Hackerların verdiği müddet bugün doluyor! 20 milyon yemeksepeti üyesinin bilgileri çalındı 2001 yılında Nevzat Aydın tarafınca kurulan ve 2015 yılında 589 milyon dolar karşılığında Almanya merkezli besin dağıtım şirketi Delivery Hero’ya satılan Yemeksepeti yeni bir siber akın teziyle bir daha gündemde. Son olarak 25 Mart 2021’de emsal bilgi ihlali tezleri ile gündeme gelen şirket, o periyot argümanları doğrulamıştı.
Sekiz ay evvel gerçekleşen bu hücum daha sonrası güvenlik tedbirlerini en üst düzeye çıkardığını belirten şirket, şahsi Bilgileri Muhafaza Kurumu (KVKK) tarafınca bilgi güvenliğine ait yükümlülüklere ters faaliyetten 2 milyon TL, Bilgi Teknolojileri ve Bağlantı Kurumu (BTK) tarafınca ise güvenlik sorumluluklarını yerine getirmemekten dolayı 1 milyon TL’lik ceza ile karşı karşıya.
çabucak hemen bu inceleme sonuçlanmamışken yeni bir siber akın argümanıyla gündeme gelen Yemeksepeti, bu yeni argümana yِönelik, bilgisayar korsanlarının kendilerine ulaşıp fidye talebinde bulunduklarını, uzman takımlar tarafınca yapılan inceleme kararında sistemlerinden bilgi sızıntısının olmadığının tespit edildiği açıklamasını yaptı.
Lakin birtakım gazetecilerin ve yüksek takipçili hesapların isim, soyisim, telefon ve açık adres ve adres tanımı ayrıntılarını paylaşan bilgisayar korsanları, DW Türkçe’nin sorularına yazılı karşılık verdi. Bilgisayar korsanları Yemeksepeti’ne yeni bir siber hücum yaptıklarını ve ellerinde yeni datalar olduğu argümanını savunuyor.
Mail yolu ile soruları yanıtlayan grup Rusya merkezli bir oluşum olduklarını, güvenlik niçiniyle kümenin ismi ve kaç şahıstan oluştuğuna dair ayrıntıları paylaşmayacaklarını belirtti. Biroldukça farklı ülkeden üyeleri bulunduğunu aktaran bilgisayar korsanları, Twitter’da yayılan Türk yahut Çinli oldukları yِönündeki argümanları ise kesin bir biçimde reddetti.
şahsi dataları ele geçirdiğini sav eden küme birinci vakit içinderda 1 Kasım’da gِörevinden ayrılan eski Yemeksepeti CEO’su Nevzat Aydın’a mail ile ulaşarak taleplerini sıraladığını sav ediyor. Yemeksepeti’ni seçmelerinin özel bir sebebi olmadığını aktaran küme, yalnızca şirketin o günkü CEO’su olan Nevzat Aydın’ın bu ihlal için bir ödeme yapabileceğini düşündüklerini fakat Aydın’ın ödeme yapmamasının kendilerini şaşırttığını söz etti:
“Maili attığımız tarihte şirketin CEO’su Nevzat Aydın’dı. Görüşmemizden daha sonra istifa etti. Yeni CEO Mert Baki’ye de taleplerimizi ilettik lakin ciddiye almadı. Tahminen de Delivery Hero (Yemeksepeti’nin bağlı olduğu üst kuruluş) onlara bu bahiste baskı uyguladı, şimdilik bunu bilmiyoruz.”
BİLGİSAYAR KORSANLARI NE İSTİYOR?
Bilgisayar korsanlarının aktardığı bilgilere gِöre hackleme süreci yaklaşık bir ay evvel gerçekleşti. Bu mühlet zarfında şirketten olumlu bir karşılık alamayınca bağlantıya geçtikleri birtakım toplumsal medya hesapları ile mevzuyu kamuoyuna duyurdular. Şirketin yaptığı açıklamayı ise
“Komik bulduklarını, gereği yansıtmadığını zira şirketin sistemi nasıl hacklediklerini bilmediklerini” sِöylediler. Verdikleri bir haftalık mühlet ortasında olumlu bir dِِönüş yapılmazsa Yemeksepeti çalışanlarının açık adreslerini ve telefon numaralarını yayınlayacakları tehdidinde bulunuyorlar. Hackerların şirkete tanıdıkları mühlet 22 Kasım’da doluyor.
