Köle gibi alınıp satılıyoruz
Yemeksepeti, 21 milyon kullanıcısının tüm verilerini çaldırdığı için suçlu bulunsa bile, 6698 numaralı Kişisel Verilerin Korunması Kanunu’nun onuncu maddesi olan “öngörülen aydınlatma yükümlülüğünü yerine getirmemek”ten 196 bin TL, aynı kanunun on ikinci maddesindeki “veri güvenliğine ilişkin yükümlülükleri yerine getirmemek” suçundan ise 1 milyon 966 bin TL para cezasına çarptırılabilecek. Ayrıca BTK da şirkete güvenlik tedbirlerini uygulamadığı için 1 milyon liraya kadar ceza kesebilecek.
Yemek sepeti 22 milyon, Facebook 500 milyon, Linkedin 500 milyon, Clubhouse 1,3 milyon hesabın ‘çalındığını’ açıkladı. Aslında ortada bir hırsızlık yok. Yani hesapların bir yere gittiği yok. Tüm hesaplar olduğu yerde duruyor ve tıkır tıkır işliyor. Çalınan ‘tek şey’, size dair mahrem olan ve korunması gereken ‘her şey’. Telefon numaranız, adresiniz, kimlik bilgileriniz, internet şifreleriniz, kimlerle nerede ne zaman görüştüğünüz, kredi kartı bilgileriniz, siyasi-sosyal eğilimleriniz… Yani etiniz ve kemiğiniz hariç size dair ne varsa… Çalınan her hesap, aslında sizi bir başkasının dijital kölesi haline getiriyor ve üzerinizden çok büyük paralar kazanılmasına neden oluyor. Bu dijital köle ticaretinin cezası ise, gülünemeyecek kadar trajik ama ciddiye alınamayacak kadar komik.
Yemeksepeti.com internet sitesinin 27 Mart’ta yaptığı bir açıklama, Türkiye’de gündemi değiştirmedi. Hatta merkez medyada, büyük haber kanallarında, yüksek tirajlı gazetelerde haber bile olmadı. Normalde olması gerekirdi. En azından reklam bütçesiyle basının sansürlenemediği bir ülkede olabilirdi. Çünkü açıklamada özetle şöyle deniliyordu: “İki gün önce sistemimize siber saldırı olduğunu fark ettik. Ama korkacak bir şey yok. Kredi kartı bilgilerinizin güvende olduğunu tahmin ediyoruz. Sadece kimlik bilgilerinizi, telefon numaranızı, mail bilgilerinizi ve adresinizi çaldılar. Bir de süper güvenlik algoritmalarıyla sakladığımız şifrelerinizi çaldılar. O kadar. Sorun yok, her şey kontrol altında. Zaten dünyada hiçbir sistem siber saldırılara karşı güvenli değildir. Hatta devletler bile hackerlar tarafından saldırıya uğruyor.”
- Bu açıklama, şirket tarafından kullanıcılara yapılan açıklamaydı ve sadece ‘her şeyinizi çaldılar’ demekle yetiniyordu. Ve sık sık ‘Bizim bir suçumuz yok, herkesin başına geliyor. Büyütülecek bir durum değil’ noktalarına vurgu yapılıyordu.
Aynı şirket, devlete yani Kişisel Verileri Koruma Kurumu’na mecburen yaptığı açıklamada ise, durumun vahametini itiraf etmek zorunda kalmıştı. KVKK’ya yapılan açıklamada kısaca şöyle deniliyordu: “25 Mart’ta sistemimiz alarm verdi. Yaptığımız kontrolde 18 Mart’ta sunucularımıza sızıldığını, 21,5 milyondan fazla kullanıcının tüm bilgilerinin çalındığını fark ettik.”
Tüm kullanıcılar etkilenmiş
Yani Yemeksepeti’nin sistemi o kadar zayıftı ki, hırsızlar 18 Mart’ta sisteme sızmış, tam bir hafta sistemin içinde kimseye yakalanmadan gezmiş, kilitli tüm kapıları açarak kullanıcıların tüm bilgilerini almış, 25 Mart’ta işleri bittiğinde çıkıp gitmişlerdi. Muhtemelen giderken kapıyı biraz sert çarptıkları için sistem alarm vermiş, Yemeksepeti yetkilileri uyanmış ve içeride ne var ne yok çalındığını o gün anlamıştı.
Yemeksepeti, vatandaşa yaptığı açıklamada, kaç kullanıcının bu hırsızlıktan zarar gördüğünü açıklamıyor. Ama KVKK’ya verdiği bilgiye göre tüm bilgileri çalınan kullanıcı sayısı 21 milyon 504 bin 83. Bu sayının bu kadar net ve küsuratlı olmasının nedeni ise, kısaca ‘sistemdeki tüm kullanıcılar’ diyememelerinden kaynaklanıyor. Şirketin açıklamasına göre 2020 yılı sonunda üye sayısı 19 milyondu. Ve Mart ayı ortasına kadar gelen 2,5 milyon yeni üye dâhil herkesin (Yemeksepeti.com üyeliği olan herkesin) tüm gizli bilgileri hırsızlar tarafından çalınmıştı.
