Bilişim uzmanları, yemek sipariş platformunun uğradığı siber saldırı sonrası kullanıcıları tüm uygulamalardaki şifrelerini değiştirmeleri, mümkünse farklı farklı ve kolay tahmin edilemeyen şifreler belirlemeleri konusunda uyarıyor.
Türkiye’de faaliyet gösteren en büyük yemek sipariş platformundan önceki gün yapılan açıklamada, şirketin kullanıcı veri tabanının, kimliği tespit edilemeyen siber korsan ya da korsanlar tarafından saldırıya uğradığı ve bir güvenlik ihlali yaşadığı kaydedilerek, kullanıcıların hesap bilgilerinin bir kısmının korsanlar tarafından ele geçirildiği duyurulmuştu.
Şirketten kullanıcılara da gönderilen e-postalarda ad-soyad, doğum tarihi, telefon numaraları, e-posta adresleri, adres bilgileri ve açık olarak görülmeyen maskelenmiş giriş şifrelerinin ele geçirildiği bildirildi.
Toplamda 21,5 milyon kişinin etkilendiği belirtilen siber saldırıda, kredi kartı bilgilerinin tamamen güvenli olarak saklandığı ve bu konuda bir güvenlik sorunun söz konusu olmadığı açıklandı.
Konuyla ilgili açıklamalar sonrası kullanıcılar tedirginlik yaşarken, bilişim uzmanları konuya dair ne yapmaları konusunda tüketicilere uyarılarda bulundu.
“Siber korsanlar birçok şifreyi çözecektir”
Bilişim Teknolojileri ve Siber Güvenlik Derneği Yönetim Kurulu Başkanı Yavuz Sultan Selim Yüksel, kişisel verilerle çalışan şirketlerin bu bilgileri çaldırmaları halinde sorunu tespit ettikleri anda Kişisel Verileri Koruma Kuruluna (KVKK) bilgi verdiğini belirterek, bütün detayların paylaşılmasının zorunlu olduğunu söyledi.
Bilgileri çaldıran şirketlerin ceza aldığını, bu bilgiyi açıklamamaları halinde geçen her gün cezanın arttığını dile getiren Yüksel, bu yüzden şirketlerin şeffaf olması gerektiğine vurgu yaptı.
Yüksel, kullanıcıların bilgilerinin ele geçirilmesi sonrası doğacak zararın hayal gücüyle sınırlı olduğunu kaydederek, sözlerini şöyle sürdürdü:
“Şirket, şifrelerin kriptolama algoritmasıyla kriptolandığını ve açık bir şekilde saklanmadığını açıkladı. Burada öncelikle şunu söyleyeyim; 2020’nin en çok kullanılan şifresi *123456*. Yani çoğumuz böyle basit şifreleri birçok yerde kullanıyoruz. Siber korsanlar çeşitli araçlarla, wordlistlerle taradığında birçok şifreyi çözebilir. Programa, ‘Şu wordlistteki şifreleri bu bilgilere dene’ diyorsunuz. Eşleşenleri buluyor ve ‘bu şifre bu, şu şifre şu’ diyor. Basit şifreler tercih eden çok sayıda kullanıcı vardır. Birçok farklı platformda ortak kullanılan şifreler tehlikede.”
Çalınan bilgilerin satışa çıktığı iddiası
Yavuz Sultan Selim Yüksel, ele geçirilen şifrelerle kişilerin mail yoluyla tehdit edilebildiğini belirterek, “Bu kişilere yasak sitelere girdikleri veya yasal olmayan şeyler yaptıklarına dair mail atılıyor. Ayrıca, ‘bilgisayarınızı takip ediyoruz. Adınız şu, soyadınız şu, şifreniz şu’ şeklinde çalınan verilerden elde edilen bilgiler gönderilebiliyor. Tabiri caizse yem atılıyor. Buna inanan kullanıcılar dolandırılabiliyor.” diye konuştu.
