Yemeksepeti iki gün önce önemli bir açıklama yayımladı ve 25 Mart'ta uğradığı bir siber saldırı sonrasında, müşteri bilgilerinin hacklendiğini kamuoyuna duyurdu. 21 milyon kullanıcının ad, soyad, mail adresi, fiziksel adres ve telefon bilgilerinin sızdığı belirtilen açıklamada iç rahatlatan bir unsur, (kapalı kodlandığı için) şifrelerin ve (kredi kart firmasında depolandığı için) kredi kart bilgilerinin çalınmadığı şeklinde[1]. Arkasından Kişisel Verileri Koruma Kurulu'nun (KVKK) soruşturma açtığını duyduk.
Bu bilgiler "Yemeksepeti.com müşterileri" olan hemen hepimizi ferahlatmaya yeter mi?
Maalesef hayır.
Kimlik verileri, dünyada ve ülkemizde en çok çalınması istenen bilgiler. Neden? Çünkü bu veriler kullanılarak çok sayıda "hukuksuz" iş yapılabiliyor. Hepsini olmasa da, bu kimlik çalınmalarının çeşitli yönlerini örneklendirmesi açısından, olayın tüm boyutlarına bakalım.
Bu veri hırsızlığında, finansal verilerin (kredi kart bilgileri) çalınmamış olması iyi bir durum. PCI DSS standardı [2] çerçevesinde, kredi kart kabul eden firmaların hepsinin yaptığı gibi, kredi kart bilgileri servis veren firma (MasterCard) şirketinin veri tabanında saklanıyor. Kullanılması gerektiğinde de oradan alınıyor.
İnternetin kullanılmaya başlaması ve yaygınlaşması ile birlikte, ilk dolandırıcılıklarda, kredi kart hırsızlığı büyük boyutlardaydı. Buna önlem olarak ana kredi kartı servis sunucuları, 2006 yılında PCI DSS devreye aldılar [2]. Yemeksepeti kimlik bilgileri çalınmasının bu nedenle finansal veriler anlamında sorunu gözükmüyor.
Olayın bir başka boyutu; şifreler. Yemeksepeti açıklamasında şifrelerin kapalı (SHA-256 algoritması [3] ile maskelenmiş) olduğunu belirtiyor.
Şifrelerin güçlü kodlanması da önemli. gerçi şifrelerle görülse görülse verilen siparişler ve puanlar görülür, desek de burada başka bir handikap var. Bunu bir siber güvenlikçi şöyle izah ediyor:
"Hash olayı tek yönlü ve geri döndürülmez ama bir parola sözlüğünden, basit parolaların bit hashleri oluşturulup, yemeksepetinden elde edilen hashlerle karşılaştırılabilir ve aynı olanlar tespit edilebilir. Ama daha kötüsü bu parola ile mail hesabı ya da diğer üye olunan yerlerde aynı parola kullanılmış mı kontrol edilebilir. 21 milyon kullanıcının yüzde 10'unun şifresi bu yolla ele geçirilse, 2 milyon hesap yapar."
Anlayacağınız şifreler kapalı olsa da bir risk taşıyor. Buradan kullanıcılara iki mesaj var. Şöyle ki, kullanıcı olan herkesin;
Şenol Çolak (Nucleus kurucusu) bu konuda, herkesin bir "parola yönetim yazılımı" kullanmasını tavsiye ediyor.
Bir de asıl çalınan veriler konusuna yakından bakalım. Yemeksepeti'nin açıklama yapmasının nedeni, 6698 sayılı "Kişisel Verileri Koruma" kanunu. Bu kanundan önce, bu tür veri ihlallerini arada sırada duyabiliyorduk ama olayın bütününü öğrenemiyorduk. İçeriden birileri ya da hackleyenler ne kadar bilgi verir ya da sızdırırsa, onu da dedikodu halinde öğreniyorduk.
Oysa kişisel verilerin bilgilerin çalınması bir sorun ama çalındığını bilmiyor olmak daha fazla sorun. Korunmasız ya da savunmasız olmak demek.
Sonucu mu?
Arama motoruna "telefon dolandırıcılığı" yazarsanız, çok yüksek sayıda dolandırıcılıkla karşılaşırsınız. Koca koca profesörleri, iş insanlarını, emeklileri ikna eden dolandırıcılar var ya, işte onların en önemli aracı, bu "kimlik verileri". İşlerini yaparken, buradan aldıkları verileri bir sosyal mühendislik aracı olarak kullanıyorlar. Yemek sepeti.com hacklemesi o nedenle çok önemli bir olay.
Bunun bir de şu boyutu var: Yemeksepeti kullanıcıları genellikle gençlik. Yani dolandırıcılar ellerine "iş hayatına yeni girmiş ve para harcayan taze kimlik bilgileri" geçmiş oldu.
