Yemeksepeti 2 gün önce önemli bir açıklama yayınladı ve 25 martta uğradığı bir siber saldırı sonrasında, müşteri bilgilerinin hacklendiğine kamuoyuna duyurdu. 21 milyon kullanıcının ad, soyad, mail adresi, fiziksel adres ve telefon bilgilerinin sızdığı belirtilen açıklamada iç rahatlatan bir unsur, (kapalı kodlandığı için) şifrelerin ve (kredi kart firmasında depolandığı için) kredi kart bilgilerinin çalınmadığı şeklinde[1]. Arkasından Kişisel Verileri Koruma Kurulu’nun (KVKK) soruşturma açtığını duyduk.
Bu bilgiler “Yemeksepeti.com müşterileri” olan hemen hepimizi ferahlatmaya yeter mi?
Maalesef hayır.
Kimlik verileri, dünyada ve ülkemizde en çok çalınması istenen bilgiler. Neden? Çünkü bu veriler kullanılarak çok sayıda “hukuksuz” iş yapılabiliyor. Hepsini olmasa da, bu kimlik çalınmalarının çeşitli yönlerini örneklendirmesi açısından, olayın tüm boyutlarına bakalım.
Kredi Kartları Verileri Çalınmamış
Bu veri hırsızlığında, finansal verilerin (kredi kart bilgileri) çalınmamış olması iyi bir durum. PCI DSS standardı [2] çerçevesinde, kredi kart kabul eden firmaların hepsinin yaptığı gibi, kredi kart bilgileri servis veren firma (MasterCard) şirketinin veri tabanında saklanıyor. Kullanılması gerektiğinde de oradan alınıyor.
İnternetin başlaması ve yaygınlaşması ile birlikte, ilk dolandırıcılıklarda, kredi kart hırsızlığı büyük boyutlardaydı. Buna önlem olarak ana kredi kartı servis sunucuları, 2006 yılında PCI DSS devreye aldılar [2]. Yemeksepeti kimlik bilgileri çalınmasının bu nedenle finansal veriler anlamında sorunu gözükmüyor.
Şifreler SHA 256 ile Maskelenmiş
Olayın bir başka boyutu; şifreler. Yemeksepeti açıklamasında şifrelerin kapalı (SHA-256 algoritması [3] ile maskelenmiş) olduğunu belirtiyor.
Şifrelerin güçlü kodlanması da önemli. gerçi şifrelerle görülse görülse verilen siparişler ve puanlar görülür.. desek de.. burada başka bir handikap var. Bunu bir siber güvenlikçi şöyle izah ediyor;
“Hash olayı tek yönlü ve geri döndürülmez ama bir parola sözlüğünden, basit parolaların bit hashleri oluşturulup, yemeksepetinden elde edilen hashlerle karşılaştırılabilir ve aynı olanlar tespit edilebilir. Ama daha kötüsü bu parola ile mail hesabı ya da diğer üye olunan yerlerde aynı parola kullanılmış mı kontrol edilebilir. 21 milyon kullanıcının % 10’unun şifresi bu yolla ele geçirilse, 2 milyon hesap yapar.”
Anlayacağınız şifreler kapalı olsa da bir risk taşıyor. Buradan kullanıcılara 2 mesaj var. Şöyle ki, kullanıcı olan herkesin ;
- Yemeksepeti şifrelerini hemen değiştirmesi gerekli.
- Üstelik de yüzbin defa söylendiği üzere, şifrelerin basit ve kolay bulunabilir olmayacak cinsten tanımlanması gerekli
Şenol Çolak (Nucleus kurucusu) bu konuda, herkesin bir “parola yönetim yazılımı” kullanmasını tavsiye ediyor.
Dolandırıcılar İş Başına, Taze Bilgiler Geldi, Sosyal Mühendisliğin Zamanıdır
Bir de asıl çalınan veriler konusuna yakından bakalım. YemekSepeti.com’un açıklama yapmasının nedeni, 6698 sayılı “Kişisel Verileri Koruma” kanunu. Bu kanundan önce, bu tür veri ihlallerini arada sırada duyabiliyorduk ama olayın bütününü öğrenemiyorduk. İçeriden birileri ya da hackleyenler ne kadar bilgi verir ya da sızdırırsa, onu da dedikodu halinde öğreniyorduk.
Oysa kişisel verilerin bilgilerin çalınması bir sorun ama çalındığını bilmiyor olmak daha fazla sorun. Korunmasız ya da savunmasız olmak demek.
Sonucu mu?
