8 ay önce hack’lenen Türkiye’nin en büyük yemek sipariş platformlarından Yemeksepeti’nin tekrar saldırıya uğradığı ve 30 milyondan fazla kişinin tüm verilerinin sızdırıldığı iddiası gündeme bomba gibi düştü.
İlk hack olayının ardından o dönem CEO’luk görevini üstlenen Yemeksepeti kurucusu Nevzat Aydın, platformun kullanıcılarından özür dilemiş ve “Benzer bir olayın tekrar yaşanmaması için tüm geliştirmeleri yapmayı sürdürüyoruz.” demişti.
Yemeksepeti’ni yeniden hack’lediklerini ve Nevzat Aydın’a ulaştıklarını iddia eden hacker’lar, Aydın’a attıkları e-postayı Mesut Çevik’e e-posta yoluyla gönderdi. E-postanın ekran görüntülerini Twitter hesabından paylaşan Çevik, Yemeksepeti’ni etiketleyerek, “Veriler yine ortaya saçılmış sanırım. Az önce e-posta aldım. Bu konuda bir açıklama yapacak mısınız?” sorusunu yöneltti.
https://twitter.com/mesutcevik/status/1460327995017682951
Hack iddiasının peşine düşen gazeteci İbrahim Haskoloğlu da hacker’lara ulaştığını ve iddialarını kanıtlamaları için adresini ve telefon numarasını göndermelerini istediğini belirtti. Haskoloğlu, hacker’ların kendisine doğru telefon numarası ve adres gönderdiğini kaydetti.
Yemeksepeti’nden yaklaşık 50 milyon kişinin verilerinin çalınıp Darkweb’de satıldığı belirtilmişti.
Verileri satışa sunan Hacker’a ulaştım, kanıtlaması için kendi adresimi, telefon numaramı göndermesini istedim
Kendisi açık adresimin tarifiyle beraber telefon numaramı gönderdi. pic.twitter.com/Zb4xFrnBPB
— ibrahim Haskoloğlu (@haskologlu) November 15, 2021
“Bitcoin ile Ödeme İstiyoruz”
Hacker’ların Nevzat Aydın’a ulaştıklarını ve Mesut Çevik’e e-posta yoluyla “Merhaba Mesut. Bu oldukça yeni veri sızıntısı olayını takipçilerinle paylaşman için bu bilgileri sana da gönderiyoruz.” diyerek gönderdikleri e-postada ilginç detaylar yer alıyor.
Hacker’lar, Nevzat Aydın’dan Yemeksepeti adına ödemeyi Bitcoin 95.629,00 $ ile yapmasını talep ediyor.
Merhaba Nevzat. Sana kötü haberlerimiz var, yeniden hacklendiniz. Elimizdeki verilerin 2021 Mart ayındaki sızıntıdan kalma olmadığını kanıtlamak için sana 2021 Nisan ayından sonraki bazı verileri gönderiyoruz. Lütfen dikkatlice oku ve bize hemen dönüş yap.
Soru: Ne istiyorsunuz?
Cevap: Bitcoin ile ödeme. Bize cevap verdiğinde miktari konuşabiliriz.
Soru: Elinizde ne var?
Cevap: İçinde isimlerin, telefon numaralarının, adreslerin, e-posta adreslerinin, adres tariflerinin ve bazı kredi kartlarının son 4 hanesinin olduğu 30 milyon satırdan fazla bilgi.
Soru: Size para versem bile bu verilerin hepsini paylaşmayacağınıza ya da satmayacağınıza nasıl güvenebilirim?
Cevap: Güvenemezsin, Ama senin ödemenden sonra verileri satmakla ilgilenmiyoruz.
Soru: Bu verilerin son sızıntıyla alakalı olduğunu nasıl bilebilirim?
Cevap: Dediğim gibi bunun için bir sürü kanıtım var. E-postanın sonundaki son 2 veriyi kontrol edebilirsin.
Soru: Son sızıntıdan sonra (8 ay önceki) bizi nasıl tekrar hacklediniz?
Cevap: Öncelikle, işe yaramaz güvenlik mühendislerinize ve size penetration test (sistemin siber saldırıya dayanaklılığını test etmek amacıyla kasıtlı olarak yapılan saldırılar) yapan danışmanlık şirketinde güvenmemelisiniz. Belki size tam olarak nasıl yaptığımızı söyleyebiliriz ama bu yapacağınız ödemeye göre değişir.
Soru: Bu sızıntıyı benden başka bilen var mı?
Cevap: Hayır, şu anda yok. Şirketin CEO, CTO ve diğer ortaklarınızı bile henüz bilgilendirmedik. Şu anda sadece sen biliyorsun ama bu durum davranışına göre değişebilir.
Soru: Peki ödemek istemezsem sonrasında ne olacak?
Cevap: Bir önceki sızıntıda yaklaşık 2 milyon TL ceza aldığınızı biliyoruz. Araştırmalarımıza göre bu kez 2 milyon TL’den daha fazla ceza ödeyeceksiniz ve şirketiniz yaşanan güven kaybı sebebiyle zarara uğrayacak. Bu bilgileri paylaşmak için Türkiye’deki birçok gazetecinin e-posta ve telefon numaralarını bulduk. İkinci veri ihlalinin yaratacağı kaosu tahmin edebilirsin. Ayrıca ilk sızıntıdaki verileri hiçbir yerde paylaşmadık. Önceki veriler için ödeme yapmış olabilirsin ama öncelikle 100 bin kullanıcının verisini ücretsiz bir şekilde paylaşacağız. Ardından potansiyel alıcılarla iletişime geçeceğiz.
Türk halkının ikinci sızıntıdan sonra nasıl tepki vereceğini düşün. Şirketinin güvenini düşün. KVKK’dan gelecek olan 2 milyon TL’den fazla olan ikinci cezayı düşün.
Biz, senden sadece küçük bir miktar para talep ediyoruz. Sonrasında sana ne yaptığımızı açıklayabiliriz, çünkü bugün 100 tester ile yaptığın testlerde bile herhangi bir sorun bulamadınız 🙂
Yemeksepeti’nden Açıklama: Veri İhlali ya da Hırsızlığı Tespit Edemedik
Gündeme bomba gibi düşen hack iddiasının ardından resmi Twitter hesabından açıklama yapan Yemeksepeti, hacker’ların fidye talebine olumsuz yanıt verdiklerini ve yasal süreci başlattıklarını belirtti.
Açıklamada, yapılan kontrollerde sistemlerde herhangi bir veri ihlali ya da hırsızlığı tespit edilemediğinin altını çizilirken, süreci paylaşacakları aktarıldı.
Bilgilendirme: pic.twitter.com/HiQ5uOJ1vj
— Yemeksepeti (@yemeksepeti) November 15, 2021