Hackerlardan Yemeksepeti'ne şok şantaj: Parayı verin verileri paylaşmayalım
Yemeksepeti'nin bir yılda ikinci kez hacklendiği iddialarının ardından şirketten ilk açıklama geldi. İddiaları yalanlayan Yemeksepeti yetkililerinin bu açıklamasının ardından hackerlar da suskunluğunu bozdu. Tüm şirket çalışanlarının kişisel verilerinin ellerinde olduğunu belirten hackerlar, istenen paranın verilmemesi halinde bu bilgilerin yayımlanacağını belirtti.
Yemeksepeti'nin hacklendiği iddiaları, dünakşamdan beri sosyal medyada en çok konuşulan konular arasında yer alıyor. 20 milyondan fazla kullanıcının kişisel verisine sahip olan şirket, konuya ilişkin ilk açıklamayı dün gece saatlerinde yaptı. Resmi Twitter hesabından yayımladıkları metinle kullanıcı verilerinin hacklenmediğini belirten şirketin bu açıklaması, hackerlara suskunluğunu bozdurdu.
"ÇALIŞANLARIN VERİLERİNİ PAYLAŞACAĞIZ"
Yemeksepeti çalıışanlarının tamamının açık adres ve telefon numaralarına sahip olduklarını ifade eden hackerlar, isteklerinin yerine getirilmemesi halinde bu bilgilerin herkese açık olarak yayımlanacağını duyurdu. Türkiye'nin en popüler çevrimiçi yemek uygulamasının atacağı bir sonraki adım merakla bekleniyor.
İddiaya göre hackerlar, bu yılın mart ayında da çok sayıda kullanıcının kişisel verilerinin bulunduğu sistemlere sızmayı başardi. Kullanıcılara ait kişisel verileri ele geçiren hackerların, Yemeksepeti'nin kurucusu Nevzat Aydın'a da ulaştığı öne sürüldü.Tüm bu iddiaların ardından 8 ay içinde ikinci kez hacklendiği iddia edilen Yemeksepeti'nin kullanıcıları da tedirgin oldu.
2001 yılında kurulan yemeksepeti, 20 milyondan fazla üye sayısına sahiptir ve günde ortalama 600 bin sipariş almaktadır.
"KANIT İÇİN ADRESİMİ VE NUMARAMI GÖNDERDİ"
Gazeteci İbrahim Haskoloğlu, Yemeksepeti'ni hackediğini iddia eden hacker ile iletişime geçtiğini söyleyerek edindiği bilgileri Twitter hesabından paylaştı. Hackerların kendisine kanıt için istediği adres ve telefon bilgisini verdiklerini belirten Haskaloğlu, paylaşımında şu ifadeleri kullandı:
"Yemeksepeti’nden yaklaşık 50 milyon kişinin verilerinin çalınıp Darkweb’de satıldığı belirtilmişti. Verileri satışa sunan hackera ulaştım, kanıtlaması için kendi adresimi, telefon numaramı göndermesini istedim. Kendisi açık adresimin tarifiyle beraber telefon numaramı gönderdi."
Yemeksepeti, 2020 yılında 32 bin 437 yeni restoranın dijitalleşerek online paket servis sistemine başlamasını sağladı.
"İYİ MİKTARDA PARA VERİRSE KİMSEYE SATMAYACAĞIZ"
Haskaloğlu, 'Bu verileri ne kadara satacaksınız?' diye sormasının üzerine hackerın, "Yemeksepeti iyi bir miktarda para verirse verileri kimseye satmayacağız.” cevabını verdiğini de belirtti.
Gazeteci, hackerın son mesajının "Bu sızıntı, Mart 2021'de gerçekleşen bir önceki sızıntıyla ilgili değil. Bunlar en güncel veriler. Ayrıca Kasım 2021 verisine de sahibiz ve bunu zaten rastgele kullanıcılarla kanıtlıyoruz." olduğunu söyledi.
YEMEKSEPETİ'NİN AÇIKLAMASI
Yemeksepeti ise yayımladığı açıklamada bazı kişilerden şirket ismi kullanılarak fidye istendiğinin doğru olduğu, ancak Yemeksepeti'nde herhangi bir veri ihlaline rastlamadıkları belirtildi.
Kötü niyetli kimselerin, kişilere ulaşarak verilerini yayımlamakla tehdit ettiğini ve fidye istediğini belirten yetkililer, bu durumda yalnızca kendi şirketlerinin isminin kullanıldığını ancak verilerin kendi sitelerinden elde edilmediğini ifade ederek şu açıklamayı paylaştı:
"Yemeksepeti olarak bu tip yasa dışı talepleri değerlendirmeye dahi almamızın mümkün olmadığını belirterek, konuyla ilgili tüm resmi kurumlan bilgilendirdiğimizi ve yasal süreci başlattığımızı ifade etmek isteriz."
Şirketin web sitesinin yanında iOS ve Android uygulamaları da bulunmaktadır.
"VERİ HIRSIZLIĞI DURUMUNDA AÇIK VE ŞEFFAF OLACAĞIZ"
"Yemeksepeti olarak kullanıcı verilerini korumanın en temel önceliğimiz olduğunu ve bu kapsamda siber güvenlik tedbirlerini en üst düzeyde aldığımızı vurgulamak isteriz. Bu son olayla bağlantılı olarak da Yemeksepeti sistemlerinde bir veri ihlali olup olmadığı uzman ekiplerce detaylı bir şekilde araştırılmış, herhangi bir veri ihlali ya da hırsızlığı kesinlikle tespit edilmemiştir. Diğer taraftan, bir veri hırsızlığı yaşanması durumunda yapılması gerekenler kanunlarla açıkça belirlenmiş olup, Yemeksepeti olarak bugüne kadar yaptığımız gibi kanunlara uygun şekilde açık ve şeffaf bir süreç yürüteceğimizi kamuoyuna duyururuz."
BİR YIL İÇİNDE İKİNCİ İDDİA
Yemeksepeti, 2021 yılı mart ayında siber saldırıya uğramış ve bazı kullanıcıların ad-soyad, doğum tarihi, kayıtlı telefon numarası ve e-posta adresleri, adres bilgileri, açık olarak görülemeyen SHA-256 Algoritması ile maskelenmiş giriş şifrelerinin ele geçirildiğini açıklamıştı. Şirket, bu kişilerin finansal bilgilerine ise erişilemediğini duyurmuştu.
Önceki 'hacklenme' olayında, dönemin şirket CEO'su Nevzat Aydın konuyla ilgili müşterilerden özür dilemiş ve gerekli önlemlerin alındığını kaydetmişti. Ancak aradan bir yıl geçmeden Yemeksepeti'nin yeniden hacklendiği iddiaları, müşterilerin güveninin yeniden sarsılmasına neden oldu.