Arama motoruna “telefon dolandırıcılığı” yazarsanız, çok yüksek sayıda dolandırıcılıkla karşılaşırsınız. Koca koca profesörleri, iş adamlarını, emeklileri ikna eden dolandırıcılar var ya, işte onların en önemli aracı, bu “kimlik verileri”. İşlerini yaparken, buradan aldıkları verileri bir sosyal mühendislik aracı olarak kullanıyorlar. Yemek sepeti.com hacklemesi o nedenle çok önemli bir olay.
Bunun bir de şu boyutu var; YemekSepeti kullanıcıları genellikle gençlik. Yani dolandırıcılar ellerine “iş hayatına yeni girmiş ve para harcayan taze kimlik bilgileri” geçmiş oldu.
Bir Dolandırıcılık Deneyimi
Bütün bu yıllar boyunca telefon dolandırıcılığı haberlerini okudum ama hiç başıma gelmemişti. Ama geçen hafta beni de dolandırıcılar aradı. Yemeksepeti açıklamalarına bakarsanız, “25 sabahı siber saldırıyı farkettik” diyor ama açıklamadan, bunun daha önceden beri yapılıp, o sabah mı farkedildiği, ya da o sabah mı başladığı konusunda bir açıklık yok[1]. Dolayısıyla benim aranmamı da sonradan, “kullanıcısı olduğum YemekSepeti kaynaklı olabilir mi?” diye düşünmeden edemedim.
Gazetecilik tecrübesi kapsamında, konuşmanın başından itibaren “bu dolandırıcı” diyerek ama biraz da habercilik deneyimi elde etme kapsamında dinledim ve anlamaya çalıştım. İzlenimlerim şöyle;
- Düşünmenizi engellemeye yönelik olduğunu düşündüğüm, çok hızlı konuşan bir yaklaşımları var.
- Bir “hikaye” kurguluyorlar. Başarılı olmalarının temeli sanırım bu. Yani arka planda, olağan düşünülebilecek bir hikayeyi size anlatıyorlar.
- Bu hikaye bir yandan sizi meşgul ederken, bir yandan da içindeki bileşenleri ile sizi ikna etmeye yarıyor
- Hikayenin bir boyutunda, teşvik (bizimkinde öyleydi – siz mağdursunuz diyordu) ve/veya korkutma var (kimlikleriniz kullanılıyor, banka hesabınız vs)
- Araya 2.bir kişi girmesin istiyorlar. Yani 2 kişiyseniz, öbürü de meşgul ediliyor
- Konuşmanız engelleniyor. Araya girip bir şey söylemeye çalıştığınızda, “bu konu önemli, önce bu konu” diyerek konuşmanıza müsade edilmiyor.
- Benim işim var dediğinizde ise “polis-savcı, önemli, işleri engellemeyin” diye baskı kurmayı deniyorlar.
Sonuç, işlerin sarpa saracağı noktada kestik ve Süleyman Soylu başta olmak üzere, emniyeti, servis sağlayıcıyı, bankayı bilgilendirdik. Şimdi bu haberi ve olayın analitik detaylarını vererek, telefon dolandırıcılığının farkındalığını arttırmayı istedik (Dolandırıcımız okuyorsa, “nanik” ve “iziniz şu anda sürülüyor” diyelim).
Sonuçta, kimlik bilgileri işte bu nedenle ve böyle kullanılıyor. Yemeksepeti kimlik hırsızlığı bu anlamda önemli. Bunun arkasından, telefon dolandırıcılarının sosyal medyayı kullanarak yapacakları sosyal mühendislikle birlikte, yeni bir telefon dolandırıcılığı döneminin hızlanabileceği düşüncesindeyim.
Mehmet A.Köksal : Veri Sorumlusu Yeterli Önlem Aldıysa Kusurdan Bahsedilemez
Bu konuya bir de hukuk tarafından bakalım dedik ve Kişisel Verileri Koruma konusunda uzman Av.Mehmet Ali Köksal ile konuştuk. Kendisine KVKK’nın açtığı soruşturmayı, şifre olayını ve yemeksepeti’nin buradaki sorumluluğunu sorduk;
Yemek Sepeti Burada Kusurlu mudur? Bu kusurundan doğacak zararı ödemeli midir?
“Yemeksepeti veya herhangi bir veri sorumlusu kendi kusuru ile gerekli önlemleri almayarak ya da yeterince almayarak ya da aldığı yeterli önlemleri güncellemediği için yetersiz hale gelmişse, teknolojik gelişmeye bağlı olarak bu tür durumlarda veri sorumlusu kusurundan söz edebiliriz.
Veri sorumlusu, bu şekilde bir kişiye ait kişisel verileri hukuka aykırı olarak ifşa edilmesine sebeb verdiğinde ise, bu olaydan kaynaklanan kişinin zararlarını ödemekle yükümlüdür.
