Türkiye’nin en büyük çevrim içi yemek sipariş sitesi Yemeksepeti’nin ikinci kez siber saldırıya uğradığı iddia edildi. Sanal ortamda satışa çıkarılan bilgiler arasında üyelerin cep telefonu ve kayıtlı adresleri gibi özel bilgileri de var. Şirketten yapılan açıklamada kendilerinden fidye istendiği kabul edildi ama veri hırsızlığı yalanlandı.
VERYANSIN TV
Türkiye’de 2001 yılında kurulan online yemek satış sitesi Yemek Sepeti mart ayında hack’lenmiş ve milyonlarca kullanıcının kişisel bilgileri çalınmıştı.
30 milyondan fazla üyesi olan Yemeksepeti benzer bir skandalla daha gündemde. Mart ayında saldırıya uğrayan ve verileri çalınarak satışa çıkarılan Yemeksepeti’nin yine bir hacker grubu tarafından saldırıya uğradığı iddia edildi. Söz konusu saldırı sonucu kullanıcı verileri, birçok metrikle birlikte ele geçirildi.
Ele geçirilen bilgiler arasında kullanıcı isimleri, telefon numaraları, adresler, kayıtlı kredi kartlarının son 4 hanelerinin yer aldığı iddia edildi. Verileri çalınan üye sayısının ise 30 milyonun üzerinde olduğu iddia ediliyor.
Saldırıyı gerçekleştiren hacker grubu, verileri satışa çıkarmadan önce Yemeksepeti’nin sahibi Nevzat Aydın ile iletişime geçerek istedikleri ödemenin yapılmaması durumunda saldırıyı herkese duyuracaklarını ilan ettikleri iddialar arasında.
Technopat’ın haberine göre Nevzat Aydın’dan istediklerini alamayan grup, tüm yazışmaları ve saldırıyı kanıtlayan birkaç veriyi gazetecilerle paylaştı. Söz konusu veriler, birçok ciddi bilginin açığa çıktığını doğruluyor. Bu veriler arasında Nevzat Aydın’ın kişisel bilgileri de dahil olmak üzere birçok ünlü isme ait bilgileri içeriyor.
Nevzat Aydın’la hacker grubu arasında yapılan görüşmenin sonunda üçüncü bir saldırı detayı da yer alıyor. Bu saldırının ise fidye ödemesi yapılmaması durumunda yapılacağı belirtilmiş. Yani üçüncü bir saldırının gerçekleşmiş olabileceği ve daha fazla bilginin saldırganlar tarafından ele geçirilebileceği muhtemel.
GAZETECİLERLE PAYLAŞTILAR
Gazeteci İbrahim Haskoloğlu, sosyal medya hesabından yaptığı paylaşımda verileri satışa sunanlara ulaştığını ve kişisel bilgilerinin kendine gönderildiğini belirtti.
“Yemeksepeti’nden yaklaşık 50 milyon kişinin verilerinin çalınıp Darkweb’de satıldığı belirtilmişti. Verileri satışa sunan Hacker’a ulaştım, kanıtlaması için kendi adresimi, telefon numaramı göndermesini istedim Kendisi açık adresimin tarifiyle beraber telefon numaramı gönderdi.
Bu verileri ne kadara sattıklarını sordum kendisi: “Yemeksepeti iyi bir miktarda para verirse verileri kimseye satmayacağız.” Mesajını gönderdi.
Hacker son olarak şunları söyledi: Bu sızıntı, Mart 2021’de gerçekleşen bir önceki sızıntıyla ilgili değil. Bunlar en güncel veriler. Ayrıca Kasım 2021 verisine de sahibiz ve bunu zaten rastgele kullanıcılarla kanıtlıyoruz.”
Teknoloji uzmanı Mesut Çevik de sosyal medya hesabından yaptığı paylaşımda “Veriler yine ortaya saçılmış sanırım. Az önce eposta aldım.” diyerek gelen e-postayı paylaştı.
Yemeksepeti’ni hackleyen ve Nevzat Aydın’a ulaşan hackerlar, Aydın ile olduğunu iddia ettikleri konuşmaları da ayrıca Mesut Çevik’e de e-posta yoluyla gönderdi.
İşte hackerların Nevzat Aydın’a gönderdiklerini iddia ettikleri e-posta;
Merhaba Mesut. Bu oldukça yeni veri sızıntısı olayını takipçilerinle paylaşman için bu bilgileri sana da gönderiyoruz.
