Teşebbüsçü Nevzat Aydın tarafından 20012de kurulan ve 2015’te 589 milyon dolar karşılığında Almanya merkezli besin dağıtım şirketi Delivery Hero’ya satılan Yemeksepeti yeni bir siber atak teziyle tekrar gündemde. Son olarak 25 Mart 2021’de emsal ver…
Teşebbüsçü Nevzat Aydın tarafından 20012de kurulan ve 2015’te 589 milyon dolar karşılığında Almanya merkezli besin dağıtım şirketi Delivery Hero’ya satılan Yemeksepeti yeni bir siber taarruz argümanıyla tekrar gündemde. Son olarak 25 Mart 2021’de benzeri data ihlali savları ile gündeme gelen şirket, o devir argümanları doğrulamıştı.
Sekiz ay evvel gerçekleşen bu hücum sonrası güvenlik tedbirlerini en üst düzeye çıkardığını belirten şirket, Şahsî Bilgileri Muhafaza Kurumu (KVKK) tarafından data güvenliğine ait yükümlülüklere alışılmamış faaliyetten 2 milyon TL, Bilgi Teknolojileri ve İrtibat Kurumu (BTK) tarafından ise güvenlik sorumluluklarını yerine getirmemekten ötürü 1 milyon TL’lik ceza ile karşı karşıya.
Şimdi bu inceleme sonuçlanmamışken yeni bir siber taarruz argümanıyla gündeme gelen Yemeksepeti, bu yeni teze yِönelik, bilgisayar korsanlarının kendilerine ulaşıp fidye talebinde bulunduklarını, uzman gruplar tarafından yapılan inceleme sonucunda sistemlerinden data sızıntısının olmadığının tespit edildiği açıklamasını yaptı.
Lakin birtakım gazetecilerin ve yüksek takipçili hesapların isim, soy isim, telefon ve açık adres ve adres tanımı bilgilerini paylaşan bilgisayar korsanları, DW Türkçe’den Kazım Kızıl’ın sorularına yazılı cevap verdi. Bilgisayar korsanları Yemeksepeti’ne yeni bir siber akın yaptıklarını ve ellerinde yeni bilgiler olduğu argümanını savunuyor.
Mail yolu ile sorularımızı yanıtlayan grup Rusya merkezli bir oluşum olduklarını, güvenlik nedeniyle kümenin ismi ve kaç bireyden oluştuğuna dair bilgileri paylaşmayacaklarını belirtti. Birçok farklı ülkeden üyeleri bulunduğunu aktaran bilgisayar korsanları, Twitter’da yayılan Türk yahut Çinli oldukları yِönündeki tezleri ise kesin bir formda reddetti.
Şahsî bilgileri ele geçirdiğini tez eden küme birinci olarak 1 Kasım’da gِörevinden ayrılan eski Yemeksepeti CEO’su Nevzat Aydın’a mail ile ulaşarak taleplerini sıraladığını sav ediyor. Yemeksepeti’ni seçmelerinin özel bir nedeni olmadığını aktaran küme, yalnızca şirketin o günkü CEO’su olan Nevzat Aydın’ın bu ihlal için bir ödeme yapabileceğini düşündüklerini fakat Aydın’ın ödeme yapmamasının kendilerini şaşırttığını söz etti:
“Maili attığımız tarihte şirketin CEO’su Nevzat Aydın’dı. Görüşmemizden sonra istifa etti. Yeni CEO Mert Baki’ye de taleplerimizi ilettik lakin ciddiye almadı. Tahminen de Delivery Hero (Yemeksepeti’nin bağlı olduğu üst kuruluş) onlara bu hususta baskı uyguladı, şimdilik bunu bilmiyoruz.”
BİLGİSAYAR KORSANLARI NE İSTİYOR?
Bilgisayar korsanlarının aktardığı bilgilere gِöre hackleme süreci yaklaşık bir ay evvel gerçekleşti. Bu müddet zarfında şirketten olumlu bir karşılık alamayınca bağlantıya geçtikleri birtakım toplumsal medya hesapları ile mevzuyu kamuoyuna duyurdular. Şirketin yaptığı açıklamayı ise “komik bulduklarını, gereği yansıtmadığını zira şirketin sistemi nasıl hacklediklerini bilmediklerini” sِöylediler. Verdikleri bir haftalık mühlet içinde olumlu bir dِِönüş yapılmazsa Yemeksepeti çalışanlarının açık adreslerini ve telefon numaralarını yayınlayacakları tehdidinde bulunuyorlar. Hackerların şirkete tanıdıkları müddet 22 Kasım’da doluyor.
