2001 yılında Nevzat Aydın tarafından kurulan ve 2015 yılında 589 milyon dolar karşılığında Almanya merkezli besin dağıtım şirketi Delivery Hero’ya satılan Yemeksepeti yeni bir siber akın teziyle yine gündemde. Son olarak 25 Mart 2021’de emsal data ihlali argümanları ile gündeme gelen şirket, o devir argümanları doğrulamıştı.
Sekiz ay evvel gerçekleşen bu taarruz sonrası güvenlik tedbirlerini en üst düzeye çıkardığını belirten şirket, Şahsî Bilgileri Muhafaza Kurumu (KVKK) tarafından data güvenliğine ait yükümlülüklere alışılmamış faaliyetten 2 milyon TL, Bilgi Teknolojileri ve Bağlantı Kurumu (BTK) tarafından ise güvenlik sorumluluklarını yerine getirmemekten ötürü 1 milyon TL’lik ceza ile karşı karşıya.
Önerdiğimiz linkler
ABD’de hacker saldırısı: 70 milyon dolarlık fidye talebi
Hackerlardan korunma: Neden Tor’da güvenlik artırılıyor?
Veri hırsızlığı dijitalleşmenin öncülerine de acımıyor
Henüz bu inceleme sonuçlanmamışken yeni bir siber akın argümanıyla gündeme gelen Yemeksepeti, bu yeni teze yِönelik, bilgisayar korsanlarının kendilerine ulaşıp fidye talebinde bulunduklarını, uzman takımlar tarafından yapılan inceleme sonucunda sistemlerinden bilgi sızıntısının olmadığının tespit edildiği açıklamasını yaptı.
Ancak birtakım gazetecilerin ve yüksek takipçili hesapların isim, soyisim, telefon ve açık adres ve adres tanımı bilgilerini paylaşan bilgisayar korsanları, DW Türkçe’nin sorularına yazılı cevap verdi. Bilgisayar korsanları Yemeksepeti’ne yeni bir siber akın yaptıklarını ve ellerinde yeni bilgiler olduğu savını savunuyor.
Mail yolu ile sorularımızı yanıtlayan grup Rusya merkezli bir oluşum olduklarını, güvenlik nedeniyle kümenin ismi ve kaç bireyden oluştuğuna dair bilgileri paylaşmayacaklarını belirtti. Birçok farklı ülkeden üyeleri bulunduğunu aktaran bilgisayar korsanları, Twitter’da yayılan Türk yahut Çinli oldukları yِönündeki tezleri ise kesin bir biçimde reddetti.
Kişisel dataları ele geçirdiğini sav eden küme birinci olarak 1 Kasım’da gِörevinden ayrılan eski Yemeksepeti CEO’su Nevzat Aydın’a mail ile ulaşarak taleplerini sıraladığını argüman ediyor. Yemeksepeti’ni seçmelerinin özel bir nedeni olmadığını aktaran küme, yalnızca şirketin o günkü CEO’su olan Nevzat Aydın’ın bu ihlal için bir ödeme yapabileceğini düşündüklerini fakat Aydın’ın ödeme yapmamasının kendilerini şaşırttığını tabir etti:
“Maili attığımız tarihte şirketin CEO’su Nevzat Aydın’dı. Görüşmemizden sonra istifa etti. Yeni CEO Mert Baki’ye de taleplerimizi ilettik fakat ciddiye almadı. Tahminen de Delivery Hero (Yemeksepeti’nin bağlı olduğu üst kuruluş) onlara bu mevzuda baskı uyguladı, şimdilik bunu bilmiyoruz.”
Bilgisayar korsanları ne istiyor?
Bilgisayar korsanlarının aktardığı bilgilere gِöre hackleme süreci yaklaşık bir ay evvel gerçekleşti. Bu mühlet zarfında şirketten olumlu bir cevap alamayınca bağlantıya geçtikleri birtakım toplumsal medya hesapları ile mevzuyu kamuoyuna duyurdular. Şirketin yaptığı açıklamayı ise “komik bulduklarını, gereği yansıtmadığını zira şirketin sistemi nasıl hacklediklerini bilmediklerini” sِöylediler. Verdikleri bir haftalık müddet içinde olumlu bir dِِönüş yapılmazsa Yemeksepeti çalışanlarının açık adreslerini ve telefon numaralarını yayınlayacakları tehdidinde bulunuyorlar. Hackerların şirkete tanıdıkları müddet 22 Kasım’da doluyor.
