– Bilişim uzmanları, yemek sipariş platformunun uğradığı siber akın sonrası kullanıcıları tüm uygulamalardaki şifrelerini değiştirmeleri, mümkünse farklı farklı ve kolay kestirim edilemeyen şifreler belirlemeleri konusunda uyarıyor.
Türkiye’de faaliyet gösteren en büyük yemek sipariş platformundan evvelki gün yapılan açıklamada, şirketin kullanıcı bilgi tabanının, kimliği tespit edilemeyen siber korsan ya da korsanlar tarafından taarruza uğradığı ve bir güvenlik ihlali yaşadığı kaydedilerek, kullanıcıların hesap bilgilerinin bir kısmının korsanlar tarafından ele geçirildiği duyurulmuştu.
Şirketten kullanıcılara da gönderilen e-postalarda ad-soyad, doğum tarihi, telefon numaraları, e-posta adresleri, adres bilgileri ve açık olarak görülmeyen maskelenmiş giriş şifrelerinin ele geçirildiği bildirildi.
Toplamda 21,5 milyon kişinin etkilendiği belirtilen siber atakta, kredi kartı bilgilerinin büsbütün inançlı olarak saklandığı ve bu mevzuda bir güvenlik sorunun kelam konusu olmadığı açıklandı.
Mevzuyla ilgili açıklamalar sonrası kullanıcılar tedirginlik yaşarken, bilişim uzmanları hususa dair ne yapmaları konusunda tüketicilere ikazlarda bulundu.
– “Siber korsanlar birçok şifreyi çözecektir”
Bilişim Teknolojileri ve Siber Güvenlik Derneği İdare Heyeti Lideri Yavuz Sultan Selim Yüksel, ferdî datalarla çalışan şirketlerin bu bilgileri çaldırmaları halinde sorunu tespit ettikleri anda Ferdî Dataları Müdafaa Heyetine (KVKK) bilgi verdiğini belirterek, bütün ayrıntıların paylaşılmasının mecburî olduğunu söyledi.
Bilgileri çaldıran şirketlerin ceza aldığını, bu bilgiyi açıklamamaları halinde geçen her gün cezanın arttığını lisana getiren Yüksel, bu yüzden şirketlerin şeffaf olması gerektiğine vurgu yaptı.
Yüksel, kullanıcıların bilgilerinin ele geçirilmesi sonrası doğacak zararın hayal gücüyle hudutlu olduğunu kaydederek, kelamlarını şöyle sürdürdü:
“Şirket, şifrelerin kriptolama algoritmasıyla kriptolandığını ve açık bir biçimde saklanmadığını açıkladı. Burada öncelikle şunu söyleyeyim; 2020’nin en çok kullanılan şifresi *123456*. Yani çoğumuz bu türlü kolay şifreleri birçok yerde kullanıyoruz. Siber korsanlar çeşitli araçlarla, wordlistlerle taradığında birçok şifreyi çözebilir. Programa, ‘Şu wordlistteki şifreleri bu bilgilere dene’ diyorsunuz. Eşleşenleri buluyor ve ‘bu şifre bu, şu şifre şu’ diyor. Kolay şifreler tercih eden çok sayıda kullanıcı vardır. Birçok farklı platformda ortak kullanılan şifreler tehlikede.”
– Çalınan bilgilerin satışa çıktığı savı
Yavuz Sultan Selim Yüksel, ele geçirilen şifrelerle şahısların mail yoluyla tehdit edilebildiğini belirterek, “Bu bireylere yasak sitelere girdikleri yahut yasal olmayan şeyler yaptıklarına dair mail atılıyor. Ayrıyeten, ‘bilgisayarınızı takip ediyoruz. İsminiz şu, soyadınız şu, şifreniz şu’ formunda çalınan bilgilerden elde edilen bilgiler gönderilebiliyor. Tabiri caizse yem atılıyor. Buna inanan kullanıcılar dolandırılabiliyor.” diye konuştu.