Alarmın sesini 1 hafta duymamışlar
Yemeksepeti’nin açıklamasına göre sistemi kullanan herkesin yani 21 milyondan fazla kişinin tüm bilgileri çalınmıştı. KVKK da yaptığı açıklamada verilerin çalındığını doğruluyor, ama bu konuda Yemeksepeti’nin kendisine söylediği şeylerden fazlasını bilmediğini itiraf ediyordu. Yemeksepeti’nden KVKK’ya yapılan açıklamada ise bir nokta dikkat çekiyor. Şirket, sistemin 18 Mart’ta hacklendiğini 25 Mart günü fark ettiklerini ve bu 1 hafta süresince hiçbir şey yapmadıklarını belirtiyordu. Oysa KVKK’ya yapılan açıklamada, sistemin 18 Mart’ta saldırganlara karşı alarm verdiği de belirtiliyordu. KVKK’ya yapılan bildirimde bu durum şöyle açıklanıyordu:
“Normal şartlarda yetkisiz bir erişim olduğunda uyarı veren araç üzerinde sorun kaydı oluştuğu ancak bir aksaklık nedeniyle yetkisiz erişimin o an fark edilemediği…”. Yani sistem 18 Mart’ta Yemeksepeti’ni siber saldırıya karşı uyarmış ama şirket bunu ‘o an’ değil 1 hafta sonra fark etmişti.
Veriler gerçekten çalındı mı?
Bu sorunun cevabını net olarak vermek mümkün değil. Yemeksepeti’nin yaptığı açıklama tatmin edici değil ve çelişkilerle dolu. Şirket verilerin çalındığını iddia ediyor fakat 1 hafta boyunca soruna neden ve nasıl müdahale edemediğini açıklayamıyor. Neden sorunu anladıktan 2 gün sonra kullanıcılarını uyardığının açıklamasını da yapamıyor. Ve KVKK’nın aldığı karara rağmen, hesap bilgilerinin çalındığı konusunda müşterilere yapması gereken uyarı yazısı da sitenin görünür hiçbir yerinde yer almıyor. Yemeksepeti, bu çalıntı olayı hiç olmamış gibi davranıyor.
Aynı şekilde şirketin Alman sahipleri de bu konuda tam bir sessizlik içinde. 2015 yılında Alman Delivery Hero şirketine satılmış ve tüm kullanıcı bilgileriyle birlikte şirket sırları da Almanlara teslim edilmişti. Delivery Hero da bilgilerin çalınmasıyla ilgili bir açıklama yapmadı ve bu konuda tam bir sessizliğe büründü.
Sessizliğin nedeni komik cezalar mı?
Yemeksepeti ve Delivery Hero şirketinin Türkiye tarihinin en büyük siber hırsızlıklarından biri karşısında sessizliğe bürünmesinin, hatta hiç olmamış gibi davranmasının arkasında, bu konudaki cezaların yetersizliği yatıyor. Yani 21 milyondan fazla vatandaşın tüm özel bilgilerinin çaldırılmasının (ya da satılmasının) yaptırımı yok denecek kadar az.
Yemeksepeti, 21 milyon kullanıcısının tüm verilerini çaldırdığı için suçlu bulunsa bile, 6698 numaralı Kişisel Verilerin Korunması Kanunu’nun onuncu maddesi olan “öngörülen aydınlatma yükümlülüğünü yerine getirmemek”ten 196 bin TL, aynı kanunun on ikinci maddesindeki “veri güvenliğine ilişkin yükümlülükleri yerine getirmemek” suçundan ise 1 milyon 966 bin TL para cezasına çarptırılabilecek. Ayrıca BTK da şirkete güvenlik tedbirlerini uygulamadığı için 1 milyon liraya kadar ceza kesebilecek. Tüm bu bahsettiğimiz meblağlar, cezaların üst sınırını teşkil ediyor. Yani KVKK ve BTK başka bir suç isnadından bulunmazsa, ya da Yemeksepeti hakkında ceza davası açılmazsa, 21 milyon kullanıcının hesabını çaldırmak şirkete sadece ve en fazla 3 milyon liraya mâl olacak.
19 milyon Türk’ün Facebook hesabı çalındı
Geride bıraktığımız bir aylık süreçte ‘veri hırsızlığı’ skandalı Yemeksepeti ile sınırlı değildi. Facebook, geçtiğimiz ayın başında 533 milyon kullanıcısının hesap bilgilerinin çalındığını açıkladı. Daha doğrusu açıklama Facebook’tan değil, çalınan hesapları yayınlayan internet sitesinden geldi.
- Yapılan incelemelerde, bu 533 milyon hesabın yaklaşık 19 milyonunun Türk kullanıcılara ait olduğu tespit edildi. KVKK, Facebook hakkında derhal inceleme başlattı. Facebook daha önce de Türkiye’deki kullanıcıların kişisel bilgilerini üçüncü kişilere satmaktan soruşturma geçirmiş ve 2019’da şirkete bu nedenle 1,6 milyon lira ceza kesilmişti.
