Yemeksepeti hack’lendi iddiası, uygulamayı kullanan milyonlarca kullanıcının kişisel verileri hakkında endişelenmelerine sebep oldu. 8 ay önce Yemeksepeti, yine bir siber saldırıyla karşılaşmıştı ve kullanıcıların kişisel verileri Bitcoin karşılığında satışa çıkarılmıştı. Nevzat Aydın ise 8 ay önce ki bu saldırıdan sonra özür dilemiş ve şu açıklamalarda bulunmuştu:
“Benzer bir olayın tekrar yaşanmaması için tüm gelişmeleri yapmayı sürdürüyoruz.”
Eğer iddialar doğruysa Yemeksepeti, veri sızıntılarının tekrardan yaşanmasının önüne geçmek için yeterli çalışmaları yapamamış gibi duruyor.
Yemeksepeti hack’lendi iddiası: Hacker grubu gazetecilere ulaştı
İddia edilene göre Yemeksepeti’ni hack’leyen hacker grubu, önce Nevzat Aydın’a ulaştı. Ardından bu konuşmaları, teknoloji konusunda yayınlar yapan Recep Baltaş ve Mesut Çevik gibi isimlerle paylaştı.
https://twitter.com/buckberi/status/1460331612978176011
https://twitter.com/mesutcevik/status/1460327995017682951
Hacker grubu Gazeteci İbrahim Haskoloğlu’na da ulaştı. İbrahim Haskoloğlu ise iddiaların kanıtlanması için saldırganlardan adresini ve telefon numarasını göndermelerini istedi. Haskoloğlu’nun açıklamalarına göre hacker’lar doğru adres ve numarayı kendisiyle paylaştı.
Hacker grubu ve Nevzat Aydın ne konuştu?
Mesut Çevik, hacker’ların Nevzat Aydın ile yaptıkları konuşmayı açıkladıkları e-postayı paylaştı.
-Merhaba Mesut. Bu oldukça yeni veri sızıntısı olayını takipçilerinle paylaşman için bu bilgileri sana da gönderiyoruz.
– Merhaba Nevzat. Sana kötü haberlerimiz var, yeniden hacklendiniz. Elimizdeki verilen 2021 Mart ayındaki sızıntıdan kalma olmadığını kanıtlamak için sana 2021 Nisan ayından sonraki bazı verileri gönderiyoruz. Lütfen dikkatlice oku ve hızlıca dönüş yap.
Nevzat Aydın: Ne istiyorsunuz?
-Bitcoin ile ödeme. Bize cevap verdikten sonra kesin miktarı konuşabiliriz.
Nevzat Aydın: Nelere sahipsiniz?
-İçinde isimlerin, telefon numaralarının, adreslerin, e-posta adreslerinin, adres tariflerinin ve bazı kredi kartlarının son 4 hanesinin olduğu 30 milyon satırdan fazla bilgiye sahibiz.
Nevzat Aydın: Size ödeme yapsam bile bu bilgileri yine de paylaşmayacağınıza veya satmayacağınıza nasıl güvenebilirim?
-Güvenemezsin. Ancak ödeme aldıktan sonra bilgileri satmak ile ilgilenmiyoruz.
Nevzat Aydın: Bu verilerin son sızıntıyla ilgili olduğunu nasıl bilebilirim?
-Söylediğim gibi bir süre kanıta sahibim. E-postanın sonundaki 2 veriyi kontrol edebilirsin.
Nevzat Aydın: Son sızıntıdan sonra bizi tekrardan nasıl hack’lediniz?
-Öncelikle, işe yaramaz güvenlik mühendislerinize ve size penetration test (sistemin siber saldırıya dayanaklılığını test etmek amacıyla kasıtlı olarak yapılan saldırılar) yapan danışmanlık şirketinde güvenmemelisiniz. Belki size tam olarak nasıl yaptığımızı söyleyebiliriz ama bu yapacağınız ödemeye göre değişir.
Nevzat Aydın: Bu sızıntıyı benden başka bilen var mı?
-Hayır, henüz yok. Şirketinizin CEO, CTO ve diğer ortaklarınızı bile henüz bilgilendirmedik. Şu anda sadece sen biliyorsun ama bu durum davranışına göre değişebilir.
Nevzat Aydın: Ödeme yapmak istemiyorum, şimdi ne olacak?