Çalınan bilgilerin makûs niyetli bireyler tarafından satın alındığını lisana getiren Yüksel, “Bu bilgilerin, dataların yer aldığı listeler underground sitelerde satışa çıkıyor. Son çalınan bilgiler de şu anda underground marketlerde satışa çıktı bile. Mesela Türkiye’de yürüyüş düzenleyen bir STK’dan kısa mühlet evvel ele geçirilen bilgiler bu üslup sitelerde fiyatsız dağıtıldı.” açıklamasında bulundu.
Yüksel, daha evvel bu üzere data hırsızlığının bir otel zincirinde yaşandığını, şirketin siber ataktan 4 yıl sonra haberinin olduğunu kaydederek, bu data sızıntısı nedeniyle kıymetli bir ceza kesildiğini anlattı.
– “Söz konusu site ve başka tüm üyeliklerdeki şifreler değiştirilmeli”
Bilişim Teknolojileri ve Siber Güvenlik DerneğiYönetim Şurası Lideri Yüksel, en son taarruza uğrayan platformun çok profesyonel olduğunu ve şifreleri kriptoladığını tabir ederek, her sitenin bu kadar şanslı olamayabileceğini söyledi.
Kimi vatandaşların bankacılıkta, toplumsal medyada, e-ticaret sitelerinde ve başka üyeliklerde ortak şifre kullanabildiğini, bunlar için önemli tehlike bulunduğunu lisana getiren Yüksel, şu ikazlarda bulundu:
“Bir şifreyi elde eden hırsız öteki uygulamalarda da birebirini deneyecektir. O yüzden ivedilikle bütün uygulamalardaki şifrelerimizi değiştirmeli, farklı ve kolay iddia edilemeyen şifreler belirlemeliyiz. Şifreler belli bir kombinasyonla belirlenmeli. Ayrıyeten vakit zaman şifrelerimizi güncellemeliyiz. Öte yandan çalınan bilgiler kullanılarak üyelere yönelik kesinlikle dolandırıcılık teşebbüsü olacaktır. Bu hususta aksiyon alınmalı ve bu biçim teşebbüslere hazırlıklı olunmalı.”
Yüksel, bilginin kıymetli olduğu, çalındığı ve paraya dönüştürülebildiği bir zamanda olduklarını, tüketicilerin bu şuurla hareket etmesi gerektiğinin altını çizdi.
Kredi kartı bilgilerinin çalınmadığına dair KVKK’nın açıklama yaptığını anımsatan Yüksel, isteyen kullanıcıların sitede kayıtlı kart bilgilerini de kaldırabileceğini vurguladı.
Yüksel, büyük kurumsal tertiplerde ISO 27001 bilgi güvenliği standardının bulunduğunu, bu standartların şirketleri bilgi güvenliği konusunda makul bir düzeye getirdiğini, buna sahip olan firmaların bilgilerine erişmenin daha güç olduğunu söyledi.
– “Zarar görenler mahkemeye başvurabilir”
Tüketiciler Derneği (TÜDER) Genel Lideri Levent Küçük, şirketlerin, 6698 sayılı Şahsî Dataların Korunması Kanunu kapsamında kullanıcıların datalarının muhafazası zarurî olduğunu söyledi.
Türk Ceza Kanunu’nda bilişim sistemine girme, sistemi engelleme-bozma, dataları yok etme-değiştirme, banka ve kredi kartlarının berbata kullanılması durumunda 1 yıldan 3 yıla kadar mahpus cezasının bulunduğunu lisana getiren Küçük, şu açıklamalarda bulundu:
“Bu dataların ele geçirilmesi nedeniyle tüketicilerin maddi yahut manevi ziyana uğraması durumda ziyanları şirket tarafından tanzim edilmeli. Ziyana uğrayan tüketici, bu zararın giderilmesi için mahkemeye de başvurabilir. Ayrıyeten tüketiciler, hangi bilgilerinin çalındığına dair merak ettiklerini KVKK’ye başvurarak öğrenebilir.”
Memurlar