Bütün bu yıllar boyunca telefon dolandırıcılığı haberlerini okudum ama hiç başıma gelmemişti. Ama geçen hafta beni de dolandırıcılar aradı. Yemeksepeti açıklamalarına bakarsanız, "25 sabahı siber saldırıyı fark ettik" diyor ama açıklamadan, bunun daha önceden yapılıp, o sabah mı fark edildiği ya da o sabah mı başladığı konusunda bir açıklık yok[1]. Dolayısıyla benim aranmamı da sonradan, "kullanıcısı olduğum Yemeksepeti kaynaklı olabilir mi?" diye düşünmeden edemedim.
Gazetecilik tecrübesi kapsamında, konuşmanın başından itibaren "bu dolandırıcı" diyerek ama biraz da habercilik deneyimi elde etme kapsamında dinledim ve anlamaya çalıştım. İzlenimlerim şöyle:
Sonuç; işlerin sarpa saracağı noktada kestik ve Süleyman Soylu başta olmak üzere, emniyeti, servis sağlayıcıyı, bankayı bilgilendirdik. Şimdi bu haberi ve olayın analitik detaylarını vererek, telefon dolandırıcılığının farkındalığını arttırmayı istedik (Dolandırıcımız okuyorsa, "nanik" ve "iziniz şu anda sürülüyor" diyelim).
Sonuçta, kimlik bilgileri işte bu nedenle ve böyle kullanılıyor. Yemeksepeti kimlik hırsızlığı bu anlamda önemli. Bunun arkasından, telefon dolandırıcılarının sosyal medyayı kullanarak yapacakları sosyal mühendislikle birlikte, yeni bir telefon dolandırıcılığı döneminin hızlanabileceği düşüncesindeyim.
Bu konuya bir de hukuk tarafından bakalım dedik ve Kişisel Verileri Koruma konusunda uzman Avukat Mehmet Ali Köksal ile konuştuk. Kendisine KVKK'nın açtığı soruşturmayı, şifre olayını ve Yemeksepeti'nin buradaki sorumluluğunu sorduk:
- Yemeksepeti kusurlu mudur? Bu kusurundan doğacak zararı ödemeli midir?
"Yemeksepeti veya herhangi bir veri sorumlusu kendi kusuru ile gerekli önlemleri almayarak ya da yeterince almayarak ya da aldığı yeterli önlemleri güncellemediği için yetersiz hale gelmişse, teknolojik gelişmeye bağlı olarak bu tür durumlarda veri sorumlusu kusurundan söz edebiliriz.
Veri sorumlusu, bu şekilde bir kişiye ait kişisel verileri hukuka aykırı olarak ifşa edilmesine sebeb verdiğinde ise, bu olaydan kaynaklanan kişinin zararlarını ödemekle yükümlüdür.
Ancak bundan söz edebilmek için uğranılan zararla, fiil arasında (yani veri sorumlusunun eksik aldığı, hatalı aldığı ya da almadığı önlem arasında) bir illiyet bağı olması gerekiyor.
Bu nedenle örneğin, Yemeksepeti kullanıcısı, ifşa olan bilgileri nedeniyle, aslında yemek yememiş olduğu bir yerde sipariş vermişse ve bu ayrıntı ifşa edilmişse (mesela eşine işyerindeyim dediği saatte, bir arkadaşının evinde yemek siparişi vermişse), bu doğrudan zarara sebebiyet verecektir."
- Şifrelerin kapalı olduğu görülüyor ama yine de bir şekilde sorun olabilir mi?
"Bir kişinin kendisine ait şifre için 123456 gibi çok basit tahmin edilebilir şekilde belirlemiş olması ve böylesi bir saldırı sonrasında saldırganlarca doğrudan elde edilmemekle birlikte, şifrenin zaten basit olduğu için, hashlenmiş data ve basit şifrenin, şifre sözlüğünden eşleştirilme yoluyla bulunması yöntemiyle şifrenin ele geçirilmesi gibi bir durum kanımca veri sorumlusuna yüklenecek bir olay değildir.
Çünkü buradaki eksiklik ilgili kişinin şifresini son derece basit belirlemiş olmasından kaynaklanmaktadır ve bu nedenle veri sorumlusunun filli yani önlem almamaktan oluşan zarar arasındaki illiyet bağı kesilmektedir."
- Yemeksepeti açıklamasında, "Dünyada siber saldırılara karşı yüzde yüz güvenli sistem yok" diyor. Biz de buna dair haberleri sürekli yapıyoruz. Bu konuda ne söyleyeceksiniz.
"Kuruluş makul önlemleri aldığını göstererek sorumluluktan kurtulabilir. Ne önlem alırsam alayım gerçekleşebilirdi de diyebilir.