Ancak bundan söz edebilmek için uğranılan zararla, fiil arasında (yani veri sorumlusunun eksik aldığı, hatalı aldığı ya da almadığı önlem arasında bir illiyet bağı olması gerekiyor.
Bu nedenle örneğin, yemeksepeti kullanıcısı, ifşa olan bilgileri nedeniyle, aslında yemek yememiş olduğu bir yerde sipariş vermişse ve bu ayrıntı ifşa edilmişse (mesela eşine işyerindeyim dediği saatte, bir arkadaşının evinde yemek siparişi vermişse), bu doğrudan zarara sebebiyet verecektir..”
Şifrelerin Kapalı olduğu görülüyor ama yine de bir şekilde sorun olabilir mi?
“Bir kişinin kendisine ait şifre için 123456 gibi çok basit tahmin edilebilir şekilde belirlemiş olması ve böylesi bir saldırı sonrasında saldırganlarca doğrudan elde edilmemekle birlikte, şifrenin zaten basit olduğu için, hashlenmiş data ve basit şifrenin, şifre sözlüğünden eşleştirilme yoluyla bulunması yöntemiyle şifrenin ele geçirilmesi gibi bir durum kanımca veri sorumlusuna yüklenecek bir olay değildir.
Çünkü buradaki eksiklik ilgili kişinin şifresini son derece basit belirlemiş olmasından kaynaklanmaktadır ve bu nedenle veri sorumlusunun filli yani önlem almamaktan oluşan zarar arasındaki illiyet bağı kesilmektedir..
Yemek Sepeti Açıklamasında, “Dünyada Siber Saldırılara Karşı % 100 Güvenli Sistem Yok” diyor. Biz de buna dair haberleri sürekli yapıyoruz. Bu konuda ne söyleyeceksiniz.
“Kuruluş makul önlemleri aldığını göstererek sorumluluktan kurtulabilir. Ne önlem alırsam alayım gerçekleşebilirdi de diyebilir.
Tam benzer örnek olmasa da, bu bir trafik kazası gibi. Siz normal yolda 50 ile ya da otoyolda 120 ile gidiyorsunuzdur. Ama birisi otobana önlemsiz atlamış, duramazsınız. 120 km ile gidiyorsanız, bu kişiye durma mesafesi hatta görme mesafesi olmadan çarpabilirsiniz. Ama 120 yerine 160 ile gidiyorsanız, o da başka bir hikayedir. “
Yemek Sepeti kullanıcı bilgilerinin çalınması ile telefon dolandırıcılıkları arasında ilişki kurulabilir mi?
“Yemek sepetinden alınan kişisel veriler tek başına bu sonuca götürmez. Sosyal medya ya da fiziksel hayattan başka bilgilerine de ulaşması lazım.
Yemek sepetinden alınan bilgiler, bir sonraki hazırlık oluşturabilir, buradaki bilgiler kullanılarak, önemli bir adımlar atılmış olabilir.. Fiziki adresi öğrenilip, sosyal medyadan bilgi toplamaya başlanır. Bu bilgilerle başka bilgiler toplanabilir..”
Kişisel Veriler Kurumu inceleme başlattı. Sizce ne olur?
Hergün, heryer hackleniyor. Amerikan devlet kurumları bile hackleniyor. Kuruluş samimiyetle önlem almışsa ona bakılır. Çalınan verilerin niteliğine bakılır. Mesela kredi kartı yeterli önlem almış mı? Bununla birlikte şifreleme hashleme önlemi almış. Onun dışında alması gereken bir önlem varken almadıysa ona bakılır. Örneğin çok istisnai bir durum ama “yemek seçimi sırasında dini görüşünü belirtecek bir not almış olabilir. Ramazandaki tercihler, yahudilerin dini tercihleri gibi
Veri Sorumlusu 6698 sy. Kanun ve bu Kanun gereğince KVK Kurumu tarafından yapılan düzenlemelere uygun teknik ve idari tedbirleri almamış ise bunun sonucunda Kanun’un 18. maddesinin 1. fıkrasının (b) bendi gereğince 1.966.862 TL’ye kadar para cezası yaptırımı ile cezalandırılabilecektir.
Veri sorumlusu, bu şekilde bir kişiye ait kişisel verileri hukuka aykırı olarak ifşa edilmesine sebeb verdiğinde ise, bu olaydan kaynaklanan kişinin zararlarını ödemekle yükümlüdür.”.
Geçmişte Korunmayan Kişisel Veriler Acaba Kaç Kişinin canını Yaktı?
