Türkiye’nin en büyük girişimlerinden Yemeksepeti, biliyorsunuz dün bir siber saldırı haberiyle gündeme geldi. Servisi kullanıyorsanız şifrenizi değiştirin.
Yemeksepeti, dün yaptıkları açıklamada 25.03.2021 sabah saatlerinde bir saldırıya uğradıklarını fark ettiklerini söyledi. Bu kötü durum hakkında firmadan verilen detaylar şöyleydi:
“Yemeksepeti kullanıcı veri tabanı, kimliği tespit edilemeyen siber korsan ya da korsanlar tarafından bir saldırıya uğradı ve bir güvenlik ihlali yaşandı.”
Söylendiği kadarıyla bu ihlal sırasında kullanıcıların hesap bilgilerinin bir kısmı siber korsanlar tarafından ele geçirildi.
Firmadan gelen bilgiye göre hacker’lar kullanıcıların kredi kartı bilgileri dahil olmak üzere hiçbir finansal bilgiye ya da kart şifresine erişim sağlamadı.
Ele geçirilenler arasında yine de Ad – Soyad, doğum tarihi, Yemeksepeti’ne kayıtlı telefon numarası, e-posta adresi, kayıtlı adres bilgileri ve açık olarak görülemeyen, SHA-256 algoritması ile maskelenmiş giriş şifreleri gibi kilit bilgiler yer alıyor.
Firma daha sonra kişilere bir e-posta gönderdi ve şunları söyledi:
“Yemeksepeti hesabıma 3. kişiler tarafından giriş yapılabilir mi?
Hayır. Yemeksepeti giriş şifreniz bizim veri tabanlarımızda, sizlerin güvenliği gereği SHA-256 kriptografik algoritmasi ile maskelenmiş olarak tutulmaktadır.
Dolayısıyla şifreniz korsanlar tarafından görüntülenemez. Hesabınıza 3. kişilerin bu yüzden giriş yapması mümkün değildir.
Yemeksepeti şifremi değiştirmem gerekiyor mu?
Yukarıda da belirttiğimiz üzere, Yemeksepeti şifrenize açık haliyle korsanlar veya 3. kişiler ulaşamamaktadır. Ancak rahat etmeniz adına Yemeksepeti şifrenizi değiştirmenizi önermekteyiz.”
SHA-256 kriptografik algoritması söylendiği kadarıyla gerçekten sağlam ve direkt olarak kırılamıyor ya da şifresi çözülemiyor. Ancak yine de SHA-256 temelindeki şifrelere erişmek deneme yanılma yöntemiyle mümkün.
Güvenlik uzmanları SHA-256 verilerinden “bruteforce ” saldırı tekniğiyle bazı bilgilerin alınabileceğini aktarıyor. Türkçe olarak kaba kuvvet saldırısı olarak da geçen bruteforce, bir saldırganın, bir kombinasyonu doğru tahmin etme umuduyla birçok parola veya parola denemesinden oluşuyor.
İnternette bruteforce tekniği ve SHA-256 özelinde tam 3 milyarlık bir arşivin olduğu aktarılıyor. Bu arşiv üzerinden bir deneme yapılırsa birçok güçsüz Yemeksepeti şifresinin elde edilebileceği aktarılıyor.
Buna ek olarak yazılım konusunda çok tecrübeli Ekşi Sözlük kurucusu Sedat Kapanoğlu da süreç hakkında şunu söylüyor:
“Şifrelerin SHA-256 hash’leri çalınmış. SHA-256 tek başına şifre kırma girişimlerine karşı dirençli bir algoritma değil. Sadece Yemeksepeti değil aynı şifreyi kullandığınız her yerde muhakkak değiştirin.”
Şifre değiştirmek zor bir şey olmadığı için tekrar ediyoruz. Olası risklere karşı mutlaka platform şifrenizi değiştirin. Ayrıca Kapanoğlu’nun da dediği gibi, Yemeksepeti’ne verdiğiniz şifreleri başka yerlerde kullandıysanız onları da değiştirmenizde fayda var.