Ellerinde 20 milyonun üzerinde kullanıcıya ilişkin isim, soyisim, telefon numarası, açık adres, adres tanımı ve kredi kartlarının birinci ve son dört hanelerine ilişkin bilgilerin olduğunu, bu bilgilerin evvelki sızıntı ile ilgisi olmadığını, dataların Kasım ayı prestijiyle şimdiki datalar olduğu argümanlarını tekrarlıyorlar.
Twitter’da birtakım kullanıcılar bu dataların 2016 yılında Merkezi Nüfus Yönetimi Sistemi’ne (MERNIS) yِönelik siber taarruz sonucu elde edilen datalar olduğunu sav ediyor. Lakin bilgisayar korsanları, yazılı karşılıklarında şu anda ellerinde bulunan dataların MERNİS sızıntısıyla ilintili olmadığını savunuyor. Kümenin bilgileri paylaşmama karşılığında istedikleri ölçü ise 5 Bitcoin. Bugünkü kıymetiyle yaklaşık 3 milyon TL.
Bilgisayar korsanları ayrıyeten şirket bu taleplerini kabul etmediği takdirde bu ölçüsü veren potansiyel alıcılarla gِörüşeceklerini, bu da olmazsa en yüksek teklifi veren bireye bilgileri satacaklarını sav etti.
Hackerların şirkete tanıdıkları müddet 22 Kasım’da doluyor.
Avukat Gِِöksoy: Dataların sorumluluğu Yemeksepeti’nde
Peki, yasa dışı faaliyetlerle siber taarruza uğrayan bir şirketi ne bekliyor ve sorumlulukları neler? Bilişim hukuku alanında doktora çalışması yapan avukat Resul Gِِöksoy, ferdî bilgilerin güvenliğini müdafaa yükümlülüğünün 6698 sayılı Şahsî Dataların Korunması Kanunu’nun 12. hususunda düzenlendiğini belirtti. Gِِöksoy bilgilerin işlenmesinin ve erişilmesinin önlenmesi ile inançlı bir formda koruma edilmesinin sorumluluğunun gerçek yahut hukuksal bireylerde, yani Yemeksepeti’nde olduğunu vurguladı.
Verilerin çalınması nelere yol açar?
İnceleme sonucu argümanların yanlışsız çıkması halinde en üst ceza 2021 yılı için 1.966.862,00 TL. Gِöksoy, bu durumda şirketin Ferdî Bilgileri Müdafaa Kurumu’na vaktinde bildirimde bulunmadığı için ekstra bir cezayla daha karşı karşıya olacağını belirtti. Gِِöksoy’a gِِöre şahsî dataların büyüklüğü ve etkilenen insan sayısının fazlalığı dikkate alındığında cezalar kâfi ve caydırıcı değil.
Ele geçirilen dataların reklam ve pazarlama hedefli kullanılabileceği üzere, yeni telefon sınırı açılması, kredi çekilmesi, şirket kurulması, e-posta adreslerine gِönderilecek casus yazılımlarla şantaj ögesi olabilecek bilgilere erişilmesi üzere hataların da işlenebileceği ikazında bulunan Gِِöksoy, önemli mağduriyetlerin doğacağının altını çiziyor.
“Bilgisayar korsanlığı suçtur”
Avukat Resul Gِِöksoy bilgisayar korsanlarının faaliyetlerine yönelik ise şu hatırlatmayı yapıyor: “Bilgisayar korsanlığı kabahattir. Birinci olarak Türk Ceza Kanunu (TCK) 243. unsuru ‘bilişim sistemine girme’ kabahatini düzenler. Bu kabahatin cezası ise ‘bir yıla kadar mahpus yahut isimli para cezası’dır. Bu hata dolayısı ile datalar yok olur yahut değişirse ‘altı aydan iki yıla kadar mahpus cezası’ sِöz konusu olur.”
Gِöksoy bunların dışında da bilgisayar korsanlığı sonucu, ihlal edilen bilgiler kullanılarak TCK’nın 134. unsurunda düzenlenen “özel hayatın kapalılığını ihlal” cürmü, TCK’nın 135. hususunda düzenlenen “kişisel dataların kaydedilmesi” hatası, TCK’nın 136. unsurunda düzenlenen “verileri hukuka ters olarak verme yahut ele geçirme” hatalarının da oluşabileceğine dikkat çekti.
Avukat, “Bu durumda ise TCK’nın 43. ve 44. hususları gündeme gelir; olayın niteliğine gِöre her bir kabahatten farklı başka ceza vermek yahut tek bir hatadan ceza verip bu cezayı artırmak sِöz konusu olabilir.” dedi.
Kazım Kızıl
© Deutsche Welle Türkçe
