Teşebbüsçü Nevzat Aydın tarafından 20012de kurulan ve 2015’te 589 milyon dolar karşılığında Almanya merkezli besin dağıtım şirketi Delivery Hero’ya satılan Yemeksepeti yeni bir siber atak teziyle tekrar gündemde. Son olarak 25 Mart 2021’de benzeri bilgi ihlali tezleri ile gündeme gelen şirket, o periyot argümanları doğrulamıştı.

Sekiz ay evvel gerçekleşen bu atak sonrası güvenlik tedbirlerini en üst düzeye çıkardığını belirten şirket, Şahsî Dataları Müdafaa Kurumu (KVKK) tarafından data güvenliğine ait yükümlülüklere karşıt faaliyetten 2 milyon TL, Bilgi Teknolojileri ve İrtibat Kurumu (BTK) tarafından ise güvenlik sorumluluklarını yerine getirmemekten ötürü 1 milyon TL’lik ceza ile karşı karşıya.

Şimdi bu inceleme sonuçlanmamışken yeni bir siber hücum savıyla gündeme gelen Yemeksepeti, bu yeni argümana yِönelik, bilgisayar korsanlarının kendilerine ulaşıp fidye talebinde bulunduklarını, uzman takımlar tarafından yapılan inceleme sonucunda sistemlerinden bilgi sızıntısının olmadığının tespit edildiği açıklamasını yaptı.

Fakat birtakım gazetecilerin ve yüksek takipçili hesapların isim, soy isim, telefon ve açık adres ve adres tanımı bilgilerini paylaşan bilgisayar korsanları, DW Türkçe’den Kazım Kızıl’ın sorularına yazılı cevap verdi. Bilgisayar korsanları Yemeksepeti’ne yeni bir siber taarruz yaptıklarını ve ellerinde yeni bilgiler olduğu tezini savunuyor.

Mail yolu ile sorularımızı yanıtlayan grup Rusya merkezli bir oluşum olduklarını, güvenlik nedeniyle kümenin ismi ve kaç şahıstan oluştuğuna dair bilgileri paylaşmayacaklarını belirtti. Birçok farklı ülkeden üyeleri bulunduğunu aktaran bilgisayar korsanları, Twitter’da yayılan Türk yahut Çinli oldukları yِönündeki tezleri ise kesin bir halde reddetti.

Ferdî bilgileri ele geçirdiğini argüman eden küme birinci olarak 1 Kasım’da gِörevinden ayrılan eski Yemeksepeti CEO’su Nevzat Aydın’a mail ile ulaşarak taleplerini sıraladığını argüman ediyor. Yemeksepeti’ni seçmelerinin özel bir nedeni olmadığını aktaran küme, yalnızca şirketin o günkü CEO’su olan Nevzat Aydın’ın bu ihlal için bir ödeme yapabileceğini düşündüklerini fakat Aydın’ın ödeme yapmamasının kendilerini şaşırttığını söz etti:

“Maili attığımız tarihte şirketin CEO’su Nevzat Aydın’dı. Görüşmemizden sonra istifa etti. Yeni CEO Mert Baki’ye de taleplerimizi ilettik fakat ciddiye almadı. Tahminen de Delivery Hero (Yemeksepeti’nin bağlı olduğu üst kuruluş) onlara bu bahiste baskı uyguladı, şimdilik bunu bilmiyoruz.”

BİLGİSAYAR KORSANLARI NE İSTİYOR?

Bilgisayar korsanlarının aktardığı bilgilere gِöre hackleme süreci yaklaşık bir ay evvel gerçekleşti. Bu mühlet zarfında şirketten olumlu bir cevap alamayınca bağlantıya geçtikleri birtakım toplumsal medya hesapları ile mevzuyu kamuoyuna duyurdular. Şirketin yaptığı açıklamayı ise “komik bulduklarını, gereği yansıtmadığını zira şirketin sistemi nasıl hacklediklerini bilmediklerini” sِöylediler. Verdikleri bir haftalık mühlet içinde olumlu bir dِِönüş yapılmazsa Yemeksepeti çalışanlarının açık adreslerini ve telefon numaralarını yayınlayacakları tehdidinde bulunuyorlar. Hackerların şirkete tanıdıkları mühlet 22 Kasım’da doluyor.

Ellerinde 20 milyonun üzerinde kullanıcıya ilişkin isim, soyisim, telefon numarası, açık adres, adres tanımı ve kredi kartlarının birinci ve son dört hanelerine ilişkin bilgilerin olduğunu, bu bilgilerin evvelki sızıntı ile ilgisi olmadığını, bilgilerin Kasım ayı prestijiyle şimdiki datalar olduğu tezlerini tekrarlıyorlar.

