• kamuoyuna duyurumuzdur:

    siber saldırılar bugün devletlerden, en büyük şirketlere; ünlülerden, finans kurumlarına kadar pek çok veri kaynağını tehdit etmekte olup, çağımızın en büyük suçlarından ve güvenlik sorunlarından biri haline gelmiştir. dünyada, siber saldırılara karşı %100 güvenli bir sistemden söz etmek mümkün olmasa bile, yemeksepeti olarak kullanıcılarımızın veri güvenliği adına bugüne kadar elimizden gelen tüm önlemleri aldığımızı vurgulamak isteriz.

    ancak, bu konuda yaşanan bir gelişme üzerine, ilk ağızdan net bir bilgilendirme yapmak istiyoruz.

    25.03.2021 sabah saatlerinde tespit ettiğimiz üzere, yemeksepeti kullanıcı veri tabanı, kimliği tespit edilemeyen siber korsan ya da korsanlar tarafından bir saldırıya uğradı ve bir güvenlik ihlali yaşandı. yemeksepeti kullanıcılarının hesap bilgilerinin bir kısmı korsanlar tarafından ele geçirildi.

    öncelikle kredi kartı bilgileri dahil olmak üzere hiçbir finansal bilgiye ya da şifreye erişilmediğini, aynı şekilde bağlı bulunan facebook ve apple hesaplarına dair bir ihlalin de söz konusu olmadığını belirtmek isteriz. (bu bilgiler hiçbir zaman yemeksepeti sistemlerinde saklanmamıştır.) ele geçirilen bilgileri, eksiksiz ve şeffaf bir şekilde aşağıdaki listede açıklamak istiyoruz.

    • ad - soyad
    • doğum tarihi
    • yemeksepeti’ne kayıtlı telefon numaraları
    • yemeksepeti’ne kayıtlı e-posta adresleri
    • yemeksepeti’ne kayıtlı adres bilgileri
    • açık olarak görülemeyen, sha-256 algoritması ile maskelenmiş giriş şifreleri

    yemeksepeti bu konuda neler yapıyor?

    siber güvenlik kalkanının aşılması ve veri hırsızlığı olasılığını ilk tespit ettiğimiz 25.03.2021 tarihi saat 09.30’dan itibaren, öncelikle ihlalin detayları üzerine tüm yazılım ve siber güvenlik ekiplerimiz ve güvenlik danışmanlarımız ile birlikte çalışmaya başladık. yapılan çalışma sonucu ihlalin yalnızca listede açıkladığımız unsurlarla sınırlı olduğunu tespit etmemizin akabinde, elde ettiğimiz bilgileri kullanıcılarımızla, gerekli yasal mercilerle ve kamuoyuyla tüm şeffaflığıyla paylaşmak için süratle çalışmalara başladık.

    bu siber güvenlik saldırısı ve hırsızlık sebebiyle tüm yemeksepeti ailesi ve çalışanları olarak, kullanıcılarımız, iş ortaklarımız ve paydaşlarımız adına derin bir üzüntü içerisindeyiz. yaşanan durum nedeniyle gerçekleşebilecek olası hasarları minimuma indirmek için etkilenebilecek tüm kişileri bilgilendirmek üzere harekete geçtik. saldırının nasıl yapıldığını tespit ettik, ihlale neden olan sorunu ortadan kaldırdık ve bu üzücü olayın tekrarlanmaması adına gerekli tüm önlemleri aldık. yemeksepeti kullanıcılarının veri güvenliğinden daha öncelikli hiçbir konumuzun olmadığını ve gereken tüm teknik ve sistemsel çalışmaları en yüksek seviyede yaptığımızı sizinle paylaşmak isteriz.

    kredi kartı bilgileri güvende mi?

    kredi kartı bilgileri mastercard altyapısı ile korumalı olarak yemeksepeti veri tabanları dışında ve tamamen güvenli olarak saklanmaktadır. mastercard tarafında bu konuyla ilişkili herhangi bir güvenlik sorunu söz konusu değildir. kullanıcılarımız kredi kartlarını gönül rahatlığı ile kullanmaya devam edebilir.

    yemeksepeti hesaplarına 3. kişiler tarafından giriş yapılabilir mi?

    hayır. yemeksepeti giriş şifreleri bizim veri tabanlarımızda, kullanıcılarımızın güvenliği gereği sha-256 kriptografik algoritmasi ile maskelenmiş olarak tutulmaktadır. dolayısıyla şifreler, korsanlar tarafından görüntülenemez. kullanıcılarımızın hesaplarına 3. kişilerin giriş yapması bu yüzden mümkün değildir.

    yemeksepeti şifremi değiştirmem gerekiyor mu?

    az önce de belirttiğimiz üzere yemeksepeti şifrelerine açık haliyle korsanlar veya 3. kişiler ulaşamamaktadır. ancak daha rahat etmek isteyen kullanıcılarımızın yemeksepeti şifrelerini değiştirmelerini öneririz.

    son olarak, eğer ki yemeksepeti üyeliği “apple ya da facebook’la bağlan” seçeneği ile başlamış ise, zaten bizim veri tabanımızda tutulan bir şifre bulunmadığından, bu durumdaki kullanıcılar için de bir şifre hırsızlığı söz konusu olmayacaktır ve bu şifreler apple ve facebook sistemleri üzerinde güvendedir.

    konuyla ilgili kimlere bilgi verildi?

    kvvk (kişisel verileri koruma kurulu), usom (ulusal siber olaylara müdahale merkezi) ve istanbul cumhuriyet başsavcılığı.

