En son gerçekleşen siber saldırının kurbanı; 2001 yılında kurulan ve 70 ilde, 35 binin üzerinde üye restoran ile 19 milyondan fazla kullanıcıya hizmet veren online yemek sipariş platformu olan Yemeksepeti oldu.
Öncelikle Yemeksepeti ekibine geçmiş olsun diyoruz. %100 siber güvenlik hiçbir zaman mümkün değil ve olmayacak. Yine de yapılması gereken insan, iş akışları ve teknolojiler bacağındaki strateji ve yatırımları değişen tehditleri göz önüne alarak sürekli güncel tutmak.
Yemeksepeti gerçekleşen siber saldırıyı kamuoyu ile şeffaf bir şekilde paylaştı, etkilenen tüm üyelerine bilgilendirme yaptı ve KVK Kurulu dahil tüm ilgili kurumlara süresi içerisinde resmi bildirimde bulundu. Bu açıdan olumlu bir süreç yönetimi söz konusu. Biz de sürecin bundan sonrasını yakından takip ediyoruz. Diğer taraftan siber suçlular tarafından ele geçirilen ciddi kişisel veriler söz konusu. Bu kişisel veriler, Yemeksepeti hesaplarınıza yetkisiz erişim yapılmasından ziyade online bankacılık, online borsalar, e-posta hesaplarınız gibi kullandığınız diğer platformlar açısından daha büyük risk teşkil ediyor.
CyberArts olarak bireyler için hızla yapmalarını önerdiklerimiz:
- SHA 256 ile şifrelenmiş parolaların kırılması teorik olarak da pratik olarak da çok güç.
- Fakat kişisel verileriniz ele geçirildiği için; yukarıdaki listede yer alan kişisel verilerinizi içeren bir parolanız var ise bu tahmin edilmesi kolay olduğu anlamına gelir. Bu durumda şifrenizi mutlaka değiştirmelisiniz.
- Eğer aynı parolayı özellikle başka platformlarda kullanıyorsanız bu hesaplarınıza girerek şifrelerinizi tek tek değiştirmelisiniz.
- Bundan sonrası için de her hesap için farklı parola oluşturmanız gerektiğini bir kez daha anlamış olmalısınız.
- Tahmin edilmesi zor parolalar oluşturmalarınız.
- Her ne kadar kart bilgilerinin ele geçirildiğine dair bir kanıt yoksa da online alışverişte sanal kredi kartları kullanmalısınız.
- Yemeksepeti hesabınıza girerken bu mümkün değil fakat eğer diğer kritik hesaplarınıza girişlerde 2 faktörlü doğrulama özelliğini açmadı iseniz bu vesile ile açmalısınız.
Daha detaylı bilgi için aşağıdaki içerikleri inceleyebilirsiniz:
https://www.youtube.com/watch?v=QVVqkEdD1f8
https://www.youtube.com/watch?v=qQDkxU5MyuM&t=7s
https://cyberartspro.com/kaba-kuvvet-saldirisi-ile-sifre-kirma/
https://cyberartspro.com/trojan-ve-keylogger-ile-sifre-calma/
https://cyberartspro.com/saldirganlar-parolalarinizi-nasil-tahmin-edebiliyor/
https://cyberartspro.com/guvenli_sifre_olusturmak_ve_saklamak/
Yemeksepeti’nin duyurusu:
https://twitter.com/yemeksepeti/status/1375764826241314818?s=20
Kamuoyuna duyurumuzdur. / 2 pic.twitter.com/mk0AhwO8If
— Yemeksepeti (@yemeksepeti) March 27, 2021
Duyurunun özeti:
“25.03.2021 sabah saatlerinde tespit ettiğimiz üzere Yemeksepeti kullanıcı veri tabanı, kimliği tespit edilemeyen siber korsan ya da korsanlar tarafından bir saldırıya uğradı ve bir güvenlik ihlali yaşandı. Yemeksepeti kullanıcılarının hesap bilgilerinin bir kısmı korsanlar tarafından ele geçirildi.” dendi.
Siber saldırganlar tarafından ele geçirilen bilgiler;
- Ad-Soyad
- Doğum Tarihi
- Yemeksepeti’ne Kayıtlı Telefon Numaraları
- Yemeksepeti’ne Kayıtlı E-posta Adresleri
- Yemeksepeti’ne Kayıtlı Adres Bilgileri
- Açık olarak görülmeyen SHA-256 algoritması ile maskelenmiş giriş şifreleri
Kredi kartı bilgilerine, finansal bilgilere, bağlı bulunan hesaplara dahil bir veri ihlalinin gerçekleşmediğini bunun nedenin ise bu bilgilerin hiçbir zaman Yemeksepeti sistemleri tarafından saklanmadığından dolayı olduğu açıklandı.
Yemeksepeti, KVKK (Kişisel Verileri Koruma Kurulu), USOM (Ulusal Siber Olaylara Müdahale Merkezi) ve İstanbul Cumhuriyet Başsavcılığı’na bilgi verdiğini açıkladı.
Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.