Siber saldırı sonrası ‘tüm ÅŸifrelerinizi deÄŸiÅŸtirin’ uyarısı

BiliÅŸim Teknolojileri ve Siber Güvenlik DerneÄŸi Yönetim Kurulu BaÅŸkanı Yüksel, “Siber korsanlar çeÅŸitli araçlarla, wordlistlerle taradığında (ele geçirilen) birçok ÅŸifreyi çözecektir.” dedi.

Bilişim uzmanları, yemek sipariş platformunun uğradığı siber saldırı sonrası kullanıcıları tüm uygulamalardaki şifrelerini değiştirmeleri, mümkünse farklı farklı ve kolay tahmin edilemeyen şifreler belirlemeleri konusunda uyarıyor.

Türkiye’de faaliyet gösteren en büyük yemek sipariÅŸ platformundan önceki gün yapılan açıklamada, ÅŸirketin kullanıcı veri tabanının, kimliÄŸi tespit edilemeyen siber korsan ya da korsanlar tarafından saldırıya uÄŸradığı ve bir güvenlik ihlali yaÅŸadığı kaydedilerek, kullanıcıların hesap bilgilerinin bir kısmının korsanlar tarafından ele geçirildiÄŸi duyurulmuÅŸtu.

Şirketten kullanıcılara da gönderilen e-postalarda ad-soyad, doğum tarihi, telefon numaraları, e-posta adresleri, adres bilgileri ve açık olarak görülmeyen maskelenmiş giriş şifrelerinin ele geçirildiği bildirildi.

Toplamda 21,5 milyon kişinin etkilendiği belirtilen siber saldırıda, kredi kartı bilgilerinin tamamen güvenli olarak saklandığı ve bu konuda bir güvenlik sorunun söz konusu olmadığı açıklandı.

Konuyla ilgili açıklamalar sonrası kullanıcılar tedirginlik yaşarken, bilişim uzmanları konuya dair ne yapmaları konusunda tüketicilere uyarılarda bulundu.

“Siber korsanlar birçok ÅŸifreyi çözecektir”

Bilişim Teknolojileri ve Siber Güvenlik Derneği Yönetim Kurulu Başkanı Yavuz Sultan Selim Yüksel, kişisel verilerle çalışan şirketlerin bu bilgileri çaldırmaları halinde sorunu tespit ettikleri anda Kişisel Verileri Koruma Kuruluna (KVKK) bilgi verdiğini belirterek, bütün detayların paylaşılmasının zorunlu olduğunu söyledi.

Bilgileri çaldıran şirketlerin ceza aldığını, bu bilgiyi açıklamamaları halinde geçen her gün cezanın arttığını dile getiren Yüksel, bu yüzden şirketlerin şeffaf olması gerektiğine vurgu yaptı.

Yüksel, kullanıcıların bilgilerinin ele geçirilmesi sonrası doğacak zararın hayal gücüyle sınırlı olduğunu kaydederek, sözlerini şöyle sürdürdü:

“Åžirket, ÅŸifrelerin kriptolama algoritmasıyla kriptolandığını ve açık bir ÅŸekilde saklanmadığını açıkladı. Burada öncelikle ÅŸunu söyleyeyim; 2020’nin en çok kullanılan ÅŸifresi *123456*. Yani çoÄŸumuz böyle basit ÅŸifreleri birçok yerde kullanıyoruz. Siber korsanlar çeÅŸitli araçlarla, wordlistlerle taradığında birçok ÅŸifreyi çözebilir. Programa, ‘Åžu wordlistteki ÅŸifreleri bu bilgilere dene’ diyorsunuz. EÅŸleÅŸenleri buluyor ve ‘bu ÅŸifre bu, ÅŸu ÅŸifre ÅŸu’ diyor. Basit ÅŸifreler tercih eden çok sayıda kullanıcı vardır. Birçok farklı platformda ortak kullanılan ÅŸifreler tehlikede.”

Çalınan bilgilerin satışa çıktığı iddiası

Yavuz Sultan Selim Yüksel, ele geçirilen ÅŸifrelerle kiÅŸilerin mail yoluyla tehdit edilebildiÄŸini belirterek, “Bu kiÅŸilere yasak sitelere girdikleri veya yasal olmayan ÅŸeyler yaptıklarına dair mail atılıyor. Ayrıca, ‘bilgisayarınızı takip ediyoruz. Adınız ÅŸu, soyadınız ÅŸu, ÅŸifreniz ÅŸu’ ÅŸeklinde çalınan verilerden elde edilen bilgiler gönderilebiliyor. Tabiri caizse yem atılıyor. Buna inanan kullanıcılar dolandırılabiliyor.” diye konuÅŸtu.

