Yemeksepeti siber atağa uğradı tezi şirket tarafınca tam olarak doğrulanmazken, bilgisayar korsanlarının, ele geçirdikleri hesapların kimilerine e-posta göndererek şahsi ayrıntılarını paylşamaları başlarda soru işaretlerine niye oldu. Öte yandan Yemeksepeti’nin eski CEO’su Nevzat Aydın’ın 1 Kasım 2021 tarihinde nazaranvini bırakmasının niçininin, kelam konusu hacklenme olduğu ileri sürüldü.
YEMEKSEPETİ HACKLENDİ Mİ?
27 Mart 2021 tarihinde siber taarruza uğrayan Yemeksepeti’nin bir daha hacklendiği argüman edildi. Yüz binlerce kullanıcısı olan siteyle ilgili savların akabinde Yemeksepeti’nin resmi Twitter adresinden siber hücum açıklaması geldi. Şirketten yapılan açıklamada “Kötü niyetli birtakım şahısların kaynağı muhakkak olmayan dataları Yemeksepeti ile ilişkilendirerek yayınlama tehdidiyle fidye talebinde bulundukları” açıklandı.
Yapılan açıklamada, “Kötü niyetli birtakım şahısların, kaynağı belirli olmayan dataları Yemeksepeti ile ilişkilendirerek bu bilgileri yayınlama tehdidiyle şirkete ulaşıp fidye talebinde bulunmuşlardır. Yemeksepeti olarak kullanıcı bilgilerini müdafaanın en temel önceliğimiz olduğunu ve bu kapsamda siber güvenlik önlemlerimiz en üst seviyede aldığımızı vurgulamak isteriz. Bu son olayla temaslı olarak da Yemeksepeti sistemlerinde bir data ihlali olup olmadığı uzman gruplarca ayrıntılı bir biçimde araştırılmış, rastgele bir data ihlali ya da hırsızlığı muhakkak tespit edilmemiştir. Başka taraftan, bir data hırsızlığı yaşanması durumunda yapılması gerekenler kanunlarla açıkça belirlenmiş olup, Yemeksepeti olarak bugüne kadar yaptığımız üzere kanunlara uygun biçimde açık ve şeffaf bir müddetç yürüteceğimizi kamuoyuna duyururuz” tabirlerine yer verildi.
YEMEKSEPETİ SİBER AKININDA HANGİ BİLGİLER ÇALINDI?
Bilgisayar korsanlarının ele geçirdiklerini argüman ettikleri 30 milyon satır bilgi içerisinde müşterilerin ad-soyad, adres, adres, telefon, e-posta adresi ve kredi kartlarının birinci ve son 4 hanesinin olduğu öne sürüldü.
Yemeksepeti’ni hackleyen ve Nevzat Aydın’a ulaşan hackerlar, konuşmaları ayrıyeten teknoloji gazetecisi Mesut Çevik’e de e-posta yoluyla gönderdi.
e-Postayı Twitter hesabından paylaşan Mesut Çevik, Yemeksepeti’ni etiketleyerek, “Veriler bir daha ortaya saçılmış sanırım. Az evvel eposta aldım. Bu hususta bir açıklama yapacak mısınız?” diye sordu.
BİLGİSAYAR KORSANLARI NE KADAR FİDYE İSTEDİ?
Yemeksepeti’ni hackleyen bilgisayar korsanlarının eski CEO Nevzat Aydın’dan fidye istediği öne sürüldü. Nevzat Aydın’ın, siber atak niçiniyle 1 Kasım 2021 tarihinde misyonundan ayrıldığı da ortaya atılan tezler içinde yer alıyor. Hackerlar ile Nevzat Aydın içinde geçtiği ileri sürülen yazışmalar şu biçimde:
Merhaba Nevzat. Sana berbat haberlerimiz var, bir daha hacklendiniz. Elimizdeki verilen 2021 Mart ayındaki sızıntıdan kalma olmadığını kanıtlamak için sana 2021 Nisan ayından daha sonraki birtakım dataları gönderiyoruz. Lütfen dikkatlice oku ve bize çabucak dönüş yap.
Soru: Ne istiyorsunuz?
Karşılık: Bitcoin ile ödeme. Bize yanıt verdiğinde ölçüsü konuşabiliriz.
Soru: Elinizde ne var?
Yanıt: İçinde isimlerin, telefon numaralarının, adreslerin, e-posta adreslerinin, adres tanımlarının ve kimi kredi kartlarının son 4 hanesinin olduğu 30 milyon satırdan fazla bilgi.
Soru: Size para versem bile bu dataların hepsini paylaşmayacağınıza ya da satmayacağınıza nasıl güvenebilirim?
Yanıt: Güvenemezsin, Lakin senin ödemenden daha sonra bilgileri satmakla ilgilenmiyoruz.
Soru: Bu bilgilerin son sızıntıyla alakalı olduğunu nasıl bilebilirim?
