Yemeksepeti-Hacker sprachen: Wir haben die Informationen von mehr als 20 Millionen Menschen

Yemeksepeti, das 2001 von Nevzat Aydın gegründet und 2015 für 589 Millionen Dollar an den deutschen Lebensmittellieferanten Delivery Hero verkauft wurde, steht mit einem neuen Cyberangriffsargument wieder auf der Tagesordnung. Am 25. März 2021 bestätigte schließlich das Unternehmen, das mit den Vorwürfen der Präzedenzdatenverletzung auf die Tagesordnung gekommen war, die damaligen Thesen.

Das Unternehmen gab an, seine Sicherheitsmaßnahmen nach diesem Angriff vor acht Monaten maximiert zu haben, und erhielt 2 Millionen TL von der Datenschutzbehörde (KVKK) für Aktivitäten, die gegen seine Verpflichtungen zur Datensicherheit verstoßen, und 1 TL von den Informationstechnologien and Connection Authority (BTK) für die Nichterfüllung ihrer Sicherheitsverantwortung und mit einer Geldstrafe von Rs.

Yemeksepeti, die mit einer neuen Behauptung wegen eines Cyberangriffs in den Vordergrund trat, während diese Untersuchung noch nicht abgeschlossen ist, gab eine Erklärung zu diesem neuen Argument ab, dass Hacker sie erreicht und Lösegeld gefordert hätten, und als Ergebnis der von Expertengruppen durchgeführten Prüfung wurde festgestellt, dass es kein Datenleck aus ihren Systemen gab.

Die Hacker, die die Namen, Nachnamen, Telefonnummern, vollständigen Adressen und Adressbeschreibungen einiger Journalisten und High-Follower-Konten teilten, gaben jedoch schriftliche Antworten auf die Fragen von DW Turkish. Die Hacker argumentieren, dass sie einen neuen Cyberangriff auf Yemeksepeti durchgeführt haben und neue Daten in ihren Händen haben.

Als die Gruppe unsere Fragen per E-Mail beantwortete, erklärte sie, dass sie eine in Russland ansässige Organisation sei und dass sie aus Sicherheitsgründen keine Informationen über den Namen des Clusters und die Anzahl der Personen, aus denen er besteht, weitergeben werde. Die Anschuldigungen, sie seien Türken oder Chinesen auf Twitter, wiesen die Hacker, die angaben, Mitglieder aus vielen verschiedenen Ländern zu haben, entschieden zurück.

Die Gruppe, die behauptet, personenbezogene Daten beschlagnahmt zu haben, behauptet, sie habe zuerst Nevzat Aydın kontaktiert, den ehemaligen CEO von Yemeksepeti, der seinen Posten am 1. November verlassen hatte, und ihre Forderungen aufgelistet. Der Cluster gab an, dass es keinen besonderen Grund für sie gebe, sich für Yemeksepeti zu entscheiden, und sagte, dass sie dachten, dass Nevzat Aydın, der damals CEO des Unternehmens war, eine Zahlung für diesen Verstoß leisten könnte, aber sie waren überrascht, dass Aydın dies nicht tat Zahlen:

„An dem Tag, an dem wir die Post verschickt haben, Nevzat Aydın war der CEO des Unternehmens. Meinung Er hat nach uns gekündigt. Wir haben unsere Forderungen auch dem neuen CEO, Mert Baki, übermittelt, aber er hat sie nicht ernst genommen. Vermutlich hat Delivery Hero (die Mutterorganisation, der Yemeksepeti angehört) Druck auf sie ausgeübt, wir wissen es noch nicht.“

Was wollen Hacker?

Nach Angaben der Hacker fand der Hacking-Vorgang vor etwa einem Monat statt. Während dieser Zeit, als sie keine positive Antwort vom Unternehmen erhielten, kündigten sie das Problem der Öffentlichkeit über einige von ihnen kontaktierte Social-Media-Konten an. In der Erklärung des Unternehmens heißt es hingegen, sie „fanden es lustig, es spiegelte nicht richtig wider, weil sie nicht wussten, wie das Unternehmen das System gehackt hat“. Sie drohen damit, dass Yemeksepeti-Mitarbeiter ihre vollständigen Adressen und Telefonnummern veröffentlichen, wenn sie innerhalb der einwöchigen Frist keine positive Antwort erhalten. Die Frist für Hacker, um das Unternehmen zu erkennen, läuft am 22. November ab.

Sie wiederholen ihre Behauptung, dass sie Informationen über den Namen, Nachnamen, Telefonnummer, vollständige Adresse, Adressbeschreibung und die ersten und letzten vier Ziffern von Kreditkarten von mehr als 20 Millionen Benutzern haben, dass diese Informationen nichts mit dem vorherigen Leak zu tun haben , und dass die Daten aktuelle Informationen mit dem Prestige von November sind.

