine getirmemekten dolayı 1 milyon TL’lik ceza ile karşı karşıya.
çabucak hemen bu inceleme sonuçlanmamışken yeni bir siber hücum argümanıyla gündeme gelen Yemeksepeti, bu yeni teze yِönelik, bilgisayar korsanlarının kendilerine ulaşıp fidye talebinde bulunduklarını, uzman gruplar tarafınca yapılan inceleme kararında sistemlerinden bilgi sızıntısının olmadığının tespit edildiği açıklamasını yaptı.
Fakat birtakım gazetecilerin ve yüksek takipçili hesapların isim, soy isim, telefon ve açık adres ve adres tanımı ayrıntılarını paylaşan bilgisayar korsanları, DW Türkçe’den Kazım Kızıl’ın sorularına yazılı karşılık verdi. Bilgisayar korsanları Yemeksepeti’ne yeni bir siber akın yaptıklarını ve ellerinde yeni bilgiler olduğu tezini savunuyor.
Mail yolu ile sorularımızı yanıtlayan takım Rusya merkezli bir oluşum olduklarını, güvenlik niçiniyle kümenin ismi ve kaç şahıstan oluştuğuna dair ayrıntıları paylaşmayacaklarını belirtti. Biroldukca farklı ülkeden üyeleri bulunduğunu aktaran bilgisayar korsanları, Twitter’da yayılan Türk yahut Çinli oldukları yِönündeki argümanları ise kesin bir biçimde reddetti.
şahsi dataları ele geçirdiğini sav eden küme birinci vakit içinderda 1 Kasım’da gِörevinden ayrılan eski Yemeksepeti CEO’su Nevzat Aydın’a mail ile ulaşarak taleplerini sıraladığını sav ediyor. Yemeksepeti’ni seçmelerinin özel bir sebebi olmadığını aktaran küme, yalnızca şirketin o günkü CEO’su olan Nevzat Aydın’ın bu ihlal için bir ödeme yapabileceğini düşündüklerini fakat Aydın’ın ödeme yapmamasının kendilerini şaşırttığını tabir etti:
“Maili attığımız tarihte şirketin CEO’su Nevzat Aydın’dı. Görüşmemizden daha sonra istifa etti. Yeni CEO Mert Baki’ye de taleplerimizi ilettik lakin ciddiye almadı. Tahminen de Delivery Hero (Yemeksepeti’nin bağlı olduğu üst kuruluş) onlara bu mevzuda baskı uyguladı, şimdilik bunu bilmiyoruz.”
BİLGİSAYAR KORSANLARI NE İSTİYOR?
Bilgisayar korsanlarının aktardığı bilgilere gِöre hackleme süreci yaklaşık bir ay evvel gerçekleşti. Bu müddet zarfında şirketten olumlu bir cevap alamayınca irtibata geçtikleri kimi toplumsal medya hesapları ile mevzuyu kamuoyuna duyurdular. Şirketin yaptığı açıklamayı ise “komik bulduklarını, gereği yansıtmadığını zira şirketin sistemi nasıl hacklediklerini bilmediklerini” sِöylediler. Verdikleri bir haftalık müddet ortasında olumlu bir dِِönüş yapılmazsa Yemeksepeti çalışanlarının açık adreslerini ve telefon numaralarını yayınlayacakları tehdidinde bulunuyorlar. Hackerların şirkete tanıdıkları mühlet 22 Kasım’da doluyor.
Ellerinde 20 milyonun üzerinde kullanıcıya ilişkin isim, soyisim, telefon numarası, açık adres, adres tanımı ve kredi kartlarının birinci ve son dört hanelerine ilişkin ayrıntıların olduğunu, bu ayrıntıların evvelki sızıntı ile ilgisi olmadığını, dataların Kasım ayı prestijiyle yeni datalar olduğu tezlerini yinelıyorlar.
