Yemeksepeti’ne yapılan saldırıdan 27 Mart günü haberim oldu. Yaklaşık 21.5 milyon kişinin ad-soyad, doğum tarihi, telefon numarası, adres bilgileri, e-posta ve şifreler artık olmaması gereken bir yerlerde!
Yemeksepeti’nin açıklamasına göre saldırı 18 Mart 2021 tarihinde, yetkisiz kişiler tarafından sunucularından veri çalınması şeklinde gerçekleşmiş. Bu veriler arasında ad-soyad, doğum tarihi, telefon numarası, adres bilgileri, e-posta ve şifreler bulunuyormuş.
Daha önce Anonymous’un yayınladığı 46.8 milyon kişinin bilgileri yanında bu, çok daha güncel bilgiler içeriyor ve TC kimlik olmasa da telefon numarası içeriyor. Günümüzde TC kimlik numarası artık tek başına bir işe yaramazken, telefon numaraları hayatımızın her yerinde mevcut.
Önemli bir diğer nokta ise şifrelerin SHA256 ile hash’lenmiş olduğunu söylemeleri. Fakat, bu şifreler salt’suz olarak saklanmışsa ve birisi bu şifreyi kırmak isterse eninde sonunda kırabilir. Salt’suz tek taraflı hash’lenmiş şifre ile açık bir şifre arasındaki tek fark, kullanılan kriptografik algoritma ile şifrenin başka bir şekle bürünmesidir. Şekli değişen şifrenin açık halini bulmak ise deneme yanılma yöntemiyle (brute-force) veya şifrenin hash’lenmiş karşılığını bir tabloda saklayıp (rainbow table) daha sonra bunun açık halini bulma yöntemiyle mümkündür. Eğer şifrenizin daha önce karşılığı kaydedilmişse bulunması milisaniyeler sürecektir. Şifreniz tabloda bulunmuyorsa da amacı bunu bulmak isteyen birisi için sorun değil. Şifrelerin ne kadar sürede kırılabildiğini gösteren howsecureismypassword.net ile şifrenin kırılma süresine bakıp aldanmayın zira verilen bu değerler standart ev bilgisayarlarına göre olan tahmini değerlerdir. Bir süperbilgisayar bu şifreyi kısa bir zamanda kırabilir.
Yapılan araştırmalara göre internetteki kullanıcıların büyük çoğunluğu her yerde aynı şifreyi veya mevcut şifrenin sonuna farklı karakterler ekleme yaparak kullanıyor. Eğer kullandığınız şifre diğer hesaplarla aynı ise, e-posta adresiniz veya telefon numaranız ile üye olduğunuz bir hesabınızı (sosyal medya, dosya depolama, e-posta kutunuz vb..) ele geçirebilme ihtimalleri yüksektir.
Yemeksepeti’ne saldırı tarihinden önce üye iseniz bilgileriniz ele geçirilmiş demektir. Eğer bu olayın sizi etkilediğinizi düşünüyorsanız şifrelerinizi derhal değiştirin ve varsa iki adımlı doğrulama özelliğini aktif ettiğinizden emin olun.