semaver
New member
Geçtiğimiz haftalarda büyük bir hack skandalıyla gündeme gelen, on milyonlarca Türk kullanıcının datalarının ele geçirildiği argüman edilen Yemeksepeti.com olayıyla ilgili bugün kesin karar verildi. Basına yansıyan haberlerin akabinde inceleme başlatan şahsi Dataları Müdafaa Kurumu, Yemeksepeti’ne uygulanacak cezayı deklare etti.
KVKK tarafınca paylaşılan karara nazaran Yemeksepeti, 1 milyon 900 bin TL idari para cezasına çarptırıldı.
Atak hakkında tüm ayrıntılar paylaşıldı, Yemeksepeti sorumluluklarını yerine getirmemiş!
KVKK tarafınca yayımlanan sonucun tamamı şöyle:
Bilgi ihlal bildiriminin Kurumun yetki ve nazaranv alanı çerçevesinde incelenmesi sonucunda; şahsi Dataları Müdafaa Şurasının 23/12/2021 tarih ve 2021/1324 sayılı sonucu ile;
karar verilmiştir.
KVKK tarafınca paylaşılan karara nazaran Yemeksepeti, 1 milyon 900 bin TL idari para cezasına çarptırıldı.
Atak hakkında tüm ayrıntılar paylaşıldı, Yemeksepeti sorumluluklarını yerine getirmemiş!
KVKK tarafınca yayımlanan sonucun tamamı şöyle:
Bilgi ihlal bildiriminin Kurumun yetki ve nazaranv alanı çerçevesinde incelenmesi sonucunda; şahsi Dataları Müdafaa Şurasının 23/12/2021 tarih ve 2021/1324 sayılı sonucu ile;
- Bilgi sorumlusuna ilişkin bir web uygulama sunucusu üstündeki açık sebebiyle uygulama kurarak ve komut çalıştırmak suretiyle sunucuya erişildiği,
- İhlalden 21.504.083 Yemeksepeti kullanıcısının etkilendiği,
- Etkilenen şahsi dataların kullanıcı ismi, adres, telefon numarası, e-posta adresi, şifre ve IP ayrıntıları olduğu,
- İhlalden etkilenen kişi sayısının epeyce fazla olması ve neredeyse tüm müşteri data tabanının dışarı sızdırıldığı dikkate alındığında ihlalin hayli büyük çaplı olduğu,
- İhlalin boyutu, sızdırılan datanın büyüklüğü ve sızdırılan şahsi dataların niteliği dikkate alındığında, ihlalin ilgili bireyler açısından şahsi datalar üzerinde denetim kaybı üzere değerli riskler oluşturacağı,
- Sisteme giren kişi ya da şahıslarca, ziyanlı yazılım ve araçlarla sisteme giriş yaptıktan daha sonra öteki sistemlere de erişilerek bilgi toplandığı, sisteme ziyanlı yazılımların yüklenip, çalıştırılmasının bilgi sorumlusunca 8 gün boyunca fark edilemediği ötürüsıyla bilişim ağlarında hangi yazılım ve servislerin çalıştığının denetim edilmesi ve bilişim ağlarında sızma yahut olmaması gereken bir hareket olup olmadığının belirlenmesi noktasında bilgi sorumlusunun kusurunun bulunduğu,
- 18.03.2021 tarihinden itibaren güvenlik yazılımlarında alarmlar oluştuğu, oluşan bu alarmların üçüncü parti firmalar tarafınca izlenen eserlerde Yemek Sepeti Güvenlik Takımlarına ilgili bildirimler yapılamadan ve gerekli aksiyonlar alınmadan kapatıldığının söz edildiği, 25.03.2021 tarihinde iletilen alarmın Yemek Sepeti Güvenlik Takımlarınca incelenmesi kararı siber hücumun farkına varıldığı dikkate alındığında bu durumun bilgi sorumlusunun hizmet aldığı üçüncü parti firmalar üzerinde faal bir kontrol sisteminin bulunmadığının ve güvenlik yazılımlarının takibi ile güvenlik prosedürlerinin kullanılması noktasında da eksiklerinin bulunduğunun göstergesi olduğu,
- Saldırganların bilgi sorumlusundan elde ettikleri bilgiyi Fransa’da bulunan bir IP adresine/sunucuya ilişkin lokasyona ilettiği, sistemden çıkan 28.2 GB’lık verinin/dışarı giden trafiğin data sorumlusu tarafınca fark edilemediği ve bu data trafiğinin firewall (güvenlik duvarı) üzerinde izlerinin olduğu dikkate alındığında; firewall üzerinde izlerin bulunmasına karşın bu boyutta bilginin dışarı sızdırılmasının fark edilememesinin bilgi sorumlusu tarafınca güvenlik denetimleri ve bilgi güvenliği takibinin düzgün bir biçimde yapılmadığının göstergesi olduğu,
- Açıklık bulunan sunucunun sızma testinden geçen bir sunucu olduğunun tabir edildiği dikkate alındığında bu durumun data sorumlusu tarafınca sızma testlerinin faal bir biçimde yapılmadığını/yaptırılmadığını gösterdiği,
- Büyük ölçüde şahsi bilgi işleyen bilgi sorumlusunun bu boyutta bir ihlal yaşamasının ve müdahalede geç kalmasının mevcut risk ve tehditleri güzel belirlemediğinin göstergesi olduğu
karar verilmiştir.