Yemeksepeti ile ilgili veri ihlali bildirimi üzerine başlatılan incelemenin sonucu KVKK tarafından internet sitesinden paylaşıldı. Kararda, veri ihlalinin boyutu, sızdırılan verinin büyüklüğü ve sızdırılan kişisel verilerin niteliği dikkate alındığında, bunun ilgili kişiler açısından kişisel veriler üzerinde kontrol kaybı gibi önemli riskler oluşturacağı vurgulandı.
Söz konusu ihlalde veri sorumlusunun kusurunun bulunduğu belirtilen kararda, “Sisteme giren kişi ya da kişilerce, zararlı yazılım ve araçlarla sisteme giriş yaptıktan sonra diğer sistemlere de erişilerek bilgi toplandığı, sisteme zararlı yazılımların yüklenip çalıştırılmasının veri sorumlusunca 8 gün boyunca fark edilemediği, dolayısıyla bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi ve bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi noktasında veri sorumlusunun kusurunun bulunduğu anlaşılmıştır” denildi.
GÜVENLİK PROSEDÜRLERİNİN KULLANILMASI NOKTASINDAKİ EKSİKLER TESPİT EDİLDİ
Yemeksepeti güvenlik ekiplerince yapılan inceleme sonucu siber saldırının farkına varıldığı belirtilen kararda, bu durumun veri sorumlusunun hizmet aldığı 3’üncü parti firmalar üzerinde etkin bir denetim mekanizmasının bulunmadığı ve güvenlik yazılımlarının takibi ile güvenlik prosedürlerinin kullanılması noktasındaki eksikleri gösterdiği anlatıldı.
DIŞARI GİDEN VERİ TRAFİĞİ SORUMLU TARAFINDAN FARK EDİLMEDİ
Saldırganların veri sorumlusundan elde ettikleri veriyi Fransa’da bulunan bir IP adresine/sunucuya ait lokasyona ilettiği, sistemden çıkan 28,2 GB’lık veri ya da dışarı giden trafiğin, veri sorumlusu tarafından fark edilemediği belirtilerek, bunun da güvenlik kontrolleri ve veri güvenliği takibinin veri sorumlusu tarafından düzgün şekilde yapılmadığının göstergesi olduğu anlatıldı. Açıklık bulunan sunucunun ‘sızma testinden geçen bir sunucu’ olduğuna işaret edilen kararda bunun, veri sorumlusu tarafından sızma testlerinin etkin şekilde yapılmadığını/yaptırılmadığını ortaya koyduğu vurgulandı.
21 MİLYONDAN FAZLA KULLANICI ETKİLENDİ
Kararda, veri sorumlusu şirkete ait web uygulama sunucusuna, sunucudaki açık sebebiyle uygulama kurarak ve komut çalıştırmak suretiyle erişildiği, bu ihlalden 21 milyondan fazla kullanıcının etkilendiği belirtildi. Kullanıcı adı, adres, telefon numarası, e-posta adresi, şifre ve IP bilgilerine yönelik erişim ihlalinden etkilenen kişi sayısının çok fazla olması ve neredeyse tüm müşteri veri tabanının sızdırılmış bulunması dikkate alındığında ihlalin çok büyük çaplı olduğu aktarıldı. KVKK, ihlalin boyutu, sızdırılan verinin büyüklüğü ve sızdırılan kişisel verilerin niteliği dikkate alındığında, bunun ilgili kişiler açısından kişisel veriler üzerinde kontrol kaybı gibi önemli riskler oluşturacağını bildirdi.
1,9 MİLYON TL İDARİ PARA CEZASI KESİLDİ
İdari para cezası ile ilgili olarak, “Büyük miktarda kişisel veri işleyen veri sorumlusunun bu boyutta bir ihlal yaşamasının ve müdahalede geç kalmasının mevcut risk ve tehditleri iyi belirlemediğinin göstergesi olduğu hususları dikkate alındığında, Kişisel Verilerin Korunması Kanunu’nun 12’nci maddesinin (1) numaralı fıkrası hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında, kanunun 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca ihlalin boyutu, kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak 1 milyon 900 bin lira idari para cezası uygulanmasına karar verilmiştir” denildi.
25 MART’TA YAŞANDI
Olayın 25 Mart 2021 tarihinde, sabah saatlerinde tespit edildiğini kurumsal Twitter hesabından duyuran Yemeksepeti, saldırı ile ilgili, “Yemeksepeti kullanıcı veri tabanı, kimliği tespit edilemeyen siber korsan ya da korsanlar tarafından bir saldırıya uğradı ve bir güvenlik ihlali yaşandı. Yemeksepeti kullanıcılarının hesap bilgilerinin bir kısmı korsanlar tarafından ele geçirildi” bilgisini paylaşmıştı.
Yorumlar kapalı.