Merhaba Nevzat. Sana kötü haberlerimiz var, yeniden hacklendiniz. Elimizdeki verilen 2021 Mart ayındaki sızıntıdan kalma olmadığını kanıtlamak için sana 2021 Nisan ayından sonraki bazı verileri gönderiyoruz. Lütfen dikkatlice oku ve bize hemen dönüş yap.
Soru: Ne istiyorsunuz?
Cevap: Bitcoin ile ödeme. Bize cevap verdiğinde miktari konuşabiliriz.
Soru: Elinizde ne var?
Cevap: İçinde isimlerin, telefon numaralarının, adreslerin, e-posta adreslerinin, adres tariflerinin ve bazı kredi kartlarının son 4 hanesinin olduğu 30 milyon satırdan fazla bilgi.
Soru: Size para versem bile bu verilerin hepsini paylaşmayacağınıza ya da satmayacağınıza nasıl güvenebilirim?
Cevap: Güvenemezsin, Ama senin ödemenden sonra verileri satmakla ilgilenmiyoruz.
Soru: Bu verilerin son sızıntıyla alakalı olduğunu nasıl bilebilirim?
Cevap: Dediğim gibi bunun için bir sürü kanıtım var. E-postanın sonundaki son 2 veriyi kontrol edebilirsin.
Soru: Son sızıntıdan sonra (8 ay önceki) bizi nasıl tekrar hacklediniz?
Cevap: Öncelikle, işe yaramaz güvenlik mühendislerinize ve size penetration test (sistemin siber saldırıya dayanaklılığını test etmek amacıyla kasıtlı olarak yapılan saldırılar) yapan danışmanlık şirketinde güvenmemelisiniz. Belki size tam olarak nasıl yaptığımızı söyleyebiliriz ama bu yapacağınız ödemeye göre değişir.
Soru: Bu sızıntıyı benden başka bilen var mı?
Cevap: Hayır, şu anda yok. Şirketin CEO, CTO ve diğer ortaklarınızı bile henüz bilgilendirmedik. Şu anda sadece sen biliyorsun ama bu durum davranışına göre değişebilir.
Soru: Peki ödemek istemezsem sonrasında ne olacak?
Cevap: Bir önceki sızıntıda yaklaşık 2 milyon TL ceza aldığınızı biliyoruz. Araştırmalarımıza göre bu kez 2 milyon TL’den daha fazla ceza ödeyeceksiniz ve şirketiniz yaşanan güven kaybı sebebiyle zarara uğrayacak. Bu bilgileri paylaşmak için Türkiye’deki birçok gazetecinin e-posta ve telefon numaralarını bulduk. İkinci veri ihlalinin yaratacağı kaosu tahmin edebilirsin. Ayrıca ilk sızıntıdaki verileri hiçbir yerde paylaşmadık. Önceki veriler için ödeme yapmış olabilirsin ama öncelikle 100 bin kullanıcının verisini ücretsiz bir şekilde paylaşacağız. Ardından potansiyel alıcılarla iletişime geçeceğiz.
Türk halkının ikinci sızıntıdan sonra nasıl tepki vereceğini düşün. Şirketinin güvenini düşün. KVKK’dan gelecek olan 2 milyon TL’den fazla olan ikinci cezayı düşün.
Biz, senden sadece küçük bir miktar para talep ediyoruz. Sonrasında sana ne yaptığımızı açıklayabiliriz, çünkü bugün 100 tester ile yaptığın testlerde bile herhangi bir sorun bulamadınız :)
Bu kez bize inanmazsan üçüncü kez hacklenebilirsin.
YEMEKSEPETİ’NDEN AÇIKLAMA: VERİ İHLALİ VE HIRSIZLIK TESPİT EDİLEMEDİ
Yemeksepeti, olayın internette yayılmasının ardından resmi Twitter hesabından bir açıklama yayınladı. Yapılan açıklamada hackerların fidye talebine olumsuz yanıt verdiklerini ve yasal süreci başlattıklarını açıkladılar. Açıklamada ayrıca yapılan kontrollerin ardından sistemlerde herhangi bir veri ihlali ya da hırsızlığı tespit edemediklerini de açıklayan Yemeksepeti yetkilileri, süreci paylaşacaklarını söyledi.