    ilave sorularınız için: info@yemeksepeti.com

    yaşanan bu üzücü olayla ilgili tüm kullanıcılarımızdan tekrar özür diliyoruz. konunun takipçisi ve yemeksepeti kullanıcılarının haklarının en büyük savunucusu olacağız.

    yemeksepeti
  • ad soyad, telefon, e posta ve adres bilgilerini çaldırmışlar. bi de, "yapılan çalışma sonucu ihlalin yalnızca listede açıkladığımız unsurlarla sınırlı olduğunu tespit etmemizin akabinde" diye açıklama yapıyorlar.

    bundan öte bi kredi kartı bilgisi kalıyor, onu da herkes sisteminize girmemiştir zaten. başka ne çaldıracaksınız? bütün database gitmiş.

    edit: kullanıcı tarafında çok bi kayıp yok diyenler; ad soyad, cep telefonu ve ev adreslerini de girdikleri entry'lerin altına iliştirsin bi zahmet. yüreklerini bi görelim.

    düşünün, kötü niyetli kişiler; sizin ya da sevdiklerinizin adına, güncel telefonuna ve adresine anında ulaşabilecek. 2016'daki sızıntıyla, 2021 yılında gerçekleşen bu olayı temize çekemezsiniz. güncel verilerimizin tamamı şu an birilerinin elinde.
  • kvkk geregi zorunlu bir aciklama yapmislar. bir bilgiyi korumanin en iyi yolu hic tutmamaktadir. kredi karti bilgisi saklamamanin ne kadar onemli oldugunu goruyoruz. abd'deki target skandalinda cok insanin cani yanmisti.

    sha256 oldukca kuvvetli bir hash algoritmasi olmakla beraber siz yine yemeksepeti sifrenizi baska bir platformda da kullaniyorsaniz ikisini birden degistirin.

    onun disinda bu ulkede 50 milyon vatandasin kimlik ve secmen bilgileri calindi. 2016 dan beri degisen bir sey yoksa size dair cok da endise etmeyin. yanina iste tel ve mail felan eklerler.

    <edit>
    bazi detaylari aydinlatalim

    1. sha256 sifre degil ozet algoritmasidir. cok daha guvenli algoritmalar vardir,

    2. 6698 sayılı kişisel verilerin korunması kanununun12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan veri sorumlusu hakkında kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca para cezasi uygulanir. yemeksepetinin kusuru bulunursa para cezasi alir. adamlar gelir bir apini patlatirlar anlarim ama elemanlar veritabanina girmisler bu nasil bir serinliktir sepet olmus sistem,

    3. ayni kanunu'nun12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” (24.01.2019 tarih ve 2019/10 sayılı kurul kararında belirtilen 72 saatlik süre olarak belirlenmistir) bildirimde bulunma yükümlülüğüne uygun hareket etmeyen veri sorumlusu hakkında yine para cezasi uygulanir. bu da su anlama geliyor yemeksepeti iki gun sonra bizi haberdar ediyor tatavasini bosa yapiyor olabilirsiniz. zaten once sizinti olup olmadigini, buyuklugunu anlamaya calisirsiniz sonra bir aksiyon alirsiniz.

    4. sepet sifremin sha256 hashi 158dcaaf7725cc67c7b78803234dbf0e8d7f0f45717bbd5cdfe13924be99205f seklinde ikinci maddede yine hakkini teslim ettigim icin bir pizzayi hak ediyorum sanki. bul beni canina yandigim
    </edit>

    <edit2> cezalar icin de bir aciklama yapalim.

    aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 9.834,00 türk lirasından 196.686,00 türk lirasına kadar,

    veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 29.503,00 türk lirasından 1.966.862,00 türk lirasına kadar,

    2021 yili icin ceza verilebilir.

    yani soz meclisten disari kotu bir siber guvenlik politikasi yuruttugunuz icin eger memleketin yarisinin kisisel verisini kaptirirsaniz maks 2 milyonla yirtabilirsiniz.

    hala pizzam gelmedi sepet.
    </edit2>
  • verilerimizi çaldırmayanı dövüyorlar galiba.
  • keşke aradan 2 gün geçtikten sonra bu açıklamayı yapmak yerine anında bilgilendirseydiniz. kayıtlı adresin, telefon numarasının ve e-posta hesabının bile ele geçirilmiş olması korkunç. komple yemeksepeti hesabımı yok etmek istiyorum şu noktadan sonra.
  • yemeksepeti hesabımı kapatma vakti geldi.
  • bak sen şu allahın işine

    demek kredi kartı bilgileri etkilenmemiş he mi?

    dürüstlük bu kadar mı zor kardeşim. adam database'ini patlatmış. ama kredi kartı bilgisini almamış.

    hadi mastercard olanları mastercard sisteminde tutuyordun. visa olanları nerede saklıyordun?

    edit: kendi databaselerinde tutumuyorlarmış.

    (bkz: ben tatmin oldum)

    siz de olduysanız devam.
  • yine telefon numaram ve mail adresim dağıtıma girdi
  • şuraya bir yere direkt yazalım da hacker arkadaşlar boşuna uğraşmasın.
  • yani diyorsun ki milletin adı ve adresi başkalarının elinde. bravo + yapacağınız işi seveyim.

    allahtan size güvenip üye olmadım. canım ne isterse mahalledeki esnafı arıyorum onlar getiriyor zaten.
hesabın var mı? giriş yap