21 milyon kişinin verisini çaldıran Yemek Sepetine ceza

Serkan

New member
16 Haz 2021
42
0
0
şahsi Dataları Müdafaa Şurası’nın (KVKK), internet sitesinde yer alan kararda, Yemeksepeti’ne ait bilgi ihlali bildiriminin 6698 sayılı şahsi Dataların Korunması Kanunu mucibince incelenerek sonuçlandırıldığı tabir edildi.

Kararda data sorumlusu şirkete ilişkin web uygulama sunucusuna, sunucudaki açık sebebiyle uygulama kurarak ve komut çalıştırmak suretiyle erişildiği, bu ihlalden 21 milyondan fazla kullanıcının etkilendiği kaydedildi.

Kullanıcı ismi, adres, telefon numarası, e-posta adresi, şifre ve IP detaylarıne yönelik erişim ihlalinden etkilenen kişi sayısının epeyce fazla olması ve neredeyse tüm müşteri bilgi tabanının sızdırılmış bulunması dikkate alındığında ihlalin fazlaca büyük çaplı olduğu söz edildi.


KVKK, ihlalin boyutu, sızdırılan bilginin büyüklüğü ve sızdırılan şahsi bilgilerin niteliği dikkate alındığında, bunun ilgili bireyler açısından şahsi bilgiler üzerinde denetim kaybı üzere kıymetli riskler oluşturacağını bildirdi.

Kelam konusu ihlalde bilgi sorumlusunun kusurunun bulunduğu belirtilen kararda, “Sisteme giren kişi ya da şahıslarca, ziyanlı yazılım ve araçlarla sisteme giriş yaptıktan daha sonra öbür sistemlere de erişilerek bilgi toplandığı, sisteme ziyanlı yazılımların yüklenip çalıştırılmasının data sorumlusunca 8 gün boyunca fark edilemediği, ötürüsıyla bilişim ağlarında hangi yazılım ve servislerin çalıştığının denetim edilmesi ve bilişim ağlarında sızma yahut olmaması gereken bir hareket olup olmadığının belirlenmesi noktasında data sorumlusunun kusurunun bulunduğu anlaşılmıştır.” denildi.


Yemek Sepeti güvenlik takımlarınca yapılan inceleme kararı siber hücumun farkına varıldığı söz edilen kararda, bu durumun bilgi sorumlusunun hizmet aldığı üçüncü parti firmalar üzerinde aktif bir kontrol düzeneğinin bulunmadığı ve güvenlik yazılımlarının takibi ile güvenlik prosedürlerinin kullanılması noktasındaki eksikleri gösterdiği kaydedildi.

Saldırganların data sorumlusundan elde ettikleri bilgiyi Fransa’da bulunan bir IP adresine/sunucuya ilişkin lokasyona ilettiği, sistemden çıkan 28,2 GB’lık data ya da dışarı giden trafiğin, bilgi sorumlusu tarafınca fark edilemediği belirtilen kararda, bunun da güvenlik denetimleri ve data güvenliği takibinin data sorumlusu tarafınca düzgün biçimde yapılmadığının göstergesi olduğu anlatıldı.


Açıklık bulunan sunucunun “sızma testinden geçen bir sunucu” olduğuna işaret edilen kararda bunun, bilgi sorumlusu tarafınca sızma testlerinin aktif biçimde yapılmadığını/yaptırılmadığını ortaya koyduğu vurgulandı.

Kararda şu tabirler yer aldı:

“Büyük ölçüde şahsi data işleyen bilgi sorumlusunun bu boyutta bir ihlal yaşamasının ve müdahalede geç kalmasının mevcut risk ve tehditleri yeterli belirlemediğinin göstergesi olduğu
konuları dikkate alındığında, 6698 sayılı şahsi Bilgilerin Korunması Kanunu’nun 12’nci unsurunun (1) numaralı fıkrası kararı çerçevesinde bilgi güvenliğini sağlamaya yönelik gerekli teknik ve idari önlemleri almayan bilgi sorumlusu hakkında, kanunun 18’inci unsurunun (1) numaralı fıkrasının (b) bendi uyarınca ihlalin boyutu, kabahatin haksızlık içeriği, bilgi sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak 1 milyon 900 bin lira idari para cezası uygulanmasına karar verilmiştir.”