Yemek Sepeti Elektronik İletişim Perakende Gıda Lojistik AŞ'ye yönelik siber saldırının gerçekleştiği yurt dışı kaynaklı IP adresleri, Bilgi Teknolojileri ve İletişim Kurumu (BTK) Ulusal Siber Olaylara Müdahale Merkezi (USOM) tarafından belirlendi.
"Yemek Sepeti"ne ait web uygulama sunucusundaki bir zafiyetten yararlanılarak, 18 Mart'ta kullanıcı bilgilerinin bulunduğu veri tabanına, kimliği veri sorumlusunca belirlenemeyen şahıs ya da şahıslarca erişildi.
Yetkisiz erişim olduğunda uyarı veren güvenlik sistemlerindeki alarmlar neticesinde olağan dışı hareket ortaya çıktı. Daha sonra söz konusu firmanın siber güvenlik ekipleri tarafından BTK USOM'a yapılan bildirim sonucu şüpheli erişimler belirlendi.
USOM tarafından olaya yerinde müdahale edilerek, saldırının nasıl gerçekleştiği, boyutları ve etki alanı analiz edildi. Saldırının başlangıç noktası belirlenerek, benzer tehditlerin diğer sistemler ve kurumlarda oluşmaması için gerekli önleyici çalışmalarda bulunuldu. Bu yönde tüm ilgili kuruluşlardaki siber olaylara müdahale ekiplerine gerekli uyarılar yapılarak önlemlerin artırılması istendi.
Söz konusu olayda saldırganların kullandığı yurt dışı kaynaklı IP'ler, USOM tarafından tespit edildi. IP'lerin, yurt dışında kimler tarafından kullanıldığına dair detaylı bilgilerin alınması amacıyla çok yönlü olarak çalışmalar sürdürülüyor. Aynı zamanda yurt dışındaki ilgili ülkenin siber olaylara müdahale ekibiyle de iletişime geçildi ve konuya ilişkin bilgilerin USOM'a iletilmesi talep edildi.
Olaya ilişkin analizler, düzeltici ve önleyici faaliyetler ile suç boyutuna ilişkin güvenlik kurumlarıyla, veri ihlali boyutuyla da Kişisel Verileri Koruma Kurulu ile iş birliğine devam ediliyor.
YEMEK SEPETİ’NDEN HANGİ BİLGİLER ÇALINDI?
Yemeksepeti, siber korsanlar tarafından hangi bilgilerin çalındığını de resmi Twitter hesabından açıkladı.
Buna göre,
-Ad-soyad
-Doğum tarihi
-Yemeksepeti'ne kayıtlı telefon numaraları
-Yemeksepetine kayıtlı e-posta adresleri
-Yemeksepeti'ne kayıtlı adres bilgileri
-Açık olarak görülemeyen, SHA-256 algoritması ile maskelenmiş giriş şifreleri.
KREDİ KARTI BİLGİLERİ DE ÇALINDI MI?
Yemeksepeti'nden yapılan açıklamada; "Kredi kartı bilgileri MasterCard altyapısı ile korumalı olarak Yemeksepeti veri tabanları dışında ve tamamen güvenli olarak saklanmaktadır. MasterCard tarafında bu konuyla ilişkili herhangi bir güvenlik sorunu söz konusu değildir. Kullanıcılarımız kredi kartlarını gönül rahatlığı ile kullanmaya devam edebilir" açıklaması yapıldı.
YEMEKSEPETİ'NDEN YAPILAN AÇIKLAMA
1- Kamuoyuna duyurumuzdur: Siber saldırılar bugün devletlerden, en büyük sirketlere,- ünlülerden, finans kurumlarına kadar pek çok veri kaynağını tehdit etmekte olup, çağımızın en büyük suçlarından ve güvenlik sorunlarından biri haline gelmiştir. Dünyada, siber saldırılara karşı %100 güvenli bir sistemden söz etmek mümkün olmasa bile, Yemeksepeti olarak kullanıcılarımızın veri güvenliği adına bugüne kadar elimizden gelen tüm önlemleri aldığımızı vurgulamak isteriz. Ancak, bu konuda yaşanan bir gelişme üzerine, ilk ağızdan net bir bilgilendirme yapmak istiyoruz. 25.03.2021 sabah saatlerinde tespit ettiğimiz üzere, Yemeksepeti kullanıcı veri tabanı, kimliği tespit edilemeyen siber korsan ya da korsanlartarafından bir saldırıya uğradı ve bir güvenlik ihlali yaşandı. Yemeksepeti kullanıcılarının hesap bilgilerinin bir kısmı korsanlartarafından ele geçirildi.