Twitter’da birtakım kullanıcılar bu bilgilerin 2016 yılında Merkezi Nüfus Yönetimi Sistemi’ne (MERNIS) yِönelik siber akın sonucu elde edilen datalar olduğunu sav ediyor. Fakat bilgisayar korsanları, yazılı cevaplarında şu anda ellerinde bulunan dataların MERNİS sızıntısıyla ilintili olmadığını savunuyor. Kümenin bilgileri paylaşmama karşılığında istedikleri ölçü ise 5 Bitcoin. Bugünkü bedeliyle yaklaşık 3 milyon TL.

Bilgisayar korsanları ayrıyeten şirket bu taleplerini kabul etmediği takdirde bu ölçüsü veren potansiyel alıcılarla gِörüşeceklerini, bu da olmazsa en yüksek teklifi veren şahsa bilgileri satacaklarını sav etti.

Hackerların şirkete tanıdıkları müddet 22 Kasım’da doluyor.

AVUKAT GِِÖKSOY: DATALARIN SORUMLULUĞU YEMEKSEPETİ’NDE

Pekala, yasa dışı faaliyetlerle siber taarruza uğrayan bir şirketi ne bekliyor ve sorumlulukları neler? Bilişim hukuku alanında doktora çalışması yapan avukat Resul Gِِöksoy, şahsî bilgilerin güvenliğini müdafaa yükümlülüğünün 6698 sayılı Şahsî Dataların Korunması Kanunu’nun 12. hususunda düzenlendiğini belirtti. Gِِöksoy bilgilerin işlenmesinin ve erişilmesinin önlenmesi ile inançlı bir biçimde koruma edilmesinin sorumluluğunun gerçek yahut hukukî şahıslarda, yani Yemeksepeti’nde olduğunu vurguladı.

DATALARIN ÇALINMASI NELERE YOL AÇAR?

İnceleme sonucu argümanların yanlışsız çıkması halinde en üst ceza 2021 yılı için 1.966.862,00 TL. Gِöksoy, bu durumda şirketin Şahsî Dataları Müdafaa Kurumu’na vaktinde bildirimde bulunmadığı için ekstra bir cezayla daha karşı karşıya olacağını belirtti. Gِِöksoy’a gِِöre şahsî dataların büyüklüğü ve etkilenen insan sayısının fazlalığı dikkate alındığında cezalar kâfi ve caydırıcı değil.

Ele geçirilen bilgilerin reklam ve pazarlama maksatlı kullanılabileceği üzere, yeni telefon sınırı açılması, kredi çekilmesi, şirket kurulması, e-posta adreslerine gِönderilecek casus yazılımlarla şantaj ögesi olabilecek bilgilere erişilmesi üzere hataların da işlenebileceği ikazında bulunan Gِِöksoy, önemli mağduriyetlerin doğacağının altını çiziyor.

‘BİLGİSAYAR KORSANLIĞI SUÇTUR’

Avukat Resul Gِِöksoy bilgisayar korsanlarının faaliyetlerine yönelik ise şu hatırlatmayı yapıyor: “Bilgisayar korsanlığı hatadır. Birinci olarak Türk Ceza Kanunu (TCK) 243. hususu ‘bilişim sistemine girme’ cürmünü düzenler. Bu hatanın cezası ise ‘bir yıla kadar mahpus yahut isimli para cezası’dır. Bu cürüm dolayısı ile bilgiler yok olur yahut değişirse ‘altı aydan iki yıla kadar mahpus cezası’ sِöz konusu olur.”

Gِöksoy bunların dışında da bilgisayar korsanlığı sonucu, ihlal edilen bilgiler kullanılarak TCK’nın 134. hususunda düzenlenen “özel hayatın kapalılığını ihlal” hatası, TCK’nın 135. hususunda düzenlenen “kişisel bilgilerin kaydedilmesi” cürmü, TCK’nın 136. unsurunda düzenlenen “verileri hukuka ters olarak verme yahut ele geçirme” hatalarının da oluşabileceğine dikkat çekti.

Avukat, “Bu durumda ise TCK’nın 43. ve 44. unsurları gündeme gelir; olayın niteliğine gِöre her bir kabahatten başka ayrı ceza vermek yahut tek bir hatadan ceza verip bu cezayı artırmak sِöz konusu olabilir.” dedi.

Karar