Karşılık: Dediğim üzere bunun için bir sürü delilim var. e-Postanın sonundaki son 2 bilgiyi denetim edebilirsin.
Soru: Son hackten daha sonra bile bizi nasıl hacklediniz?
Karşılık: Öncelikle, çöp güvenlik mühendislerinize ve sızma testi sağlayan çöp danışmanlık şirketlerine güvenmemelisiniz. tahminen size tam adımları söyleyebiliriz lakin bu ödemeye bağlı.
Soru: Bu sızıntıyı benden öbür bilen var mı?
Karşılık: Hayır, çabucak hemen yok. CEO’nuza, CTO’nuza, başka partnerlerinize bile söylemedik. şu an yalnızca siz biliyorsunuz ve davranışınıza göre durum değişebilir.
Soru: Ödeme yapmak istemiyorum, artık ne olacak?
Karşılık: Ortalama 200 bin euroya denk gelen 2 milyon liralık ceza aldığınızı biliyoruz. Araştırdık ve 2 milyondan fazla ödeme yapacağınızı onayladık. bu durum güvenilirliğinizi sarsacak. bilgileri paylaşmak için biroldukca Twitter hesabını ve Türk gazeteci e-postalarını ve telefon numaralarını ayarladık. altı ayda yaşanan ikinci hack olayının oluşturacağı kaosu hayal edebilirsiniz. Ayrıyeten birinci sızıntı asla bir yerde paylaşılmadı yahut satılmadı. tahminen onlara ödeme bile yapmışsınızdır lakin bize ödeme yapılmazsa biz birinci vakit içinderda 100.000’den çok kullanıcı verisini paylaşacağız. daha sonra da mart 2021’den beri olan bu dataları satın almaya niyetli şahıslarla irtibata geçeceğiz.
Muhakkak bir oyun oynamaya çalışmamanızı öneriyorum. Interpol’le falan bağlantıya geçmeye çalışmayın. Bu maile yanıt vermek için yalnızca 12 saatiniz var.
İkinci sızıntıdan daha sonra Türk halkının nasıl reaksiyon vereceğini ve nasıl çıldıracağını düşünün. Firmanızın güvenilirliğini düşünün. KVKK’dan gelecek ikinci cezayı düşünün, ki bu defa 2 milyon Türk lirasından fazla olur.
Sizin için küçük bir meblağ istiyoruz. daha sonra tahminen ne yaptığımızı sizinle paylaşırız zira 100 tane sızma testi yapacak insanı bir ortaya getirseniz de ne yaptığımızı bulamazsınız.
Hatta bize inanmazsanız 3. sefer hacklenme bile yaşayabilirsiniz.
YEMEKSEPETİ HACKLENDİ Mİ?
27 Mart 2021 tarihinde siber taarruza uğrayan Yemeksepeti’nin bir daha hacklendiği argüman edildi. Yüz binlerce kullanıcısı olan siteyle ilgili savların akabinde Yemeksepeti’nin resmi Twitter adresinden siber hücum açıklaması geldi. Şirketten yapılan açıklamada “Kötü niyetli birtakım şahısların kaynağı muhakkak olmayan dataları Yemeksepeti ile ilişkilendirerek yayınlama tehdidiyle fidye talebinde bulundukları” açıklandı.
Yapılan açıklamada, “Kötü niyetli birtakım şahısların, kaynağı belirli olmayan dataları Yemeksepeti ile ilişkilendirerek bu bilgileri yayınlama tehdidiyle şirkete ulaşıp fidye talebinde bulunmuşlardır. Yemeksepeti olarak kullanıcı bilgilerini müdafaanın en temel önceliğimiz olduğunu ve bu kapsamda siber güvenlik önlemlerimiz en üst seviyede aldığımızı vurgulamak isteriz. Bu son olayla temaslı olarak da Yemeksepeti sistemlerinde bir data ihlali olup olmadığı uzman gruplarca ayrıntılı bir biçimde araştırılmış, rastgele bir data ihlali ya da hırsızlığı muhakkak tespit edilmemiştir. Başka taraftan, bir data hırsızlığı yaşanması durumunda yapılması gerekenler kanunlarla açıkça belirlenmiş olup, Yemeksepeti olarak bugüne kadar yaptığımız üzere kanunlara uygun biçimde açık ve şeffaf bir müddetç yürüteceğimizi kamuoyuna duyururuz” tabirlerine yer verildi.
YEMEKSEPETİ SİBER AKININDA HANGİ BİLGİLER ÇALINDI?
Bilgisayar korsanlarının ele geçirdiklerini argüman ettikleri 30 milyon satır bilgi içerisinde müşterilerin ad-soyad, adres, adres, telefon, e-posta adresi ve kredi kartlarının birinci ve son 4 hanesinin olduğu öne sürüldü.