Benzer bir soruşturmayı ABD’de geçiren Facebook, 2014 yılında 50 milyon ABD’linin kişisel bilgilerini Cambridge Analytica isimli İngiltere merkezli bir siyasal araştırma şirketine satmaktan suçlu bulunmuştu. Facebook, 2019 yılında biten soruşturma sonucunda 5 milyar dolar cezaya çarptırılmıştı.
Çaldıracaksan büyük çaldır
2021’in hesap çaldırma modasına, daha çok profesyonellerin kullandığı LinkedIn de katıldı. Şirket, Nisan ayında 500 milyon kullanıcısına ait özel bilgilerin bilgisayar korsanları tarafından çalındığını açıkladı. Korsanlar, özel bilgilerin ellerinde olduğunu kanıtlamak için 2 milyon kişinin bilgilerini yayınladı. Ama bu numune bilgileri görmek için de 2 dolar vermek gerekiyor. Geri kalan bilgiler ise, açık artırma ile satılacak.
- Apple kullanıcılarının sosyal medyası olan ve yeni bir tartışma platformu olarak piyasaya çıkan Clubhouse ise, popüler olmanın yükünü kaldıramadı. Sosyal medya şirketi, 1,3 milyon kullanıcısına ait kişisel bilgilerin hackerlar tarafından çalındığını açıkladı.
Kişisel veri piyasası el yakıyor
Yemeksepeti’nden kişisel veriler çalındığında, şirket hesabına çalıştığı iddia edilen troller sosyal medyadan şirketi savunmak için paylaşımlar yapmış, “köftemi soğanlı mı soğansız mı yediğimi öğrenseler ne olacak” gibi komikliklerle skandalın üstü kapatılmaya çalışılmıştı. İşin aslı ise çok farklı. Bu tür şirketlerden çalınan veriler, ‘Dark Web’ olarak da bilinen alternatif internet dünyasında çok değerli. Dark Web, 2000’li yılların başına doğru Türkiye’de de gündeme gelen, özel bir browser ile girilebilen Deep Web’in bugünkü hali. Bitcoin’in de çıkış yeri olan ve tüm ticaretin kripto paralarla yapıldığı bu alternatif internet dünyasında her bir kişisel bilginin fiyatı farklı. Ve pek çoğu da el yakıyor.
Gmail bilgileriniz en pahalısı
Klonlanmış kredi kartı bilgileri 25 dolardan başlarken, 5000 dolar ve üstü limiti olan bir kredi kartının bilgileri 240 dolara kadar çıkabiliyor. Paypal, TransferGo, Western Union gibi online ödeme hesaplarının bilgileri ise 14 dolar ile 1000 dolar arasında değişiyor. Doğrulanmış bir kripto para hesabı ise 800 dolara kadar alıcı buluyor. Türkiye’de de çok kullanılan Binance ve Coinbase hesaplarının kişisel bilgileri, 600 dolardan satılıyor.
Hacklenmiş bir twitter hesabı 35 dolardan, instagram 45 dolardan, facabook hesabı ise 65 dolardan satılıyor. Pek çok kimlik hesabından bile değerli olan gmail hesabı ise 80 dolardan başlıyor ve 150 dolara kadar çıkıyor. Gmail hesabının bu kadar değerli olmasının nedeni ise, aynı şifreyle girilen Google hesabının bir özel bilgi hazinesi gibi görülmesi ve insanların çoğunun gmail şifrelerini diğer pek çok hesaplarında da değiştirmeden kullanması.
Netflix bilgileriniz Netflix’ten pahalı
Standart kimlik bilgileri ülkeden ülkeye değişmekle birlikte, 2 dolarla 20 dolar arasında alıcı bulabiliyor. Orijinal ABD kimliği eyaletine göre 200 dolara, Avrupa pasaportu 4000 dolara satılıyor. Yemeksepeti kadar detaylı bilgiler içermeyen Netflix hesapları bile özelliğine göre 4 dolarla 44 dolar arasında değişen fiyatlara alıcı buluyor. Yani oradaki kişisel bilgilerinizin, Netflix’e ödediğiniz ücretten bile daha yüksek bir piyasası bulunuyor.
Zarar gören kişi şikayetçi olabilir
Türkiye tarihinin en büyük veri hırsızlıklarından biri olan ‘Yemeksepeti hırsızlığı’nı değerlendiren Avukat Şebnem Taşan Kurt, konunun sadece KVKK ve BTK’nın ilgi alanında olmadığını, özel hayatın gizliliğinin Anayasa’nın 20. Maddesinde düzenlendiğini hatırlatıyor. Bu maddenin Yemeksepeti’ni ilgilendiren kısmında “Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar” deniliyor.
Yemeksepeti, verilerinizin çalınıp çalınmadığını başvurmanız hâlinde size bildireceğini vaat ediyor. Ama çalındığını öğrenseniz bile yapılacak çok bir şey yok. Çünkü Kurt’a göre “kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde, zararın giderilmesini talep etme haklarına sahibiz.” Yani önce bu durumdan zarara uğramanız, daha sonra bu zararın Yemeksepeti’nden kaynaklandığını ispat etmeniz gerekiyor. Şirketleri umursamaz kılan da bu olsa gerek.