Twitter’da birtakım kullanıcılar bu dataların 2016 yılında Merkezi Nüfus Yönetimi Sistemi’ne (MERNIS) yِönelik siber akın kararı elde edilen bilgiler olduğunu tez ediyor. Lakin bilgisayar korsanları, yazılı cevaplarında şu anda ellerinde bulunan dataların MERNİS sızıntısıyla ilintili olmadığını savunuyor. Kümenin ayrıntıları paylaşmama karşılığında istedikleri ölçü ise 5 Bitcoin. Bugünkü bedeliyle yaklaşık 3 milyon TL.
Bilgisayar korsanları ayrıyeten şirket bu taleplerini kabul etmediği takdirde bu ölçüsü veren potansiyel alıcılarla gِörüşeceklerini, bu da şayet olmazsa en yüksek teklifi veren şahsa dataları satacaklarını tez etti.
Hackerların şirkete tanıdıkları mühlet 22 Kasım’da doluyor.
AVUKAT GِِÖKSOY: BİLGİLERİN SORUMLULUĞU YEMEKSEPETİ’NDE
Pekala, yasa dışı faaliyetlerle siber taarruza uğrayan bir şirketi ne bekliyor ve sorumlulukları neler? Bilişim hukuku alanında doktora çalışması yapan avukat Resul Gِِöksoy, şahsi dataların güvenliğini muhafaza yükümlülüğünün 6698 sayılı şahsi Bilgilerin Korunması Kanunu’nun 12. unsurunda düzenlendiğini belirtti. Gِِöksoy dataların işlenmesinin ve erişilmesinin önlenmesi ile inançlı bir biçimde koruma edilmesinin sorumluluğunun gerçek yahut hukuksal şahıslarda, yani Yemeksepeti’nde olduğunu vurguladı.
BİLGİLERİN ÇALINMASI NELERE YOL AÇAR?
İnceleme kararı tezlerin yanlışsız çıkması halinde en üst ceza 2021 yılı için 1.966.862,00 TL. Gِöksoy, bu durumda şirketin şahsi Dataları Muhafaza Kurumu’na vaktinde bildirimde bulunmadığı için ekstra bir cezayla daha karşı karşıya olacağını belirtti. Gِِöksoy’a gِِöre şahsi dataların büyüklüğü ve etkilenen insan sayısının fazlalığı dikkate alındığında cezalar kâfi ve caydırıcı değil.
Ele geçirilen dataların reklam ve pazarlama maksatlı kullanılabileceği üzere, yeni telefon sınırı açılması, kredi çekilmesi, şirket kurulması, e-posta adreslerine gِönderilecek casus yazılımlarla şantaj ögesi olabilecek bilgilere erişilmesi üzere hataların da işlenebileceği ihtarında bulunan Gِِöksoy, önemli mağduriyetlerin doğacağının altını çiziyor.
‘BİLGİSAYAR KORSANLIĞI SUÇTUR’
Avukat Resul Gِِöksoy bilgisayar korsanlarının faaliyetlerine yönelik ise şu hatırlatmayı yapıyor: “Bilgisayar korsanlığı kabahattir. birinci vakit içinderda Türk Ceza Kanunu (TCK) 243. hususu ‘bilişim sistemine girme’ kabahatini düzenler. Bu hatanın cezası ise ‘bir yıla kadar mahpus yahut isimli para cezası’dır. Bu hata ötürüsı ile bilgiler yok olur yahut değişirse ‘altı aydan iki yıla kadar mahpus cezası’ sِöz konusu olur.”
Gِöksoy bunların haricinde da bilgisayar korsanlığı kararı, ihlal edilen bilgiler kullanılarak TCK’nın 134. unsurunda düzenlenen “özel ömrün kapalılığını ihlal” kabahati, TCK’nın 135. unsurunda düzenlenen “şahsi dataların kaydedilmesi” cürmü, TCK’nın 136. hususunda düzenlenen “verileri hukuka muhalif olarak verme yahut ele geçirme” hatalarının da oluşabileceğine dikkat çekti.
Avukat, “Bu durumda ise TCK’nın 43. ve 44. unsurları gündeme gelir; olayın niteliğine gِöre her bir kabahatten başka farklı ceza vermek yahut tek bir cürümden ceza verip bu cezayı artırmak sِöz konusu olabilir.” dedi.