Türkiye'de 2001 yılında kurulan online yemek satış sitesi Yemek Sepeti geçtiğimiz hafta hacklendi ve 21,5 milyondan fazla kullanıcının kişisel bilgileri çalındı. Yani, Türkiye nüfusunun dörtte birinin; ad-soyadı, doğum tarihi, telefon numaraları, e-posta adresleri ve açık adres bilgileri korsanların eline geçti. Yemek Sepeti 'şifreler kullanılmaz halde' açıklaması yapsa da siber saldırıya uğradığı ayyuka çıkınca verilerin çalındığını açıkladı. Üstelik gizli kalması gereken çok önemli bilgilerimizin 'veri pazarı'na düşmesini çok da önemsememiş görünüyorlar. Bilgilerinin çalınması şokunu yaşayan kullanıcılar ikinci sarsıntıyı Yemek Sepeti'nin, "Panik yok, hack'lendik, geçti gitti. Ana yemekten sonra tatlı servisimiz başlayacaktır" sakinliğindeki açıklaması ile yaşadı.

Peki, Yemek Sepeti neden olağan bir durum varmış gibi davranıyor? Bunun birkaç sebebi var. İlki alacağı ceza. Kişisel Verileri Koruma Kurulu yaptığı inceleme sonucunda platforma bir ceza kesecek. Fakat bu miktar çok da büyük olmayacak. Biraz inceleme yaptığımda Türkiye'de gerekli teknik ve idari tedbirleri alma yükümlülüğüne uymayan şirketlere 400 bin ile 680 bin TL arasında cezalar kesildiğini gördüm. Yemek Sepeti'ne kesilecek ceza da bu rakamlardan farklı olmayacak. Şirketin yıllık cirosuna baktığımızda ödeyeceği para fındık lahmacun boyutunda kalıyor. Bir de kullanıcı umursamazlığının verdiği rahatlık var. Türkiye'deki kullanıcılar kişisel verilerini koruma-kollama konusunda yeterince hassas değil. Bunu WhatsApp'ın dayatmasında gördük.

Hacklenmenin bir Avrupa ülkesi üzerinden gerçekleştiği bilgisini edindim. Ele geçirilen kişisel verilerin bir kısmı karanlık ağlar dehlizi Dark Web'te satışa çıkmış bile. Türkiye pazarı için çok kıymetli, parasal değeri yüksek bir veri havuzu var korsanların elinde. Kullanıcı bilgilerinin piyasaya nasıl sürüldüğünün izini sürdüm. Datalar; uyuşturucu, silah satışı, insan kaçakçılığı, uygunsuz içerik gibi yasa dışı faaliyete ev sahipliği yapan Dark Web'de paketler halinde satılıyor. İnternetten alışveriş yapma kültürü olan milyonlarca kullanıcının bilgileri istenirse, semt semt dahi analiz edilip, Excel dosyası halinde paketleniyor. Peki alıcıları kimler? Örneğin bir kıyafet mağazası "şu semtte oturan 30-60 yaş arasındaki kadınların telefon numaraları gerekiyor" dediğinde bu datayı tek seferde satın alabiliyor. Korsanlar, veri paketlerini benzer markalara sunup, çok sayıda alıcıya aynı anda satış yapıyorlar. Böylece verileri alanların daha fahiş fiyatlara başkalarına satmasını ve kendi müşterilerinin kesilmesini önlüyorlar.

Peki biz bu illegal satışlardan nasıl etkileniyoruz? Ansızın gelen telefonlar, SMS'ler, e-postalar, hatta kapımıza bırakılan broşürlerin ana kaynağı benzer veri sızıntıları... Tüm bilgiler ellerinde. Ya kapıdan ya bacadan ulaşabiliyorlar. Korsanlıktan, mal satma eşkıyalığına uzanan sistemin önüne geçmek ise kısmen mümkün. Telefonunuza izin vermediğiniz bir markadan gelen SMS'i 'Ticari Elektronik İleti Şikayet Sistemi'ne kaydettiğinizde soruşturma başlıyor. Ticaret Bakanlığı, tanıtım yapan firmaya elindeki kullanıcı bilgilerinin kaynağını soruyor. Onaysız verileri tutanlar ise ciddi cezalar ödüyorlar. Yemek Sepeti'ndeki veri sızıntısı ile çok sayıda önemli bürokratın, siyasetçinin, ünlü isimlerin ev ve iş adresleri de korsanların eline geçti. Bu başlı başına fiziki güvenlik sıkıntısı. Telefon numaraları, e-postalar ve şifre kombinasyonları da aynı şekilde bu verilerin içinde. Birçok kişi sosyal mecralar farklı olsa da ortak şifreler belirliyor. Bu kombinasyonlarla çok sayıda kişinin sosyal medya hesaplarını ele geçirmek mümkün. Yakın zamanda sosyal medyada bir hack furyası başlarsa kimse şaşırmasın. Yemek Sepeti 'pardon' deyip geçiştirse de Türkiye'nin dörtte birini gelecekte bekleyen ciddi tehlikeler var.

Editör: TE Bilisim