Bilgisayar korsanları Yemeksepeti'ne yeni bir siber saldırı düzenlediklerini ve ellerinde yeni veriler olduğunu belirterek, 5 Bitcoin istiyor.
Türkiye’nin en büyük çevrimiçi yemek sipariş sitesi Yemeksepeti yeni bir siber saldırı iddiasıyla gündemde geldi. Verileri ele geçirdiklerini iddia eden bilgisayar korsanları ellerinde 20 milyonun üzerinde kullanıcıya ait isim, soy isim, telefon numarası, açık adres, adres tarifi ve kredi kartlarının ilk ve son dört hanelerine ait bilgilerin olduğunu söyledi.
Grubun bilgileri paylaşmama karşılığında 5 Bitcoin istedikleri belirtildi. Hackerlar şirkete yarına kadar (22 Kasım) süre tanıdı.
DW Türkçe’den Kazım Kızıl’ın sorularına yazılı cevap veren bilgisayar korsanları Yemeksepeti’ne yeni bir siber saldırı yaptıklarını ve ellerinde yeni veriler olduğu iddiasını savunuyor.
Girişimci Nevzat Aydın tarafından 20012de kurulan ve 2015’te 589 milyon dolar karşılığında Almanya merkezli gıda dağıtım şirketi Delivery Hero’ya satılan Yemeksepeti, en son 25 Mart 2021’de benzer veri ihlali iddiaları ile gündeme gelmişti.
1 MİLYON TL’LİK CEZA İLE KARŞI KARŞIYA
Sekiz ay önce gerçekleşen bu saldırı sonrası güvenlik önlemlerini en üst seviyeye çıkardığını belirten şirket, Kişisel Verileri Koruma Kurumu (KVKK) tarafından veri güvenliğine ilişkin yükümlülüklere aykırı faaliyetten 2 milyon TL, Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından ise güvenlik sorumluluklarını yerine getirmemekten dolayı 1 milyon TL’lik ceza ile karşı karşıya.
AVUKAT GِِÖKSOY: VERİLERİN SORUMLULUĞU YEMEKSEPETİ’NDE
Öte yandan, yasa dışı faaliyetlerle siber saldırıya uğrayan bir şirketi ne bekliyor ve sorumlulukları neler? Bilişim hukuku alanında doktora çalışması yapan avukat Resul Gِِöksoy, kişisel verilerin güvenliğini koruma yükümlülüğünün 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12. maddesinde düzenlendiğini belirtti. Gِِöksoy verilerin işlenmesinin ve erişilmesinin önlenmesi ile güvenli bir şekilde muhafaza edilmesinin sorumluluğunun gerçek veya tüzel kişilerde, yani Yemeksepeti’nde olduğunu vurguladı.
VERİLERİN ÇALINMASI NELERE YOL AÇAR?
İnceleme sonucu iddiaların doğru çıkması halinde en üst ceza 2021 yılı için 1.966.862,00 TL. Gِöksoy, bu durumda şirketin Kişisel Verileri Koruma Kurumu’na zamanında bildirimde bulunmadığı için ekstra bir cezayla daha karşı karşıya olacağını belirtti. Gِِöksoy’a gِِöre kişisel verilerin büyüklüğü ve etkilenen insan sayısının fazlalığı dikkate alındığında cezalar yeterli ve caydırıcı değil.
Ele geçirilen verilerin reklam ve pazarlama amaçlı kullanılabileceği gibi, yeni telefon hattı açılması, kredi çekilmesi, şirket kurulması, e-posta adreslerine gِönderilecek casus yazılımlarla şantaj unsuru olabilecek bilgilere erişilmesi gibi suçların da işlenebileceği uyarısında bulunan Gِِöksoy, ciddi mağduriyetlerin doğacağının altını çiziyor.
