KVKK’den Yemeksepeti’ne 2 milyon liralık ceza!

Ferdî Dataları Müdafaa Şurası (KVKK) geçen sene Mart ayında yaşanan bilgi sızıntısı hakkında Yemeksepeti’ne 1 milyon 900 bin TL idari para cezası uygulanmasına karar verdi. KVKK’nın mevzuyla ilgili açıklamasında bilgi sızıntısından 21 milyon 504 bin 83 kişinin etkilendiği ve bilginin Fransa’ya gönderildiği belirtildi. Saldırganların güvenlik duvarı (firewall) üzerinde izleri olduğu halde güvenlik denetimlerinin ve data güvenliği takibinin düzgün bir halde yapılmadığı tabir edildi. Bu nedenle Yemeksepeti hatalı bulundu.

Yemeksepeti siber taarruza uğradı! Adres, e-posta ve telefon numaraları çalındı!

10 ay evvel eklendi

KVKK’nin bahis hakkındaki açıklaması şöyle:

“Veri sorumlusunun Kuruma intikal eden bilgi ihlal bildiriminde;

  • 18.03.2021 tarihinde kimliği tespit edilemeyen şahıs/şahıslar tarafından bilgi sorumlusuna ilişkin bir web uygulama sunucusuna erişildiği,
  • Olağan kurallarda yetkisiz bir erişim olduğunda ikaz veren araç üzerinde sorun kaydı oluştuğu fakat bir aksaklık nedeniyle yetkisiz erişimin o an fark edilemediği,
  • 25.03.2021 tarihinde gelen alarmlar incelediğinde kuşkulu bir davranış olduğunun tespit edildiği,
  • Birebir tarihte yapılan incelemede Yemeksepeti’ne ilişkin bir web uygulama sunucusu üzerindeki açıktan yararlanmak suretiyle uygulama kurulduğu ve komut çalıştırılarak sunucuya erişildiği,
  • İhlali gerçekleştiren şahsın/şahısların eriştiği sunucu üzerinde kullanıcı oluşturarak farklı araçlar vasıtasıyla data toplamaya çalıştıkları ve uzaktaki sunuculara trafik gönderdiklerinin de ayrıyeten tespit edildiği,
  • Saldırganların datayı Fransa’da bulunan bir IP adresine/sunucuya ilettikleri ve bu iletilen trafiğin firewall (güvenlik duvarı) üzerinde izlerinin olduğu,
  • İhlalden 21.504.083 Yemeksepeti kullanıcısının etkilendiği,
  • İhlalden etkilenen şahsî dataların kullanıcı ismi, adres, telefon numarası, e-posta adresi, kullanıcı şifresi ve IP bilgileri olduğu

sözlerine yer verilmiştir.

Bilgi ihlal bildiriminin Kurumun yetki ve vazife alanı çerçevesinde incelenmesi sonucunda; Ferdî Dataları Müdafaa Şurasının 23/12/2021 tarih ve 2021/1324 sayılı Kararı ile;

  • Data sorumlusuna ilişkin bir web uygulama sunucusu üzerindeki açık sebebiyle uygulama kurarak ve komut çalıştırmak suretiyle sunucuya erişildiği,
  • İhlalden 21.504.083 Yemeksepeti kullanıcısının etkilendiği,
  • Etkilenen şahsî dataların kullanıcı ismi, adres, telefon numarası, e-posta adresi, şifre ve IP bilgileri olduğu,
  • İhlalden etkilenen kişi sayısının çok fazla olması ve neredeyse tüm müşteri data tabanının dışarı sızdırıldığı dikkate alındığında ihlalin çok büyük çaplı olduğu,
  • İhlalin boyutu, sızdırılan datanın büyüklüğü ve sızdırılan ferdî bilgilerin niteliği dikkate alındığında, ihlalin ilgili şahıslar açısından ferdî bilgiler üzerinde denetim kaybı üzere değerli riskler oluşturacağı,
  • Sisteme giren kişi ya da bireylerce, ziyanlı yazılım ve araçlarla sisteme giriş yaptıktan sonra başka sistemlere de erişilerek bilgi toplandığı, sisteme ziyanlı yazılımların yüklenip, çalıştırılmasının data sorumlusunca 8 gün boyunca fark edilemediği hasebiyle bilişim ağlarında hangi yazılım ve servislerin çalıştığının denetim edilmesi ve bilişim ağlarında sızma yahut olmaması gereken bir hareket olup olmadığının belirlenmesi noktasında bilgi sorumlusunun kusurunun bulunduğu,
  • 18.03.2021 tarihinden itibaren güvenlik yazılımlarında alarmlar oluştuğu, oluşan bu alarmların üçüncü parti firmalar tarafından izlenen eserlerde Yemek Sepeti Güvenlik Takımlarına ilgili bildirimler yapılamadan ve gerekli aksiyonlar alınmadan kapatıldığının söz edildiği, 25.03.2021 tarihinde iletilen alarmın Yemek Sepeti Güvenlik Takımlarınca incelenmesi sonucu siber atağın farkına varıldığı dikkate alındığında bu durumun data sorumlusunun hizmet aldığı üçüncü parti firmalar üzerinde aktif bir kontrol düzeneğinin bulunmadığının ve güvenlik yazılımlarının takibi ile güvenlik prosedürlerinin kullanılması noktasında da eksiklerinin bulunduğunun göstergesi olduğu,
  • Saldırganların bilgi sorumlusundan elde ettikleri bilgiyi Fransa’da bulunan bir IP adresine/sunucuya ilişkin lokasyona ilettiği, sistemden çıkan 28.2 GB’lık verinin/dışarı giden trafiğin bilgi sorumlusu tarafından fark edilemediği ve bu data trafiğinin firewall (güvenlik duvarı) üzerinde izlerinin olduğu dikkate alındığında; firewall üzerinde izlerin olmasına karşın bu boyutta bilginin dışarı sızdırılmasının fark edilememesinin bilgi sorumlusu tarafından güvenlik denetimleri ve data güvenliği takibinin düzgün bir biçimde yapılmadığının göstergesi olduğu,
  • Açıklık bulunan sunucunun sızma testinden geçen bir sunucu olduğunun tabir edildiği dikkate alındığında bu durumun bilgi sorumlusu tarafından sızma testlerinin faal bir halde yapılmadığını/yaptırılmadığını gösterdiği,
  • Büyük ölçüde ferdî data işleyen data sorumlusunun bu boyutta bir ihlal yaşamasının ve müdahalede geç kalmasının mevcut risk ve tehditleri âlâ belirlemediğinin göstergesi olduğu

konuları dikkate alındığında, 6698 sayılı Şahsî Bilgilerin Korunması Kanununun 12 nci unsurunun (1) numaralı fıkrası kararı çerçevesinde bilgi güvenliğini sağlamaya yönelik gerekli teknik ve idari önlemleri almayan bilgi sorumlusu hakkında Kanunun 18 inci hususunun (1) numaralı fıkrasının (b) bendi uyarınca ihlalin boyutu, kabahatin haksızlık içeriği, data sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak 1.900.000 TL idari para cezası uygulanmasına

karar verilmiştir.”

  • Anasayfa
  • Internet
  • Web Siteleri Haberleri
  • KVKK’den Yemeksepeti’ne 2 milyon liralık ceza!

About admin

Check Also

Elon Musk, Twitter teklifinde fiyat kırabilir

En hareketli toplumsal ağ olarak kabul edilen Twitter’ı pay başı 54.20$ olarak satın almaya hazırlanan Elon Musk pürüz çıkarmaya başladı. Ne ...

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.