Yemek Sepeti’nden sızan bilgiler satışa çıktı bile

Türkiye’de 2001 yılında kurulan online yemek satış sitesi Yemek Sepeti geçtiğimiz hafta hacklendi ve 21,5 milyondan fazla kullanıcının ferdî bilgileri çalındı. Yani, Türkiye nüfusunun dörtte birinin; ad-soyadı, doğum tarihi, telefon numaraları, e-posta adresleri ve açık adres bilgileri korsanların eline geçti. Yemek Sepeti ‘şifreler kullanılmaz halde’ açıklaması yapsa da siber taarruza uğradığı ayyuka çıkınca bilgilerin çalındığını açıkladı. Üstelik kapalı kalması gereken çok kıymetli bilgilerimizin ‘veri pazarı’na düşmesini çok da önemsememiş görünüyorlar. Bilgilerinin çalınması şokunu yaşayan kullanıcılar ikinci sarsıntıyı Yemek Sepeti’nin, “Panik yok, hack’lendik, geçti gitti. Ana yemekten sonra tatlı servisimiz başlayacaktır” sakinliğindeki açıklaması ile yaşadı.

Pekala, Yemek Sepeti neden olağan bir durum varmış üzere davranıyor? Bunun birkaç sebebi var. Birincisi alacağı ceza. Şahsî Bilgileri Muhafaza Şurası yaptığı inceleme sonucunda platforma bir ceza kesecek. Ama bu ölçü çok da büyük olmayacak. Biraz inceleme yaptığımda Türkiye’de gerekli teknik ve idari önlemleri alma yükümlülüğüne uymayan şirketlere 400 bin ile 680 bin TL ortasında cezalar kesildiğini gördüm. Yemek Sepeti’ne kesilecek ceza da bu sayılardan farklı olmayacak. Şirketin yıllık cirosuna baktığımızda ödeyeceği para fındık lahmacun boyutunda kalıyor. Bir de kullanıcı umursamazlığının verdiği rahatlık var. Türkiye’deki kullanıcılar ferdî bilgilerini koruma-kollama konusunda gereğince hassas değil. Bunu WhatsApp’ın dayatmasında gördük.

Hacklenmenin bir Avrupa ülkesi üzerinden gerçekleştiği bilgisini edindim. Ele geçirilen ferdî bilgilerin bir kısmı karanlık ağlar dehlizi Dark Web’te satışa çıkmış bile. Türkiye pazarı için çok değerli, mali pahası yüksek bir bilgi havuzu var korsanların elinde. Kullanıcı bilgilerinin piyasaya nasıl sürüldüğünün izini sürdüm. Veriler; uyuşturucu, silah satışı, insan kaçakçılığı, uygunsuz içerik üzere yasa dışı faaliyete konut sahipliği yapan Dark Web’de paketler halinde satılıyor. İnternetten alışveriş yapma kültürü olan milyonlarca kullanıcının bilgileri istenirse, semt semt dahi tahlil edilip, Excel evrakı halinde paketleniyor. Pekala alıcıları kimler? Örneğin bir kıyafet mağazası “şu semtte oturan 30-60 yaş ortasındaki bayanların telefon numaraları gerekiyor” dediğinde bu veriyi tek seferde satın alabiliyor. Korsanlar, bilgi paketlerini misal markalara sunup, çok sayıda alıcıya tıpkı anda satış yapıyorlar. Böylelikle bilgileri alanların daha fahiş fiyatlara diğerlerine satmasını ve kendi müşterilerinin kesilmesini önlüyorlar.

Pekala biz bu yasa dışı satışlardan nasıl etkileniyoruz? Aniden gelen telefonlar, SMS’ler, e-postalar, hatta kapımıza bırakılan broşürlerin ana kaynağı misal bilgi sızıntıları… Tüm bilgiler ellerinde. Ya kapıdan ya bacadan ulaşabiliyorlar. Korsanlıktan, mal satma eşkıyalığına uzanan sistemin önüne geçmek ise kısmen mümkün. Telefonunuza müsaade vermediğiniz bir markadan gelen SMS’i ‘Ticari Elektronik Mesaj Şikayet Sistemi’ne kaydettiğinizde soruşturma başlıyor. Ticaret Bakanlığı, tanıtım yapan firmaya elindeki kullanıcı bilgilerinin kaynağını soruyor. Onaysız bilgileri tutanlar ise önemli cezalar ödüyorlar. Yemek Sepeti’ndeki data sızıntısı ile çok sayıda değerli bürokratın, siyasetçinin, ünlü isimlerin mesken ve iş adresleri de korsanların eline geçti. Bu başlı başına fiziki güvenlik problemi. Telefon numaraları, e-postalar ve şifre kombinasyonları da birebir biçimde bu dataların içinde. Birçok kişi toplumsal mecralar farklı olsa da ortak şifreler belirliyor. Bu kombinasyonlarla çok sayıda kişinin toplumsal medya hesaplarını ele geçirmek mümkün. Yakın vakitte toplumsal medyada bir hack furyası başlarsa kimse şaşırmasın. Yemek Sepeti ‘pardon’ deyip geçiştirse de Türkiye’nin dörtte birini gelecekte bekleyen önemli tehlikeler var.

Ersin Çelik