İlk olarak KVKK'nın duyurusunda 18.03.2021 tarihinde kimliği veri sorumluğunca belirlenemeyen şahıs ya da şahıslarca Yemek Sepetine ait bir web uygulama sunucusuna erişildiği yazmaktadır. Yemeksepeti firması aslında sunucusuna ait bir saldırgan girişim ve Firewall katmanında bir Hacker'ın zafiyet denediğini tespit etmiştir. Fakat normal şartlarda yetkisiz bir erişim olduğunda uyarı veren araç üzerinde sorun kaydı oluştuğu ancak bir aksaklık nedeniyle yetkisiz erişimin o an fark edilemediği yazılmaktadır. Hacker aslında gerekli Permissions sahipti fakat güvenlik aracı bunu farketmemiş. Hacker bu yetkisi sayesinde sunucuda bir komutu çalıştırabilmiş. Bu komut bir SQL veri çekme komutu veya kullanıcı dizinine erişme ve ordaki dosyaları çekme komutu da olabilir.
25.03.2021 tarihinde gelen alarmlar incelendiğinde şüpheli bir davranış tespit edilmiş ve Yemeksepeti firması da aynı gün olan 25.03.2021 tarihinde biz Hackendik şeklinde bir açıklama yapmıştı. Büyük olasılıkla Hacker'ın Firewall katmanına ilk sızdığı gün ile Yemeksepeti'nin olayı fark etmesi arasında 7 gün vardır. Bu bir haftalık süre zarfında Hacker yukarıda bahsettiğim SQL data çekme ve dosya izin erişim gibi komutları çalıştırdı ve durmaksızın veri çektiği için belli bir trafik hacmi oluştu. Sunucuda bu kadar yüksek bir Database trafik hacmi oluşunca Veri tabanı ve bilgi güvenliği ekibi trafiği incelediğinde durmaksızın bir SQL Batch çalıştığını fark etti dışarı bir adrese ve veri hırsızlığının yapıldı 25.03.2021 tarihinde anlaşıldı. Aynı durum zamanında Turkish Citizenship Database olarak haberlere yansıyan 50 milyon Türk vatandaşın kimlik bilgileri çalınması hadisesine benziyor. Orada da benzer bir durum yaşanmıştı. NVİ Adres Bilgilerim sistemindeki bir açıktan yararlanılarak aynı şekilde günlerce çalıştırılan bir SQL komutu sayesinde Türk vatandaşlarının kimlik bilgileri, ad soyad, adres bilgileri gibi birçok data çalınmıştı. Daha sonra bu bilgiler birçok sitede Publish edilmişti. Eski NVI bilgileri ve şimdi çalınan 21 milyona yakın Yemeksepeti bilgilerini birleştirince hem birçok kişiye ait kişisel veri güncellenmiş oldu hem de daha fazla dataya sahip oldu kötü niyetli insanlar.
Yemeksepeti'nin yaptığı açıklamaya göre kredi kart bilginiz, Facebook ile giriş yaptığınız kullanıcı entegrasyon bilgisi, Apple ve Apple iCloud bilgileriniz çalınmadı. Saldırı direkt veritabanında USER tablosuna yönelik olduğu için bu tablodaki bilgiler çalınmıştır. Kullanıcı tablosunda bulunan önemli kolonlar ve bilgiler ise;
* Ad ve Soyad
* Doğum Tarihi
* Telefon Numarası (Yemeksepeti Kaydınızdaki)
* E-Posta Adresiniz (Yemeksepeti Kaydınızdaki)
* Adres Bilgileriniz (Yemeksepeti Kaydınızdaki)
* Maskeli Şifreniz (SHA-256 Algoritmalı Hash Bilgisi)
Yukarıdaki bilgileriniz ile birlikte USER tablosunda bulunan sisteme son giriş tarihiniz, şifreyi güncellediğiniz son tarih gibi ek bilgilerde gitmiştir fakat bunlar KVKK kapsamına girmediği için yukarıdaki bilgiler kişisel güvenliğiniz için önemlidir. Zaten kredi kart bilgisi veya Apple, Facebook gibi giriş bilgileri büyük olasılıklı başka tablolarda veya sistemlerde tutulmaktadır. USER tablosunda en fazla Facebook ile giriş kolonu Evet veya Hayır şeklinde bayraklanmıştır. Kullanıcı tablosundaki önemli ve KVKK kapsamına giren kolonlar yukarıdaki gibidir.
Peki Yemeksepeti kullanan biri olarak ilk olarak ne yapmam gerekiyor? İlk olarak Yemeksepeti şifrenizi değiştirmeniz ve güncellemeniz gerekmektedir. Yeni şifre belirlerken sadece büyük küçük harf ve rakam değil özel karakterlerde kullanmalısınız nokta, ünlem gibi. Şifre uzunluğunuz da minimum sekiz karakter olmalıdır. Hatta siteler kayıt ve güncelleme sırasında bunu zorunlu tutmalıdır. Şu soruyu sorabilirsiniz; çalınan şifrem maskeli neden şifremi değiştirmem gerekir? Çünkü SHA-256 ve MD5 gibi kullanılan klasik Hash algoritmaları ile şifrelenmiş şifre bilgilerinin gerçek karşılığını Rainbow Table ve Brute Force yöntemiyle çok rahatlıkla Hackerler öğrenebilir. Örneğin şifreniz 1992AliBesiktas olsun. Emin olun bu kadar basit ve içinde özel karakter olmayan şifrenin hazır SHA-256 ve MD5 Hash Encrypt hali Rainbow Table'da vardır. Yoksa bile Brute Force (Deneme Yanılma) yöntemi ile kolayca kırılabilir.
