Yemeksepeti Kullanıcılarının Bilgileri Sızdırıldı!

Yemeksepeti siber saldırıya uğradı!

Yemeksepeti, 27 Mart 2021 tarihinde farklı sosyal medya platformlarından bir duyuruda bulundu. Duyurunun içeriği 25 Mart 2021 tarihinde tespit ettikleri siber saldırıydı. Duyurunun içeriğinde platformun kimliği tespit edilemeyen siber korsan veya siber korsanlar tarafından saldırıya uğradığı ve kullanıcıların bilgilerinin bir kısmının siber korsan/siber korsanlar tarafından ele geçirildiğine yer verildi.

Siber korsan veya siber korsanların ele geçirdiği düşünülen ve tespit edilen bilgiler şu şekilde:

İsim
Soyisim
Doğum Tarihi
Yemeksepeti’ne kayıtlı telefon numaraları
Yemeksepeti’ne kayıtlı e-posta adresleri
Yemeksepeti’ne kayıtlı açık adres bilgileri
Açık olarak görülemeyen, SHA-256 ile maskelenmiş giriş parolaları

Açıklanan duyurunun devamında ise kullanıcıların kredi kartı bilgilerinin hiçbirisinde sorun olmadığına yer verilirken aynı zamanda SHA-256 ile maskelenmiş bir parolanın asla kırılamayacağına ve asla giriş yapılamayacağına yer veriliyor.

Peki öyle mi?

Rainbow Table saldırılarıyla birlikte Brute Force saldırılarını denkleştirerek yapılan çalışmalarda (Bu çalışmalar genelde siber korsanlar tarafından yapılırken aynı zamanda siber güvenlik alanında çalışan birçok kişi tarafından da test/deneme için yapılır.) SHA-256 ile maskelenen parolaya erişmek mümkün. Bu, 1 günde de mümkün olabilir. Dakikalar ya da 1 ay içinde de mümkün olabilir. Fakat mümkün. Bir siber korsan veya siber korsan grubunun boş zamanı normal bir siber güvenlik ekibinin zamanından her zaman daha fazla olduğu için bu tür bir zamana, zaman kaybı olarak bakılmıyor.

Unutmadan hemen bahsetmem gereken bir diğer konu ise Facebook ya da Apple kimliği ile giriş yapan kişilerin akıbeti. Facebook profili ya da Apple kimliği ile Yemeksepeti’ne giriş yapan kişilerin parolaları daha güvende çünkü bu profillere dair bilgilerin bir kısmı (Örneğin parola) en azından saldırıya uğramış platform üzerinde tutulmuyor.

Yemeksepeti’nin başına gelen bu durum farklı platformların başına gelebilir mi? Diye sorular da soruldu. Evet gelebilir, neden gelmesin? Örneğin, dün (28 Mart 2021) Avusturya’da bazı televizyon kanallarına ve bakanlıklara siber saldırılar düzenlendi. Televizyon kanalının akışlarında aksama yaşanırken bakanlık web siteleri belli bir süre hizmet veremedi. Yani demem o ki; herkesin başına gelebilir. Önemli olan şirketlerin, kurumların ve kullanıcıların bu tür durumlarla karşılaştığında neler yapabileceği hakkında bilinçli olması.

Her ne olursa olsun parolalarınız güçlü kombinasyonlardan oluşmalı. Bunun için büyük – küçük harf, noktalama işaretleri ve sayılar kullanmak oldukça doğru bir tercih olacaktır.
Her platformda farklı bir parola kullanmak kesinlikle mantıklı bir karar. Her parolayı nasıl aklımda tutacağım? Diye soruyorsanız bir parola yöneticisine ihtiyacınız olabilir. Bunun için web sitemizin inceleme kategorisinden farklı parola yöneticilerini incelediğimiz başlıklara göz atabilirsiniz.
Neredeyse her platform artık 2FA özelliğini kullanıcılarına sunuyor. Bu yüzden 2FA özelliğini kullanmak güvenliğimizi her zaman daha iyi hale getirecektir. SMS ile doğrulama yerine şifrematik kullanmak ise güvenliği normalden biraz daha güvenli hale getirecektir. Bunun için açık kaynak kodlu şifrematikleri tercih edebilirsiniz. (Örneğin: Auth)
21 günde bir parola yenilemek oldukça işe yarar bir tercih diye düşünüyorum.
Eski parolalarınızı tekrar tekrar kullanmak doğru bir tercih değil.
Her platform için farklı bir mail adresi kullanmak kesinlikle doğru bir tercih. Bu maillerde ya da platformlarda da farklı parola kullanmayı unutmayın.
Kredi kartı kullanmaktan korkuyorsanız sanal kart konusunu araştırmanızı öneririz.
Eğer bir platformdan parola bilgileriniz çalınmışsa ya da bir platform herhangi bir siber saldırıya uğradıysa hızlıca parolanızı yenileyin ve mail adresinizi güncelleyin.

Daha fazla bilgi ve haber için web sitemizin ana sayfasını ziyaret etmeyi unutmayın.