Çalınan bilgilerin kötü niyetli kiÅŸiler tarafından satın alındığını dile getiren Yüksel, “Bu bilgilerin, verilerin yer aldığı listeler underground sitelerde satışa çıkıyor. Son çalınan bilgiler de ÅŸu anda underground marketlerde satışa çıktı bile. Mesela Türkiye’de yürüyüş düzenleyen bir STK’dan kısa süre önce ele geçirilen bilgiler bu tarz sitelerde ücretsiz dağıtıldı.” açıklamasında bulundu.

Yüksel, daha önce bu gibi veri hırsızlığının bir otel zincirinde yaşandığını, şirketin siber saldırıdan 4 yıl sonra haberinin olduğunu kaydederek, bu veri sızıntısı nedeniyle önemli bir ceza kesildiğini anlattı.

“Söz konusu site ve diÄŸer tüm üyeliklerdeki ÅŸifreler deÄŸiÅŸtirilmeli”

Bilişim Teknolojileri ve Siber Güvenlik DerneğiYönetim Kurulu Başkanı Yüksel, en son saldırıya uğrayan platformun çok profesyonel olduğunu ve şifreleri kriptoladığını ifade ederek, her sitenin bu kadar şanslı olamayabileceğini söyledi.

Bazı vatandaşların bankacılıkta, sosyal medyada, e-ticaret sitelerinde ve diğer üyeliklerde ortak şifre kullanabildiğini, bunlar için ciddi tehlike bulunduğunu dile getiren Yüksel, şu uyarılarda bulundu:

“Bir ÅŸifreyi elde eden hırsız diÄŸer uygulamalarda da aynısını deneyecektir. O yüzden acilen bütün uygulamalardaki ÅŸifrelerimizi deÄŸiÅŸtirmeli, farklı ve kolay tahmin edilemeyen ÅŸifreler belirlemeliyiz. Åžifreler belirli bir kombinasyonla belirlenmeli. Ayrıca zaman zaman ÅŸifrelerimizi güncellemeliyiz. Öte yandan çalınan bilgiler kullanılarak üyelere yönelik muhakkak dolandırıcılık giriÅŸimi olacaktır. Bu konuda aksiyon alınmalı ve bu tarz giriÅŸimlere hazırlıklı olunmalı.”

Yüksel, bilginin değerli olduğu, çalındığı ve paraya dönüştürülebildiği bir devirde olduklarını, tüketicilerin bu bilinçle hareket etmesi gerektiğinin altını çizdi.

Kredi kartı bilgilerinin çalınmadığına dair KVKK’nın açıklama yaptığını anımsatan Yüksel, isteyen kullanıcıların sitede kayıtlı kart bilgilerini de kaldırabileceÄŸini vurguladı.

Yüksel, büyük kurumsal organizasyonlarda ISO 27001 bilgi güvenliği standardının bulunduğunu, bu standartların şirketleri bilgi güvenliği konusunda belirli bir seviyeye getirdiğini, buna sahip olan firmaların bilgilerine erişmenin daha zor olduğunu söyledi.

“Zarar görenler mahkemeye baÅŸvurabilir”

Tüketiciler Derneği (TÜDER) Genel Başkanı Levent Küçük, şirketlerin, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında kullanıcıların verilerinin koruması zorunlu olduğunu söyledi.

Türk Ceza Kanunu’nda biliÅŸim sistemine girme, sistemi engelleme-bozma, verileri yok etme-deÄŸiÅŸtirme, banka ve kredi kartlarının kötüye kullanılması durumunda 1 yıldan 3 yıla kadar hapis cezasının bulunduÄŸunu dile getiren Küçük, ÅŸu açıklamalarda bulundu:

“Bu verilerin ele geçirilmesi nedeniyle tüketicilerin maddi veya manevi zarara uÄŸraması durumda zararları ÅŸirket tarafından tanzim edilmeli. Zarara uÄŸrayan tüketici, bu zararın giderilmesi için mahkemeye de baÅŸvurabilir. Ayrıca tüketiciler, hangi bilgilerinin çalındığına dair merak ettiklerini KVKK’ye baÅŸvurarak öğrenebilir.”

Kaynak: AA