Türkiye’de 2001 yılında kurulan online yemek satış sitesi Yemek Sepeti geçtiğimiz hafta hacklendi ve 21,5 milyondan fazla kullanıcının şahsî bilgileri çalındı. Yani, Türkiye nüfusunun dörtte birinin; ad-soyadı, doğum tarihi, telefon numaraları, e-posta adresleri ve açık adres bilgileri korsanların eline geçti. Yemek Sepeti ‘şifreler kullanılmaz halde’ açıklaması yapsa da siber hücuma uğradığı ayyuka çıkınca bilgilerin çalındığını açıkladı. Üstelik zımnî kalması gereken çok değerli bilgilerimizin ‘veri pazarı’na düşmesini çok da önemsememiş görünüyorlar. Bilgilerinin çalınması şokunu yaşayan kullanıcılar ikinci sarsıntıyı Yemek Sepeti’nin, “Panik yok, hack’lendik, geçti gitti. Ana yemekten sonra tatlı servisimiz başlayacaktır” sakinliğindeki açıklaması ile yaşadı.
Pekala, Yemek Sepeti neden olağan bir durum varmış üzere davranıyor? Bunun birkaç sebebi var. Birincisi alacağı ceza. Şahsî Dataları Muhafaza Konseyi yaptığı inceleme sonucunda platforma bir ceza kesecek. Ancak bu ölçü çok da büyük olmayacak. Biraz inceleme yaptığımda Türkiye’de gerekli teknik ve idari önlemleri alma yükümlülüğüne uymayan şirketlere 400 bin ile 680 bin TL ortasında cezalar kesildiğini gördüm. Yemek Sepeti’ne kesilecek ceza da bu sayılardan farklı olmayacak. Şirketin yıllık cirosuna baktığımızda ödeyeceği para fındık lahmacun boyutunda kalıyor. Bir de kullanıcı umursamazlığının verdiği rahatlık var. Türkiye’deki kullanıcılar ferdî bilgilerini koruma-kollama konusunda gereğince hassas değil. Bunu WhatsApp’ın dayatmasında gördük.
Hacklenmenin bir Avrupa ülkesi üzerinden gerçekleştiği bilgisini edindim. Ele geçirilen ferdî bilgilerin bir kısmı karanlık ağlar dehlizi Dark Web’te satışa çıkmış bile. Türkiye pazarı için çok değerli, nakdî pahası yüksek bir bilgi havuzu var korsanların elinde. Kullanıcı bilgilerinin piyasaya nasıl sürüldüğünün izini sürdüm. Veriler; uyuşturucu, silah satışı, insan kaçakçılığı, uygunsuz içerik üzere yasa dışı faaliyete mesken sahipliği yapan Dark Web’de paketler halinde satılıyor. İnternetten alışveriş yapma kültürü olan milyonlarca kullanıcının bilgileri istenirse, semt semt dahi tahlil edilip, Excel belgesi halinde paketleniyor. Pekala alıcıları kimler? Örneğin bir kıyafet mağazası “şu semtte oturan 30-60 yaş ortasındaki bayanların telefon numaraları gerekiyor” dediğinde bu veriyi tek seferde satın alabiliyor. Korsanlar, bilgi paketlerini benzeri markalara sunup, çok sayıda alıcıya tıpkı anda satış yapıyorlar. Böylelikle bilgileri alanların daha fahiş fiyatlara diğerlerine satmasını ve kendi müşterilerinin kesilmesini önlüyorlar.
Pekala biz bu yasa dışı satışlardan nasıl etkileniyoruz? Birden gelen telefonlar, SMS’ler, e-postalar, hatta kapımıza bırakılan broşürlerin ana kaynağı emsal data sızıntıları… Tüm bilgiler ellerinde. Ya kapıdan ya bacadan ulaşabiliyorlar. Korsanlıktan, mal satma eşkıyalığına uzanan sistemin önüne geçmek ise kısmen mümkün. Telefonunuza müsaade vermediğiniz bir markadan gelen SMS’i ‘Ticari Elektronik Mesaj Şikayet Sistemi’ne kaydettiğinizde soruşturma başlıyor. Ticaret Bakanlığı, tanıtım yapan firmaya elindeki kullanıcı bilgilerinin kaynağını soruyor. Onaysız dataları tutanlar ise önemli cezalar ödüyorlar. Yemek Sepeti’ndeki data sızıntısı ile çok sayıda değerli bürokratın, siyasetçinin, ünlü isimlerin mesken ve iş adresleri de korsanların eline geçti. Bu başlı başına fiziki güvenlik külfeti. Telefon numaraları, e-postalar ve şifre kombinasyonları da birebir formda bu bilgilerin içinde. Birçok kişi toplumsal mecralar farklı olsa da ortak şifreler belirliyor. Bu kombinasyonlarla çok sayıda kişinin toplumsal medya hesaplarını ele geçirmek mümkün. Yakın vakitte toplumsal medyada bir hack furyası başlarsa kimse şaşırmasın. Yemek Sepeti ‘pardon’ deyip geçiştirse de Türkiye’nin dörtte birini gelecekte bekleyen önemli tehlikeler var.
Ersin Çelik
Memurlar