Çalınan bilgilerin kötü niyetli kişiler tarafından satın alındığını dile getiren Yüksel, “Bu bilgilerin, verilerin yer aldığı listeler underground sitelerde satışa çıkıyor. Son çalınan bilgiler de şu anda underground marketlerde satışa çıktı bile. Mesela Türkiye’de yürüyüş düzenleyen bir STK’dan kısa süre önce ele geçirilen bilgiler bu tarz sitelerde ücretsiz dağıtıldı.” açıklamasında bulundu.
Yüksel, daha önce bu gibi veri hırsızlığının bir otel zincirinde yaşandığını, şirketin siber saldırıdan 4 yıl sonra haberinin olduğunu kaydederek, bu veri sızıntısı nedeniyle önemli bir ceza kesildiğini anlattı.
“Söz konusu site ve diğer tüm üyeliklerdeki şifreler değiştirilmeli”
Bilişim Teknolojileri ve Siber Güvenlik Derneği Yönetim Kurulu Başkanı Yüksel, en son saldırıya uğrayan platformun çok profesyonel olduğunu ve şifreleri kriptoladığını ifade ederek, her sitenin bu kadar şanslı olamayabileceğini söyledi.
Bazı vatandaşların bankacılıkta, sosyal medyada, e-ticaret sitelerinde ve diğer üyeliklerde ortak şifre kullanabildiğini, bunlar için ciddi tehlike bulunduğunu dile getiren Yüksel, şu uyarılarda bulundu:
“Bir şifreyi elde eden hırsız diğer uygulamalarda da aynısını deneyecektir. O yüzden acilen bütün uygulamalardaki şifrelerimizi değiştirmeli, farklı ve kolay tahmin edilemeyen şifreler belirlemeliyiz. Şifreler belirli bir kombinasyonla belirlenmeli. Ayrıca zaman zaman şifrelerimizi güncellemeliyiz. Öte yandan çalınan bilgiler kullanılarak üyelere yönelik muhakkak dolandırıcılık girişimi olacaktır. Bu konuda aksiyon alınmalı ve bu tarz girişimlere hazırlıklı olunmalı.”
Yüksel, bilginin değerli olduğu, çalındığı ve paraya dönüştürülebildiği bir devirde olduklarını, tüketicilerin bu bilinçle hareket etmesi gerektiğinin altını çizdi.
Kredi kartı bilgilerinin çalınmadığına dair KVKK’nın açıklama yaptığını anımsatan Yüksel, isteyen kullanıcıların sitede kayıtlı kart bilgilerini de kaldırabileceğini vurguladı.
Yüksel, büyük kurumsal organizasyonlarda ISO 27001 bilgi güvenliği standardının bulunduğunu, bu standartların şirketleri bilgi güvenliği konusunda belirli bir seviyeye getirdiğini, buna sahip olan firmaların bilgilerine erişmenin daha zor olduğunu söyledi.
“Zarar görenler mahkemeye başvurabilir”
Tüketiciler Derneği (TÜDER) Genel Başkanı Levent Küçük, şirketlerin, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında kullanıcıların verilerinin koruması zorunlu olduğunu söyledi.
Türk Ceza Kanunu’nda bilişim sistemine girme, sistemi engelleme-bozma, verileri yok etme-değiştirme, banka ve kredi kartlarının kötüye kullanılması durumunda 1 yıldan 3 yıla kadar hapis cezasının bulunduğunu dile getiren Küçük, şu açıklamalarda bulundu:
“Bu verilerin ele geçirilmesi nedeniyle tüketicilerin maddi veya manevi zarara uğraması durumda zararları şirket tarafından tanzim edilmeli. Zarara uğrayan tüketici, bu zararın giderilmesi için mahkemeye de başvurabilir. Ayrıca tüketiciler, hangi bilgilerinin çalındığına dair merak ettiklerini KVKK’ye başvurarak öğrenebilir.”