Einige Benutzer auf Twitter behaupten, dass diese Informationen als Ergebnis des Cyberangriffs auf das Central Population Management System (MERNIS) im Jahr 2016 erhalten wurden. Die Hacker argumentieren jedoch, dass die Informationen, die sie derzeit in ihren schriftlichen Antworten haben, nichts mit dem MERNIS-Leck zu tun haben. Das Maß, das der Cluster als Gegenleistung dafür wünscht, dass er die Informationen nicht teilt, beträgt 5 Bitcoins. Ungefähr 3 Millionen TL zum heutigen Preis.

Die Hacker behaupteten auch, dass sie, wenn das Unternehmen diese Forderungen nicht akzeptierte, sich mit potenziellen Käufern treffen würden, die diese Maßnahme gaben, andernfalls würden sie die Informationen an den Meistbietenden verkaufen.

Die Frist für Hacker, um das Unternehmen zu erkennen, läuft am 22. November ab.

Rechtsanwalt Gِöksoy: Die Verantwortung für die Daten liegt bei Yemeksepeti

Was also erwartet ein Unternehmen, das von illegalen Aktivitäten angegriffen wurde, und was sind seine Verantwortlichkeiten? Rechtsanwalt Resul Gِöksoy, promovierter IT-Rechtsanwalt, erklärte, dass die Verpflichtung zum Schutz personenbezogener Daten in der 12. Ausgabe des Gesetzes zum Schutz personenbezogener Daten Nr. 6698 geregelt ist. Gِöksoy betonte, dass die Verantwortung, die Verarbeitung und den Zugriff auf Informationen zu verhindern und sie in getreuer Form zu schützen, bei echten oder juristischen Personen liegt, nämlich bei Yemeksepeti.

Was verursacht Datendiebstahl?

Sollten sich die Argumente als Ergebnis der Prüfung als wahr erweisen, beträgt die Höchststrafe für 2021 1.966.862,00 TL. Goksoy erklärte, dass dem Unternehmen in diesem Fall eine zusätzliche Strafe droht, wenn es die Datenschutzbehörde nicht rechtzeitig benachrichtigt. Laut Gِöksoy sind die Strafen nicht ausreichend und nicht abschreckend, wenn man den Umfang der individuellen Informationen und die große Zahl der Betroffenen bedenkt.

Unter Hinweis darauf, dass die erfassten Daten für Werbe- und Marketingzwecke verwendet werden können, warnt er auch davor, dass Fehler gemacht werden können, wie z. B. das Öffnen einer neuen Telefonleitung, das Abheben von Krediten, das Gründen eines Unternehmens, der Zugriff auf Informationen, die mit an E-Mails gesendeter Spyware erpresst werden könnten Adressen und betont, dass es zu erheblichen Beschwerden kommen wird.

„Computer-Hacking ist ein Verbrechen“

Rechtsanwalt Resul Gِöksoy erinnert in Bezug auf die Aktivitäten von Hackern wie folgt: „Computer-Hacking ist ein Fehler. Erstens regelt Element 243 des türkischen Strafgesetzbuchs (TCK) das Vergehen des ‚Eintretens in das Informationssystem‘. Die Strafe für dieses Vergehen ist ‚ Freiheitsstrafe bis zu einem Jahr oder namentliche Geldstrafe“. Werden die Daten aufgrund dieser Straftat vernichtet oder verändert, kommt eine Freiheitsstrafe von sechs Monaten bis zu zwei Jahren in Frage.“

Darüber hinaus umfasste Göksoy auch das in Artikel 134 des TCK geregelte Verbrechen der „Verletzung der Privatsphäre“ durch die Verwendung der verletzten Informationen als Ergebnis von Hacking, den in Artikel 135 des TCK geregelten Fehler „Aufzeichnung personenbezogener Daten“, die „Daten“ in Artikel 136 des TCK. Er wies auch darauf hin, dass es auch zu Vergehen kommen könne, nämlich „gegen das Gesetz zu geben oder zu beschlagnahmen“.

In diesem Fall sagte der Anwalt: „In diesem Fall kommen das 43. und 44. Element des TPC in Frage; je nach Art des Ereignisses kann es möglich sein, für jedes Verbrechen eine andere Strafe zu verhängen oder diese Strafe zu erhöhen durch die Verhängung einer Strafe für ein einziges Verbrechen.“ sagte.

Kasim Kizil

© Deutsche Welle Englisch

DW