-Bir önceki sızıntıda yaklaşık 2 milyon TL yani yaklaşık olarak 200 bin euro ceza aldığınızı biliyoruz. Araştırmalarımıza göre bu kez 2 milyon TL’den daha fazla ceza ödeyeceksiniz ve şirketiniz yaşanan güven kaybı sebebiyle zarara uğrayacak. Bu bilgileri paylaşmak için Türkiye’deki birçok gazetecinin e-posta ve telefon numaralarını bulduk. 6 ay sonra tekrardan yaşanan ikinci veri ihlalinin yaratacağı kaosu tahmin edebilirsin. Ayrıca ilk sızıntıdaki verileri hiçbir yerde paylaşmadık. Önceki veriler için ödeme yapmış olabilirsin ama öncelikle 100 bin kullanıcının verisini ücretsiz bir şekilde paylaşacağız. Ardından Mart 2021 sonrası verilerle ilgilenen potansiyel alıcılarla iletişime geçeceğiz.
-Size şiddetle tavsiye ediyorum ki bir oyun oynamaya veya Interpol gibi birimlerle iletişime geçmeyi denemeyin. Cevap vermek için 12 saatiniz var.
Türk halkının ikinci sızıntıya vereceği tepkiyi ve kızgınlıklarını düşünün. 2 milyondan fazla olabilecek ikinci KVKK cezasını düşünün.
Sadece küçük bir miktar istiyoruz. Sonrasında nasıl yaptığımızı açıklayabiliriz. Çünkü, bugün 100 tester ile yaptığın testlerde bile herhangi bir sorun bulamadınız.
Eğer bize inanmazsanız üçüncü kez saldırıya uğrayabilirsiniz.
Hacker grubu e-postanın sonuna Nevzat Aydın’ın kişisel verilerini de ekledi.
Yemeksepeti veri sızıntısı ile ilgili açıklama yaptı
Yemeksepeti resmi Twitter hesabından gelişmeler ile ilgili bir açıklama yayınladı.
Bilgilendirme: pic.twitter.com/HiQ5uOJ1vj
— Yemeksepeti (@yemeksepeti) November 15, 2021
Yapılan açıklamada belirtilene göre hacker grubunun fidye talebi karşılanmayacak ve yasal süreç başlatılacak. Ayrıca yapılan denetlemelerin ardından herhangi bir hırsızlık veya veri ihlali tespit edemediklerinin altını çizen Yemeksepeti yetkilileri, gelişmeler oldukça süreci paylaşacaklarını açıkladı.
Hacker grubu Recep Baltaş’a ulaşarak Yemeksepeti’nin açıklaması hakkında yorum yaptılar.
https://twitter.com/buckberi/status/1460378680102899720
Nevzat Aydın veri sızıntısı yüzünden mi istifa etti?
Recep Baltaş’ın açıklamalarına göre Nevzat Aydın veri sızıntısından sonra istifa etmiş.
https://twitter.com/buckberi/status/1460334076066512901
Nevzat Aydın, Twitter üzerinden yaptığı açıklama ile görevi Mert Baki’ye devrettiğini duyurmuştu.
Evet, bir devrin sonuna geldik. Jeff Bezos 25 yıl dayandı bense 21 yılı ancak görebildim. 🙂 Yemeksepeti’ndeki CEO’luk görevimi artık genç ve farklı bir bakış açısına bırakmanın zamanı geldi. Yemeksepeti 9000 çalışanı ile artık çok büyük, sektöründe de tüm haksız …
— Nevzat Aydın (@zagortenay76) November 1, 2021
Yemeksepeti CEO’su Nevzat Aydın görevi bırakıyor
“30’dan fazla alıcımız var”
Saldırganlar, ellerindeki veriler için birçok potansiyel alıcıları olduğunu da açıkladı.
https://twitter.com/buckberi/status/1460356391345008641
Son olarak saldırganların paylaştığı “kanıtlar” arasında iddia edilene göre birçok önemli isim de bulunuyor.
https://twitter.com/buckberi/status/1460336645379698690
Yemeksepeti’ni hack’lediğini iddia eden kişilerin Twitter’daki diyaloglardaki kişilerin de iletişim bilgilerini vermeleri dikkat çekti. Bu durum düşünüldüğünde, Yemeksepeti’nin daha detaylı bir açıklama yapması gerekiyordu. Şu anki açıklama ne yazık ki kulağa pek inandırıcı gelmiyor.