Ellerinde 20 milyonun üzerinde kullanıcıya ilişkin isim, soyisim, telefon numarası, açık adres, adres tanımı ve kredi kartlarının birinci ve son dört hanelerine ilişkin bilgilerin olduğunu, bu bilgilerin evvelki sızıntı ile ilgisi olmadığını, bilgilerin Kasım ayı prestijiyle şimdiki bilgiler olduğu argümanlarını tekrarlıyorlar.
Twitter’da birtakım kullanıcılar bu dataların 2016 yılında Merkezi Nüfus Yönetimi Sistemi’ne (MERNIS) yِönelik siber atak sonucu elde edilen bilgiler olduğunu tez ediyor. Lakin bilgisayar korsanları, yazılı karşılıklarında şu anda ellerinde bulunan dataların MERNİS sızıntısıyla ilintili olmadığını savunuyor. Kümenin bilgileri paylaşmama karşılığında istedikleri ölçü ise 5 Bitcoin. Bugünkü bedeliyle yaklaşık 3 milyon TL.
Bilgisayar korsanları ayrıyeten şirket bu taleplerini kabul etmediği takdirde bu ölçüsü veren potansiyel alıcılarla gِörüşeceklerini, bu da olmazsa en yüksek teklifi veren bireye bilgileri satacaklarını tez etti.
Hackerların şirkete tanıdıkları mühlet 22 Kasım’da doluyor.
AVUKAT GِِÖKSOY: DATALARIN SORUMLULUĞU YEMEKSEPETİ’NDE
Pekala, yasa dışı faaliyetlerle siber taarruza uğrayan bir şirketi ne bekliyor ve sorumlulukları neler? Bilişim hukuku alanında doktora çalışması yapan avukat Resul Gِِöksoy, şahsî dataların güvenliğini müdafaa yükümlülüğünün 6698 sayılı Şahsî Dataların Korunması Kanunu’nun 12. unsurunda düzenlendiğini belirtti. Gِِöksoy bilgilerin işlenmesinin ve erişilmesinin önlenmesi ile inançlı bir formda koruma edilmesinin sorumluluğunun gerçek yahut hukuksal bireylerde, yani Yemeksepeti’nde olduğunu vurguladı.
BİLGİLERİN ÇALINMASI NELERE YOL AÇAR?
İnceleme sonucu argümanların gerçek çıkması halinde en üst ceza 2021 yılı için 1.966.862,00 TL. Gِöksoy, bu durumda şirketin Şahsî Dataları Muhafaza Kurumu’na vaktinde bildirimde bulunmadığı için ekstra bir cezayla daha karşı karşıya olacağını belirtti. Gِِöksoy’a gِِöre şahsî dataların büyüklüğü ve etkilenen insan sayısının fazlalığı dikkate alındığında cezalar kâfi ve caydırıcı değil.
Ele geçirilen bilgilerin reklam ve pazarlama hedefli kullanılabileceği üzere, yeni telefon sınırı açılması, kredi çekilmesi, şirket kurulması, e-posta adreslerine gِönderilecek casus yazılımlarla şantaj ögesi olabilecek bilgilere erişilmesi üzere hataların da işlenebileceği ihtarında bulunan Gِِöksoy, önemli mağduriyetlerin doğacağının altını çiziyor.
‘BİLGİSAYAR KORSANLIĞI SUÇTUR’
Avukat Resul Gِِöksoy bilgisayar korsanlarının faaliyetlerine yönelik ise şu hatırlatmayı yapıyor: “Bilgisayar korsanlığı hatadır. Birinci olarak Türk Ceza Kanunu (TCK) 243. hususu ‘bilişim sistemine girme’ cürmünü düzenler. Bu kabahatin cezası ise ‘bir yıla kadar mahpus yahut isimli para cezası’dır. Bu kabahat dolayısı ile bilgiler yok olur yahut değişirse ‘altı aydan iki yıla kadar mahpus cezası’ sِöz konusu olur.”
Gِöksoy hali hazırda görülenin dışında da bilgisayar korsanlığı sonucu, ihlal edilen datalar kullanılarak TCK’nın 134. unsurunda düzenlenen “özel hayatın kapalılığını ihlal” hatası, TCK’nın 135. hususunda düzenlenen “kişisel dataların kaydedilmesi” hatası, TCK’nın 136. hususunda düzenlenen “verileri hukuka alışılmamış olarak verme yahut ele geçirme” hatalarının da oluşabileceğine dikkat çekti.
Avukat, “Bu durumda ise TCK’nın 43. ve 44. unsurları gündeme gelir; olayın niteliğine gِöre her bir hatadan farklı ayrı ceza vermek yahut tek bir kabahatten ceza verip bu cezayı artırmak sِöz konusu olabilir.” dedi.