2- Öncelikle kredi kartı bilgileri dahil olmak üzere hiçbir finansal bilgiye ya da şifreye erişilmediğini, aynı şekilde bağlı bulunan Facebook ve Apple hesaplarına dair bir ihlalin de söz konusu olmadığını belirtmek isteriz. (Bu bilgiler hiçbir zaman Yemeksepeti sistemlerinde saklanmamıstır.) Ele geçirilen bilgileri, eksiksiz ve şeffaf bir şekilde aşağıdaki listede açıklamak istiyoruz.
- Ad — Soyad
- Doğum Tarihi
- Yemeksepeti'ne Kayıtlı Telefon Numaraları
- Yemeksepeti'ne Kayıtlı E—posta Adresleri
- Yemeksepeti'ne Kayıtlı Adres Bilgileri
- Açık Olarak Görülemeyen, SHA—256 Algoritması ile Maskelenmiş Giris Şifreleri
3- Yemeksepeti bu konuda neler yapıyor?
Siber güvenlik kalkanının aşılması ve veri hırsızlığı olasılığını ilk tespit ettiğimiz 25.03.2021 tarihi saat 09.30'dan itibaren, öncelikle ihlalin detayları üzerine tüm yazılım ve siber güvenlik ekiplerimiz ve güvenlik danışmanlarımız ile birlikte çalışmaya başladık. Yapılan çalışma sonucu ihlalin yalnızca listede açıkladığımız unsurlarla sınırlı olduğunu tespit etmemizin akabinde, elde ettiğimiz bilgileri kullanıcılarımızla, gerekli yasal mercilerle ve kamuoyuyla tüm şeffaflığıyla paylaşmak için süratle çalışmalara başladık. Bu siber güvenlik saldırısı ve hırsızlık sebebiyle tüm Yemeksepeti ailesi ve çalışanları olarak, kullanıcılarımız, iş ortaklarımız ve paydaşlarımız adına derin bir üzüntü içerisindeyiz. Yaşanan durum nedeniyle gerçekleşebilecek olası hasarları minimuma indirmek için etkilenebilecek tüm kişileri bilgilendirmek üzere harekete geçtik. Saldırının nasıl yapıldığını tespit ettik, ihlale neden olan sorunu ortadan kaldırdık ve bu üzücü olayın tekrarlanmaması adına gerekli tüm önlemleri aldık. Yemeksepeti kullanıcılarının veri güvenliğinden daha öncelikli hiçbir konumuzun olmadığını ve gereken tüm teknik ve sistemsel çalışmaları en yüksek seviyede yaptığımızı sizinle paylaşmak isteriz.
4- Kredi kartı bilgileri güvende mi?
Kredi kartı bilgileri MasterCard altyapısı ile korumalı olarak Yemeksepeti veri tabanları dışında ve tamamen güvenli olarak saklanmaktadır. MasterCard tarafında bu konuyla ilişkili herhangi bir güvenlik sorunu söz konusu değildir. Kullanıcılarımız kredi kartlarını gönül rahatlığı ile kullanmaya devam edebilir.
Yemeksepeti hesaplarına 3. kişiler tarafından giriş yapılabilir mi?
Hayır. Yemeksepeti giriş şifreleri bizim veri tabanlarımızda, kullanıcılarımızın güvenliği gereği SHA—256 kriptografik algoritmasi ile maskelenmiş olarak tutulmaktadır. Dolayısıyla şifreler, korsanlar tarafından görüntülenemez. Kullanıcılarımızıh hesaplarına 3. kişilerin giriş yapması bu yüzden mümkün değildir.
5-Yemeksepeti şifremi değiştirmem gerekiyor mu?
Az önce de belirttiğimiz üzere Yemeksepeti şifrelerine acık haliyle korsanlar veya 3. kişiler ulaşamamaktadır. Ancak daha rahat etmek isteyen kullanıcılarımızın Yemeksepeti şifrelerini değiştirmelerini öneririz. Son olarak, eğer ki Yemeksepeti üyeliği ”Apple ya da Facebook'la Bağlan” seçeneği ile başlamış ise, zaten bizim veri tabanımızda tutulan bir şifre bulunmadığından, bu durumdaki kullanıcılar için de bir şifre hırsızlığı söz konusu olmayacaktır ve bu şifreler Apple ve Facebook sistemleri üzerinde güvendedir.
Konuyla ilgili kimlere bilgi verildi?
(Kişisel Verileri Koruma Kurulu), USOM (Ulusal Siber Olaylara Müdahale Merkezi) ve İstanbul Cumhuriyet Başsavcılığı. İlave sorularınız için: info©yemeksepeti.com Yaşanan bu üzücü olayla ilgili tüm kullanıcılarımızdan tekrar özür diliyoruz. Konunun takipcisi ve Yemeksepeti kullanıcılarının haklarının en büyük savunucusu olacağız.
