Kişisel Verileri Koruma Kurulu tarafından internet sitesi üzerinden yayınlanan kararda, 21 milyondan fazla kullanıcının bilgilerinin çalındığı ileri sürülen Yemeksepeti‘ne, yapılan incelemeler sonucunda 6698 sayılı Kişisel Verilerin Korunması Kanunu gereğince 1 milyon 900 bin lira idari para cezası verildiği belirtildi.
İhlalden 21 milyondan fazla kullanıcı etkilendi
Kararda veri sorumlusu şirkete ait internet uygulama sunucusuna, sunucudaki açık sebebiyle uygulama kurarak ve komut çalıştırmak suretiyle erişildiği, bu ihlalden 21 milyondan fazla kullanıcının etkilendiği belirtilirken, kullanıcı adı, adres, telefon numarası, e-posta adresi, şifre ve IP bilgilerine yönelik erişim ihlalinden etkilenen kişi sayısının çok fazla olması ve neredeyse tüm müşteri veri tabanının sızdırılmış bulunması dikkate alındığında ihlalin çok büyük çaplı olduğu ifade edildi.
KVKK tarafından yayınlanan kararda, ihlalin boyutu, sızdırılan verinin büyüklüğü ve sızdırılan kişisel verilerin niteliği dikkate alındığında, bunun ilgili kişiler açısından kişisel veriler üzerinde kontrol kaybı gibi önemli riskler oluşturacağı belirtildi.
Yemeksepeti’nden çalınan veriler, Fransa’da bulunan bir IP adresine iletildi
KVKK kararında, saldırganların Yemeksepeti’nden elde ettikleri veriyi Fransa’da bulunan bir IP adresine/sunucuya ait lokasyona ilettiğinin tespit edildiği açıklandı. Sistemden çıkan 28,2 GB’lık veri ya da dışarı giden trafiğin, veri sorumlusu tarafından fark edilemediği belirtilen kararda, bunun da güvenlik kontrolleri ve veri güvenliği takibinin veri sorumlusu tarafından düzgün şekilde yapılmadığının göstergesi olduğu vurgulandı.
Açıklanan kararda, söz konusu ihlalde veri sorumlusu kusurlu bulunarak, “Sisteme giren kişi ya da kişilerce, zararlı yazılım ve araçlarla sisteme giriş yaptıktan sonra diğer sistemlere de erişilerek bilgi toplandığı, sisteme zararlı yazılımların yüklenip çalıştırılmasının veri sorumlusunca 8 gün boyunca fark edilemediği, dolayısıyla bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi ve bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi noktasında veri sorumlusunun kusurunun bulunduğu anlaşılmıştır.” ifadelerine yer verildi.