Yemeksepeti’ni hackleyen ve Nevzat Aydın’a ulaşan hackerlar, konuşmaları ayrıyeten teknoloji gazetecisi Mesut Çevik’e de e-posta yoluyla gönderdi.
e-Postayı Twitter hesabından paylaşan Mesut Çevik, Yemeksepeti’ni etiketleyerek, “Veriler bir daha ortaya saçılmış sanırım. Az evvel eposta aldım. Bu hususta bir açıklama yapacak mısınız?” diye sordu.
BİLGİSAYAR KORSANLARI NE KADAR FİDYE İSTEDİ?
Yemeksepeti’ni hackleyen bilgisayar korsanlarının eski CEO Nevzat Aydın’dan fidye istediği öne sürüldü. Nevzat Aydın’ın, siber atak niçiniyle 1 Kasım 2021 tarihinde misyonundan ayrıldığı da ortaya atılan tezler içinde yer alıyor. Hackerlar ile Nevzat Aydın içinde geçtiği ileri sürülen yazışmalar şu biçimde:
Merhaba Nevzat. Sana berbat haberlerimiz var, bir daha hacklendiniz. Elimizdeki verilen 2021 Mart ayındaki sızıntıdan kalma olmadığını kanıtlamak için sana 2021 Nisan ayından daha sonraki birtakım dataları gönderiyoruz. Lütfen dikkatlice oku ve bize çabucak dönüş yap.
Soru: Ne istiyorsunuz?
Karşılık: Bitcoin ile ödeme. Bize yanıt verdiğinde ölçüsü konuşabiliriz.
Soru: Elinizde ne var?
Yanıt: İçinde isimlerin, telefon numaralarının, adreslerin, e-posta adreslerinin, adres tanımlarının ve kimi kredi kartlarının son 4 hanesinin olduğu 30 milyon satırdan fazla bilgi.
Soru: Size para versem bile bu dataların hepsini paylaşmayacağınıza ya da satmayacağınıza nasıl güvenebilirim?
Yanıt: Güvenemezsin, Lakin senin ödemenden daha sonra bilgileri satmakla ilgilenmiyoruz.
Soru: Bu bilgilerin son sızıntıyla alakalı olduğunu nasıl bilebilirim?
Karşılık: Dediğim üzere bunun için bir sürü delilim var. e-Postanın sonundaki son 2 bilgiyi denetim edebilirsin.
Soru: Son hackten daha sonra bile bizi nasıl hacklediniz?
Karşılık: Öncelikle, çöp güvenlik mühendislerinize ve sızma testi sağlayan çöp danışmanlık şirketlerine güvenmemelisiniz. tahminen size tam adımları söyleyebiliriz lakin bu ödemeye bağlı.
Soru: Bu sızıntıyı benden öbür bilen var mı?
Karşılık: Hayır, çabucak hemen yok. CEO’nuza, CTO’nuza, başka partnerlerinize bile söylemedik. şu an yalnızca siz biliyorsunuz ve davranışınıza göre durum değişebilir.
Soru: Ödeme yapmak istemiyorum, artık ne olacak?
Karşılık: Ortalama 200 bin euroya denk gelen 2 milyon liralık ceza aldığınızı biliyoruz. Araştırdık ve 2 milyondan fazla ödeme yapacağınızı onayladık. bu durum güvenilirliğinizi sarsacak. bilgileri paylaşmak için biroldukca Twitter hesabını ve Türk gazeteci e-postalarını ve telefon numaralarını ayarladık. altı ayda yaşanan ikinci hack olayının oluşturacağı kaosu hayal edebilirsiniz. Ayrıyeten birinci sızıntı asla bir yerde paylaşılmadı yahut satılmadı. tahminen onlara ödeme bile yapmışsınızdır lakin bize ödeme yapılmazsa biz birinci vakit içinderda 100.000’den çok kullanıcı verisini paylaşacağız. daha sonra da mart 2021’den beri olan bu dataları satın almaya niyetli şahıslarla irtibata geçeceğiz.
Muhakkak bir oyun oynamaya çalışmamanızı öneriyorum. Interpol’le falan bağlantıya geçmeye çalışmayın. Bu maile yanıt vermek için yalnızca 12 saatiniz var.
İkinci sızıntıdan daha sonra Türk halkının nasıl reaksiyon vereceğini ve nasıl çıldıracağını düşünün. Firmanızın güvenilirliğini düşünün. KVKK’dan gelecek ikinci cezayı düşünün, ki bu defa 2 milyon Türk lirasından fazla olur.
Sizin için küçük bir meblağ istiyoruz. daha sonra tahminen ne yaptığımızı sizinle paylaşırız zira 100 tane sızma testi yapacak insanı bir ortaya getirseniz de ne yaptığımızı bulamazsınız.
Hatta bize inanmazsanız 3. sefer hacklenme bile yaşayabilirsiniz.