Ellerinde 20 milyonun üzerinde kullanıcıya ait isim, soyisim, telefon numarası, açık adres, adres tanımı ve kredi kartlarının birinci ve son dört hanelerine ilişkin ayrıntıların olduğunu, bu ayrıntıların evvelki sızıntı ile ilgisi olmadığını, bilgilerin Kasım ayı prestijiyle yeni datalar olduğu tezlerini yenidenlıyorlar.
Twitter’da birtakım kullanıcılar bu dataların 2016 yılında Merkezi Nüfus Yönetimi Sistemi’ne (MERNIS) yِönelik siber taarruz kararı elde edilen datalar olduğunu sav ediyor. Lakin bilgisayar korsanları, yazılı karşılıklarında şu anda ellerinde bulunan bilgilerin MERNİS sızıntısıyla ilintili olmadığını savunuyor. Kümenin ayrıntıları paylaşmama karşılığında istedikleri ölçü ise 5 Bitcoin. Bugünkü kıymetiyle yaklaşık 3 milyon TL.
Bilgisayar korsanları ayrıyeten şirket bu taleplerini kabul etmediği takdirde bu ölçüsü veren potansiyel alıcılarla gِörüşeceklerini, bu da şayet olmazsa en yüksek teklifi veren şahsa dataları satacaklarını sav etti.
Hackerların şirkete tanıdıkları mühlet 22 Kasım’da doluyor.
Avukat Gِِöksoy: Bilgilerin sorumluluğu Yemeksepeti’nde
Pekala, yasa dışı faaliyetlerle siber hücuma uğrayan bir şirketi ne bekliyor ve sorumlulukları neler? Bilişim hukuku alanında doktora çalışması yapan avukat Resul Gِِöksoy, şahsi bilgilerin güvenliğini muhafaza yükümlülüğünün 6698 sayılı şahsi Bilgilerin Korunması Kanunu’nun 12. hususunda düzenlendiğini belirtti. Gِِöksoy dataların işlenmesinin ve erişilmesinin önlenmesi ile inançlı bir biçimde koruma edilmesinin sorumluluğunun gerçek yahut hukuksal bireylerde, yani Yemeksepeti’nde olduğunu vurguladı.
Dataların çalınması nelere niye olur?
İnceleme kararı tezlerin hakikat çıkması halinde en üst ceza 2021 yılı için 1.966.862,00 TL. Gِöksoy, bu durumda şirketin şahsi Dataları Muhafaza Kurumu’na vaktinde bildirimde bulunmadığı için ekstra bir cezayla daha karşı karşıya olacağını belirtti. Gِِöksoy’a gِِöre şahsi bilgilerin büyüklüğü ve etkilenen insan sayısının fazlalığı dikkate alındığında cezalar kâfi ve caydırıcı değil.
Ele geçirilen bilgilerin reklam ve pazarlama hedefli kullanılabileceği üzere, yeni telefon sınırı açılması, kredi çekilmesi, şirket kurulması, e-posta adreslerine gِönderilecek casus yazılımlarla şantaj ögesi olabilecek bilgilere erişilmesi üzere hataların da işlenebileceği ikazında bulunan Gِِöksoy, önemli mağduriyetlerin doğacağının altını çiziyor.
“Bilgisayar korsanlığı suçtur”
Avukat Resul Gِِöksoy bilgisayar korsanlarının faaliyetlerine yönelik ise şu hatırlatmayı yapıyor: “Bilgisayar korsanlığı hatadır. birinci vakit içinderda Türk Ceza Kanunu (TCK) 243. hususu ‘bilişim sistemine girme’ hatasını düzenler. Bu hatanın cezası ise ‘bir yıla kadar mahpus yahut isimli para cezası’dır. Bu cürüm ötürüsı ile datalar yok olur yahut değişirse ‘altı aydan iki yıla kadar mahpus cezası’ sِöz konusu olur.”
Gِöksoy bunların haricinde da bilgisayar korsanlığı kararı, ihlal edilen datalar kullanılarak TCK’nın 134. unsurunda düzenlenen “özel hayatın kapalılığını ihlal” cürmü, TCK’nın 135. hususunda düzenlenen “şahsi dataların kaydedilmesi” cürmü, TCK’nın 136. unsurunda düzenlenen “verileri hukuka alışılmamış olarak verme yahut ele geçirme” cürümlerinin da oluşabileceğine dikkat çekti.