Örnek Şifre: 1989BurakSSS
SHA-256 Hash: d9ae5094a1189bb756b13e56ca8faeef4d8a7f5d4e0ded8b289102eaf2c96b1d
Eğer YemekSepeti sizin bu şifrenize SALT olarak dediğimiz gölgeleme veya tuzlama yöntemi uyguladı ise kullanıcı şifreniz biraz daha güvendedir demektir. SALT uygulaması kullanıcının girdiği şifreye ek olarak sitenin KYC (Know Your Customer) sistemine eklediği ek bir şifreleme protokolüdür. Sizin şifrenizi maskesiz alır ve ek karakterler ekleyerek yeni bir şifre oluşturup bunu SHA-256 olarak Encrypt ederek veri tabanında tutar. Örneği siz sisteme yukarıdaki 1989BurakSSS şifresi ile giriş yaptınız. Onun yukarıda verdiğim SHA-256 Encrypt şeklini kullanıcı tablosunda tutmaz. Site bu şifrenizin başına sonuna veya ortalarına ek karakter koyarak tuzlama yapar ve yeni oluşturduğu SHA-256 Hash bilgisini kendi kullanıcı tablosuna kaydeder.
SALT 1: 1989BurakSSSyemeksepeti
SALT 2: yemeksepeti1989BurakSSS
SALT 3: 1989yemekBuraksepetiSSS
SALT 3 SHA-256: ce2f90b266e374957b2bfdfb3e3836d56c62d32dbb52aa72c371e9702cd1a4c8
Hacker kullanıcı tablosunu ele geçirdiğinde SALT 3 olarak belirlenen maskeli şifreyi ele geçirmiş olur. Bu ele geçirdiği SHA-256 maskeli şifreyi kırsa bile sisteme login olurken bulduğu şifre olan 1989yemekBuraksepetiSSS denese bile sisteme giremez çünkü sizin asıl şifreniz 1989BurakSSS şeklindedir. SALT örneğini basitçe anlatmaya çalıştım bunu daha çözülemez ve karışık karakterler ile yapıldığını düşünebilirsiniz. Umarım Yemeksepeti firmasında bu ek güvenlik önlemi vardır.
E-Posta adresiniz daha önce başka bir firma veya sistemde çalınmış ve veri ihlali olmuş mu merak ediyorsanız, bunun için www.haveibeenpwned.com sitesini kullanabilirsiniz. Buraya e-posta adresiniz yazarak arama yaptığınız zaman acaba Yemeksepeti gibi nerelerde kullanıcı ve e-posta bilgileriniz çalınmış görebilirsiniz. Örneğin ben arama yaptığımda Adobe gibi büyük firmalarında çıktığını gördüm. Telefon numarası ve e-posta adresi bilgileri aynı zamanda reklamlara ve PR firmalarına data olarak da satılabilir. İsmini hiç duymadığımız ve telefonumuza mesaj olarak gelen birçok gereksiz Spam mesajı bu gibi veri ihlalleri sonucu ortaya çıkmaktadır. Bilmediğiniz ve SMS almak istemediğiniz telefonları engelleyerek ve Spam tuzaklarına düşmeyerek bunu kendi tarafınızda engelleyebilirsiniz.
Kredi kart bilgileri konusuna gelecek olursak; asla hiçbir sitede kart bilgisi tutmayınız. Hatta yemek ve alışveriş sitelerinde tutulan kart bilgileri sistemi direkt kayıt olmuyor, Shadow bir kart bilgisi üreterek banka ile bu şekilde irtibat sağlandığı için Hacker kart bilgilerini çalsa bile sizin gerçek kart bilginiz değil Shadow Card Info olarak bilinen gölgelenmiş sahte bir kart bilgisi elde edecektir. Site ile banka arasındaki bu Transaction güvenliği artık sadece firmalar tarafından değil bizzat bankalar tarafından sağlanmaktadır. Fakat siz yine de kart bilgilerini sisteme kayıt et seçeneğini asla kullanmayınız. Otomatik kayıt eden alışveriş sitelerinden de bilgilerim kısmına girerek kayıtlı kartlarınızı mutlaka siliniz.
Sonuç olarak kırılamayan şifre, kripto ve sızılamayan sistem yoktur. Mutlaka kişisel güvenliğinizi almaya çalışın ve kolay şifreler kullanmayın. Firmalar ve siteler ise en güvenlik olarak KYC (Know Your Customer) sistemlerinde 2FA (2 Faktörlü Doğrulama) ve Google Authenticator gibi ek güvenlik önlemleri ekleyebilir. Şifre dışında adres bilgileri ve telefon numarası bilgileri de SHA-256 ve MD5 olarak kriptolu şeklinde veri tabanlarında saklanabilir mi veya buna benzer bir önlem alınabilir mi ilerleyen günlerde bu konularda mutlaka konuşulacak ve gündeme gelecektir.
Burak AVCI
Hiç yorum yok:
Yorum Gönder
Makaleye Yorum ve Sorularınızı Bırakabilirsiniz.