Nevzat Aydın tarafından kurulan ve 2015 yılında bir gıda dağıtım şirketi olan Delivery Hero’ya satılan Yemeksepeti, daha önce birçok defa siber saldırı ve verileri çaldırması sebebiyle gündeme gelmişti. En son düzenlenen saldırı ise ciddi boyutları sebebiyle bir süredir gündemde.
Yemeksepeti son saldırıyla ilgili hackerların kendilerine ulaşıp fidye istediklerini fakat herhangi bir veri sızıntısı olmadığını tespit ettiklerini açıklamıştı. Güvenlik önlemlerini artırdıklarını belirten şirket, incelemeler sonucunda Kişisel Verileri Koruma Kurumu (KVKK) ve Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından, güvenlik sorumluluklarını yerine getirmemekten dolayı 1 milyon TL cezaya çarptırılabilir.
20 milyondan fazla kişinin verileri ellerinde
Şirket veri sızıntısı olmadığını açıklamış olsa da, DW Türkçe’nin sorularına yazılı olarak yanıt veren hackerlar 20 milyondan fazla kişinin verilerinin ellerinde olduğunu söyledi. Hackerlar, söz konusu iddiaları yalanlandığı için çok takipçili bazı isimlerin ve gazetecilerin isim, soyisim, telefon, açık adres bilgilerini paylaşarak verilerin ellerinde olduğunu kanıtlamaya çalıştılar. Hackerlar, Rusya merkezli bir oluşum olduklarını ve grupla ilgili bilgiler paylaşmayacaklarını, farklı ülkelerden üyeleri bulunduğunu belirterek Türk veya Çinli oldukları konusundaki iddiaları reddettiler.
Yemeksepeti’ni seçmelerinde özel bir neden bulunmadığını ifade eden hackerlar, yakın zamanda görevinden ayrılan eski Yemeksepeti CEO’su ve kurucusu Nevzat Aydın’dan taleplerini mail yoluyla istediklerini fakat Aydın’ın ödeme yapmamasının kendilerini şaşırttığını söylediler. Görüşmeden sonra Nevzat Aydın’ın istifa ettiğini belirten hackerlar, “Maili attığımız tarihte şirketin CEO'su Nevzat Aydın'dı. Görüşmemizden sonra istifa etti. Yeni CEO Mert Baki'ye de taleplerimizi ilettik ancak ciddiye almadı. Belki de Delivery Hero (Yemeksepeti'nin bağlı olduğu üst kuruluş) onlara bu konuda baskı uyguladı, şimdilik bunu bilmiyoruz” dedi.
Süre 22 Kasım’da sona erecek
Hackleme işleminin bir ay önce gerçekleştiğine yönelik bilgiler aktaran hackerlar, iletişime geçerek bazı sosyal medya hesapları aracılığıyla konuyu kamuoyuna yansıttılar. Ayrıca şirketin açıklamasını komik bulduklarını ve şirketin kendilerinin sistemi nasıl hacklediklerini bilmediğini söylediler. Hackerlar Yemeksepeti’ne bir hafta süre verdi ve 22 Kasım’da sona erecek olan bu sürede istedikleri yapılmazsa şirket çalışanlarının açık adreslerini ve telefon numaralarının yayınlayacaklar.
Twitter’da bazı kullanıcılar bilgisayar korsanlarının elindeki bu verilerin 2016 yılında Merkezi Nüfus İdaresi Sistemi’ne (MERNIS) yönelik gerçekleştirilen siber saldırı ile elde edildiğini iddia etti. Fakat bilgisayar korsanları bu verilerin Kasım ayı itibariyle güncel olduğunu belirtti. Korsanlar bu bilgileri paylaşmamak için fidye olarak 5 Bitcoin, yani bugünkü değeriyle 3 milyon TL istiyorlar. Şirketin, taleplerini yerine getirmediği takdirde bu istenilen fidyeyi veren başka alıcılarla irtibata geçeceklerini ve bu da gerçekleşmezse en yüksek teklif veren kişiye verileri satacaklarını belirttiler.