Tam benzer örnek olmasa da, bu bir trafik kazası gibi. Siz normal yolda 50 ile ya da otoyolda 120 ile gidiyorsunuzdur. Ama birisi otobana önlemsiz atlamış, duramazsınız. 120 km ile gidiyorsanız, bu kişiye durma mesafesi hatta görme mesafesi olmadan çarpabilirsiniz. Ama 120 yerine 160 ile gidiyorsanız, o da başka bir hikâyedir."
- Yemeksepeti kullanıcı bilgilerinin çalınması ile telefon dolandırıcılıkları arasında ilişki kurulabilir mi?
"Yemeksepeti'nden alınan kişisel veriler tek başına bu sonuca götürmez. Sosyal medya ya da fiziksel hayattan başka bilgilerine de ulaşması lazım.
Yemeksepeti'nden alınan bilgiler, bir sonraki hazırlık oluşturabilir, buradaki bilgiler kullanılarak, önemli bir adımlar atılmış olabilir. Fiziki adresi öğrenilip, sosyal medyadan bilgi toplamaya başlanır. Bu bilgilerle başka bilgiler toplanabilir.."
- Kişisel Veriler Kurumu inceleme başlattı. Sizce ne olur?
"Her gün, her yer hackleniyor. Amerikan devlet kurumları bile hackleniyor. Kuruluş samimiyetle önlem almışsa ona bakılır. Çalınan verilerin niteliğine bakılır. Mesela kredi kartı yeterli önlem almış mı? Bununla birlikte şifreleme hashleme önlemi almış. Onun dışında alması gereken bir önlem varken almadıysa ona bakılır. Örneğin çok istisnai bir durum ama yemek seçimi sırasında dini görüşünü belirtecek bir not almış olabilir. Ramazandaki tercihler, yahudilerin dini tercihleri gibi.
Veri Sorumlusu 6698 sy. Kanun ve bu Kanun gereğince KVK Kurumu tarafından yapılan düzenlemelere uygun teknik ve idari tedbirleri almamış ise bunun sonucunda Kanun'un 18. maddesinin 1. fıkrasının (b) bendi gereğince 1.966.862 TL'ye kadar para cezası yaptırımı ile cezalandırılabilecektir.
Veri sorumlusu, bu şekilde bir kişiye ait kişisel verileri hukuka aykırı olarak ifşa edilmesine sebeb verdiğinde ise, bu olaydan kaynaklanan kişinin zararlarını ödemekle yükümlüdür."
Geçmişte bildiğimiz ya da bilmediğimiz çok sayıda kişisel veri hırsızlığı oldu. Bunlardan birisi 2016 yılında ortaya dökülen 50 milyon kimlik verisinin hacklendiğine dair bilgilerdi. Zamanın başbakanı Binali Yıldırım'ın bu olaya açıklaması da üzücü ve devlet adamı ciddiyetinden uzaktı [4]: "Hemen soruşturma açıyoruz" vs. yerine "O eski hikâye" gibi özen göstermeyen, olayı küçümseyen böylece devletin sorumluluğunu üstlenmeyen bir açıklama yapmıştı. Acaba bu 50 milyon kimlik bilgisi, birilerinin başına iş açtı mı? Ya da kim bilir kaç kişinin başı yandı?
Çünkü o veriler oy verenlere ait kimlik verileri gibi gözüküyor ve aile bilgileri de içeriyordu. Bu durumda dolandırıcıların "eşiniz bilmem kim sizin şuraya şu parayı getirmenizi istedi" şeklindeki bir dolandırıcılığı okuduğumu hatırlıyorum.
Yemeksepeti bilgilerine bakıldığında, email, telefon, normal adres vs bilgileri gözüküyor. Bunlarla trojan yollamak, telefonla arayıp dolandırmak ve hatta fiziki ev adresini kullanarak bir şeyler yapmak düşünülebilir.
Bu noktada iki ay önceki "WhatsApp verileri Facebook'a aktaracak" tartışmalarını da bir daha hatırlatalım [5]. O tartışmaları ısrarla hatırlatmamızın nedeni "n'olacak reklamcılara veriyor" türü yaklaşımları çoğu insanda görmüş olmamız. Bu veriler günün birinde canınızı yakabilir ve siz bunların nereden olduğunu farkında bile olmayabilirsiniz. Verilerinizi koruyun! Verilerinizi koruyun! Verilerinizi koruyun!
O nedenle herkesin dikkatli olması lazım. Çünkü YouTube'dan bulup dinleyin[6], dolandırıcıların kullandıkları yöntemleri başarılı ve sözleri bir hayli inandırıcı olabiliyor.
[1] Yemek Sepeti, Veri Tabanının Hacklendiğini Açıkladı
[3] Wiki-Turk : SHA Algoritmaları
[4] 50 Milyon Kişisel Verinin Yayınlanmasında Yapılan Bakan Açıklamaları Dava Açmaya Zemin Sağlıyor