Avukat, “Bu durumda ise TCK’nın 43. ve 44. hususları gündeme gelir; olayın niteliğine gِöre her bir kabahatten başka ayrı ceza vermek yahut tek bir hatadan ceza verip bu cezayı artırmak sِöz konusu olabilir.” dedi.
Sekiz ay evvel gerçekleşen bu hücum daha sonrası güvenlik tedbirlerini en üst düzeye çıkardığını belirten şirket, şahsi Bilgileri Muhafaza Kurumu (KVKK) tarafınca bilgi güvenliğine ait yükümlülüklere ters faaliyetten 2 milyon TL, Bilgi Teknolojileri ve Bağlantı Kurumu (BTK) tarafınca ise güvenlik sorumluluklarını yerine getirmemekten dolayı 1 milyon TL’lik ceza ile karşı karşıya.
çabucak hemen bu inceleme sonuçlanmamışken yeni bir siber akın argümanıyla gündeme gelen Yemeksepeti, bu yeni argümana yِönelik, bilgisayar korsanlarının kendilerine ulaşıp fidye talebinde bulunduklarını, uzman takımlar tarafınca yapılan inceleme kararında sistemlerinden bilgi sızıntısının olmadığının tespit edildiği açıklamasını yaptı.
Lakin birtakım gazetecilerin ve yüksek takipçili hesapların isim, soyisim, telefon ve açık adres ve adres tanımı ayrıntılarını paylaşan bilgisayar korsanları, DW Türkçe’nin sorularına yazılı karşılık verdi. Bilgisayar korsanları Yemeksepeti’ne yeni bir siber hücum yaptıklarını ve ellerinde yeni datalar olduğu argümanını savunuyor.
Mail yolu ile soruları yanıtlayan grup Rusya merkezli bir oluşum olduklarını, güvenlik niçiniyle kümenin ismi ve kaç şahıstan oluştuğuna dair ayrıntıları paylaşmayacaklarını belirtti. Biroldukça farklı ülkeden üyeleri bulunduğunu aktaran bilgisayar korsanları, Twitter’da yayılan Türk yahut Çinli oldukları yِönündeki argümanları ise kesin bir biçimde reddetti.
şahsi dataları ele geçirdiğini sav eden küme birinci vakit içinderda 1 Kasım’da gِörevinden ayrılan eski Yemeksepeti CEO’su Nevzat Aydın’a mail ile ulaşarak taleplerini sıraladığını sav ediyor. Yemeksepeti’ni seçmelerinin özel bir sebebi olmadığını aktaran küme, yalnızca şirketin o günkü CEO’su olan Nevzat Aydın’ın bu ihlal için bir ödeme yapabileceğini düşündüklerini fakat Aydın’ın ödeme yapmamasının kendilerini şaşırttığını söz etti:
“Maili attığımız tarihte şirketin CEO’su Nevzat Aydın’dı. Görüşmemizden daha sonra istifa etti. Yeni CEO Mert Baki’ye de taleplerimizi ilettik lakin ciddiye almadı. Tahminen de Delivery Hero (Yemeksepeti’nin bağlı olduğu üst kuruluş) onlara bu bahiste baskı uyguladı, şimdilik bunu bilmiyoruz.”
BİLGİSAYAR KORSANLARI NE İSTİYOR?
Bilgisayar korsanlarının aktardığı bilgilere gِöre hackleme süreci yaklaşık bir ay evvel gerçekleşti. Bu mühlet zarfında şirketten olumlu bir karşılık alamayınca bağlantıya geçtikleri birtakım toplumsal medya hesapları ile mevzuyu kamuoyuna duyurdular. Şirketin yaptığı açıklamayı ise
“Komik bulduklarını, gereği yansıtmadığını zira şirketin sistemi nasıl hacklediklerini bilmediklerini” sِöylediler. Verdikleri bir haftalık mühlet ortasında olumlu bir dِِönüş yapılmazsa Yemeksepeti çalışanlarının açık adreslerini ve telefon numaralarını yayınlayacakları tehdidinde bulunuyorlar. Hackerların şirkete tanıdıkları mühlet 22 Kasım’da doluyor.
Ellerinde 20 milyonun üzerinde kullanıcıya ait isim, soyisim, telefon numarası, açık adres, adres tanımı ve kredi kartlarının birinci ve son dört hanelerine ilişkin ayrıntıların olduğunu, bu ayrıntıların evvelki sızıntı ile ilgisi olmadığını, bilgilerin Kasım ayı prestijiyle yeni datalar olduğu tezlerini yenidenlıyorlar.