Geçmişte bildiğimiz ya da bilmediğimiz çok sayıda kişisel veri hırsızlığı oldu. Bunlardan birisi 2016 yılında ortaya dökülen 50 milyon kimlik verisinin hacklendiğine dair bilgilerdi. Zamanın başbakanı Binali Yıldırım’ın bu olaya açıklaması da üzücü ve devlet adamı ciddiyetinden uzaktı [4] : “hemen asoruşturma açıyoruz” vs yerine “O eski hikaye” gibi özen göstermeyen, olayı küçümseyen böylece devletin sorumluluğunu üstlenmeyen bir açıklama yapmıştı. Acaba bu 50 milyon kimlik bilgisi, birilerinin başına iş açtı mı? Ya da kimbilir kaç kişinin başı yandı?
Çünkü o veriler oy verenlere ait kimlik verileri gibi gözüküyor ve aile bilgileri de içeriyordu. Bu durumda dolandırıcıların “eşiniz bilmemkim sizin şuraya şu parayı getirmenizi istedi” şeklindeki bir dolandıcılığı okuduğumu hatırlıyorum.
YemekSepeti bilgilerine bakıldığında, email, telefon, normal adres vs bilgileri gözüküyor. Bunlarla trojan yollamak, telefonla arayıp dolandırmak ve hatta fiziki ev adresini kullanarak bir şeyler yapmak düşünülebilir.
Bu noktada 2 ay önceki “WhatsApp verileri Facebook’a aktaracak” tartışmalarını da bir daha hatırlatalım [5]. O tartışmaları ısrarla hatırlatmamızın nedeni “n’olacak reklamcılara veriyor” türü yaklaşımları çoğu insanda görmüş olmamız. Bu veriler günün birinde canınızı yakabilir ve siz bunların nereden olduğunu farkında bile olmayabilirsiniz. Verilerinizi koruyun ! Verilerinizi koruyun ! Verilerinizi Koruyun !
O nedenle herkesin dikkatli olması lazım. Çünkü YouTube’den bulup dinleyin[6]. Dolandırıcıların kullandıkları yöntemleri başarılı ve sözleri bir hayli inandırıcı olabiliyor.
KVKK İnceleme Başlattı
Kişisel Verileri Koruma Kurulu (KVKK) tarafından Yemeksepeti hakkında veri ihlali sebebiyle inceleme başlatıldığı açıklandı [7]. Kurumun sayfasındaki açıklama şöyle ;
Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Yemek Sepeti Elektronik İletişim Perakende Gıda Lojistik AŞ
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz olan Yemek Sepeti Elektronik İletişim Perakende Gıda Lojistik A.Ş.tarafından Kuruma gönderilen kişisel veri ihlali bildiriminde özetle;
- 18.03.2021 tarihinde kimliği veri sorumlusunca belirlenemeyen şahıs ya da şahıslarca Yemek Sepetine ait bir web uygulama sunucusuna erişildiği,
- Normal şartlarda yetkisiz bir erişim olduğunda uyarı veren araç üzerinde sorun kaydı oluştuğu ancak bir aksaklık nedeniyle yetkisiz erişimin o an fark edilemediği,
- 25.03.2021 tarihinde gelen alarmlar incelendiğinde şüpheli bir davranışın tespit edildiği,
- Yemek Sepetine ait bir web uygulama sunucusu üzerinde bir açıklık bulunduğu, bu açıklıktan yararlanılarak, uygulama kurulduğu ve komut çalıştırılmak suretiyle sunucuya erişilebildiği,
- Saldırıyı yapanlar tarafından sunucu üzerinde kullanıcı oluşturularak veri toplanmaya çalışıldığı ve uzaktaki sunuculara trafik gönderildiği,
- İhlalden 21.504.083 kişinin etkilendiği,
- İhlalden etkilenen kişisel verilerin kısmi olarak veri sorumlusunca belirlendiği ve söz konusu verilerin kullanıcı adı, adres, telefon, e-posta, şifre, IP bilgileri olduğunun değerlendirildiği,
- Kredi kartı ya da finansal verilerin etkilenmediğinin belirtildiği, kredi kartı saklama hizmetinin veri sorumlusundan bağımsız Mastercard tarafından sağlandığı,
- İlgili kişilerin ihlal ile ilgili olarak [email protected] e-mail adresi üzerinden bilgi alabileceği,
ifade edilmiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 29.03.2021 tarih ve 2021/321 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.
Kamuoyuna saygıyla duyurulur.
[1] Yemek Sepeti, Veri Tabanının Hacklendiğini Açıkladı
[3] Wiki-Turk : SHA Algoritmaları
[4] 50 Milyon Kişisel Verinin Yayınlanmasında Yapılan Bakan Açıklamaları Dava Açmaya Zemin Sağlıyor
[5] WhatsApp’ı Bırakma Zamanı Geldi