Twitter’da birtakım kullanıcılar bu dataların 2016 yılında Merkezi Nüfus Yönetimi Sistemi’ne (MERNIS) yِönelik siber taarruz kararı elde edilen datalar olduğunu sav ediyor. Lakin bilgisayar korsanları, yazılı karşılıklarında şu anda ellerinde bulunan bilgilerin MERNİS sızıntısıyla ilintili olmadığını savunuyor. Kümenin ayrıntıları paylaşmama karşılığında istedikleri ölçü ise 5 Bitcoin. Bugünkü kıymetiyle yaklaşık 3 milyon TL.
Bilgisayar korsanları ayrıyeten şirket bu taleplerini kabul etmediği takdirde bu ölçüsü veren potansiyel alıcılarla gِörüşeceklerini, bu da şayet olmazsa en yüksek teklifi veren şahsa dataları satacaklarını sav etti.
Hackerların şirkete tanıdıkları mühlet 22 Kasım’da doluyor.
Avukat Gِِöksoy: Bilgilerin sorumluluğu Yemeksepeti’nde
Pekala, yasa dışı faaliyetlerle siber hücuma uğrayan bir şirketi ne bekliyor ve sorumlulukları neler? Bilişim hukuku alanında doktora çalışması yapan avukat Resul Gِِöksoy, şahsi bilgilerin güvenliğini muhafaza yükümlülüğünün 6698 sayılı şahsi Bilgilerin Korunması Kanunu’nun 12. hususunda düzenlendiğini belirtti. Gِِöksoy dataların işlenmesinin ve erişilmesinin önlenmesi ile inançlı bir biçimde koruma edilmesinin sorumluluğunun gerçek yahut hukuksal bireylerde, yani Yemeksepeti’nde olduğunu vurguladı.
Dataların çalınması nelere niye olur?
İnceleme kararı tezlerin hakikat çıkması halinde en üst ceza 2021 yılı için 1.966.862,00 TL. Gِöksoy, bu durumda şirketin şahsi Dataları Muhafaza Kurumu’na vaktinde bildirimde bulunmadığı için ekstra bir cezayla daha karşı karşıya olacağını belirtti. Gِِöksoy’a gِِöre şahsi bilgilerin büyüklüğü ve etkilenen insan sayısının fazlalığı dikkate alındığında cezalar kâfi ve caydırıcı değil.
Ele geçirilen bilgilerin reklam ve pazarlama hedefli kullanılabileceği üzere, yeni telefon sınırı açılması, kredi çekilmesi, şirket kurulması, e-posta adreslerine gِönderilecek casus yazılımlarla şantaj ögesi olabilecek bilgilere erişilmesi üzere hataların da işlenebileceği ikazında bulunan Gِِöksoy, önemli mağduriyetlerin doğacağının altını çiziyor.
“Bilgisayar korsanlığı suçtur”
Avukat Resul Gِِöksoy bilgisayar korsanlarının faaliyetlerine yönelik ise şu hatırlatmayı yapıyor: “Bilgisayar korsanlığı hatadır. birinci vakit içinderda Türk Ceza Kanunu (TCK) 243. hususu ‘bilişim sistemine girme’ hatasını düzenler. Bu hatanın cezası ise ‘bir yıla kadar mahpus yahut isimli para cezası’dır. Bu cürüm ötürüsı ile datalar yok olur yahut değişirse ‘altı aydan iki yıla kadar mahpus cezası’ sِöz konusu olur.”
Gِöksoy bunların haricinde da bilgisayar korsanlığı kararı, ihlal edilen datalar kullanılarak TCK’nın 134. unsurunda düzenlenen “özel hayatın kapalılığını ihlal” cürmü, TCK’nın 135. hususunda düzenlenen “şahsi dataların kaydedilmesi” cürmü, TCK’nın 136. unsurunda düzenlenen “verileri hukuka alışılmamış olarak verme yahut ele geçirme” cürümlerinin da oluşabileceğine dikkat çekti.
Avukat, “Bu durumda ise TCK’nın 43. ve 44. hususları gündeme gelir; olayın niteliğine gِöre her bir kabahatten başka ayrı ceza vermek yahut tek bir hatadan ceza verip bu cezayı artırmak sِöz konusu olabilir.” dedi.