Professional
New member
şahsi Dataları Muhafaza Şurası (KVKK), müşteri ayrıntılarının çalındığı ileri sürülen “Yemeksepeti”ne bilgi ihlali niçiniyle 1 milyon 900 bin lira idari para cezası uygulanmasına karar verdi. KVKK’nin internet sitesinde yer alan kararda, Yemeksepeti’ne ait bilgi ihlali bildiriminin 6698 sayılı şahsi Dataların Korunması Kanunu yeterince incelenerek sonuçlandırıldığı tabir edildi.
Kararda data sorumlusu şirkete ilişkin web uygulama sunucusuna, sunucudaki açık sebebiyle uygulama kurarak ve komut çalıştırmak suretiyle erişildiği, bu ihlalden 21 milyondan fazla kullanıcının etkilendiği kaydedildi. Kullanıcı ismi, adres, telefon numarası, e-posta adresi, şifre ve IP detaylarıne yönelik erişim ihlalinden etkilenen kişi sayısının epey fazla olması ve neredeyse tüm müşteri data tabanının sızdırılmış bulunması dikkate alındığında ihlalin fazlaca büyük çaplı olduğu tabir edildi.
KVKK, ihlalin boyutu, sızdırılan datanın büyüklüğü ve sızdırılan şahsi bilgilerin niteliği dikkate alındığında, bunun ilgili bireyler açısından şahsi bilgiler üzerinde denetim kaybı üzere değerli riskler oluşturacağını bildirdi.
“Yemek Sepeti Elektronik İrtibat Perakende Besin Lojistik AŞ data ihlal bildirimi hakkında” şahsi Dataları Muhafaza Heyetinin 23/12/2021 tarih ve 2021/1324 sayılı Karar Özeti Şu Halde:
Data sorumlusunun Kuruma intikal eden bilgi ihlal bildiriminde;
18.03.2021 tarihinde kimliği tespit edilemeyen şahıs/şahıslar tarafınca data sorumlusuna ilişkin bir web uygulama sunucusuna erişildiği,
Olağan koşullarda yetkisiz bir erişim olduğunda ikaz veren araç üzerinde sorun kaydı oluştuğu lakin bir aksaklık niçiniyle yetkisiz erişimin o an fark edilemediği,
25.03.2021 tarihinde gelen alarmlar incelediğinde kuşkulu bir davranış olduğunun tespit edildiği,
Birebir tarihte yapılan incelemede Yemeksepeti’ne ilişkin bir web uygulama sunucusu üstündeki açıktan yararlanmak suretiyle uygulama kurulduğu ve komut çalıştırılarak sunucuya erişildiği,
İhlali gerçekleştiren şahsın/şahısların eriştiği sunucu üzerinde kullanıcı oluşturarak farklı araçlar vasıtasıyla bilgi toplamaya çalıştıkları ve uzaktaki sunuculara trafik gönderdiklerinin de ayrıyeten tespit edildiği,
Saldırganların datayı Fransa’da bulunan bir IP adresine/sunucuya ilettikleri ve bu iletilen trafiğin firewall (güvenlik duvarı) üzerinde izlerinin olduğu,
İhlalden 21.504.083 Yemeksepeti kullanıcısının etkilendiği,
İhlalden etkilenen şahsi dataların kullanıcı ismi, adres, telefon numarası, e-posta adresi, kullanıcı şifresi ve IP ayrıntıları olduğu tabirlerine yer verilmiştir.
Bilgi ihlal bildiriminin Kurumun yetki ve nazaranv alanı çerçevesinde incelenmesi sonucunda; şahsi Dataları Muhafaza Konseyinin 23/12/2021 tarih ve 2021/1324 sayılı sonucu ile;
Data sorumlusuna ilişkin bir web uygulama sunucusu üstündeki açık sebebiyle uygulama kurarak ve komut çalıştırmak suretiyle sunucuya erişildiği, İhlalden 21.504.083 Yemeksepeti kullanıcısının etkilendiği,
Etkilenen şahsi bilgilerin kullanıcı ismi, adres, telefon numarası, e-posta adresi, şifre ve IP ayrıntıları olduğu, İhlalden etkilenen kişi sayısının epeyce fazla olması ve neredeyse tüm müşteri bilgi tabanının dışarı sızdırıldığı dikkate alındığında ihlalin fazlaca büyük çaplı olduğu,
İhlalin boyutu, sızdırılan datanın büyüklüğü ve sızdırılan şahsi dataların niteliği dikkate alındığında, ihlalin ilgili bireyler açısından şahsi bilgiler üzerinde denetim kaybı üzere değerli riskler oluşturacağı, Sisteme giren kişi ya da bireylerce, ziyanlı yazılım ve araçlarla sisteme giriş yaptıktan daha sonra öbür sistemlere de erişilerek bilgi toplandığı, sisteme ziyanlı yazılımların yüklenip, çalıştırılmasının bilgi sorumlusunca 8 gün boyunca fark edilemediği ötürüsıyla bilişim ağlarında hangi yazılım ve servislerin çalıştığının denetim edilmesi ve bilişim ağlarında sızma yahut olmaması gereken bir hareket olup olmadığının belirlenmesi noktasında bilgi sorumlusunun kusurunun bulunduğu,
18.03.2021 tarihinden itibaren güvenlik yazılımlarında alarmlar oluştuğu, oluşan bu alarmların üçüncü parti firmalar tarafınca izlenen eserlerde Yemek Sepeti Güvenlik Gruplarına ilgili bildirimler yapılamadan ve gerekli aksiyonlar alınmadan kapatıldığının söz edildiği, 25.03.2021 tarihinde iletilen alarmın Yemek Sepeti Güvenlik Gruplarınca incelenmesi kararı siber taarruzun farkına varıldığı dikkate alındığında bu durumun bilgi sorumlusunun hizmet aldığı üçüncü parti firmalar üzerinde faal bir kontrol sisteminin bulunmadığının ve güvenlik yazılımlarının takibi ile güvenlik prosedürlerinin kullanılması noktasında da eksiklerinin bulunduğunun göstergesi olduğu,
Saldırganların bilgi sorumlusundan elde ettikleri datayı Fransa’da bulunan bir IP adresine/sunucuya ilişkin lokasyona ilettiği, sistemden çıkan 28.2 GB’lık verinin/dışarı giden trafiğin bilgi sorumlusu tarafınca fark edilemediği ve bu bilgi trafiğinin firewall (güvenlik duvarı) üzerinde izlerinin olduğu dikkate alındığında; firewall üzerinde izlerin bulunmasına karşın bu boyutta datanın dışarı sızdırılmasının fark edilememesinin bilgi sorumlusu tarafınca güvenlik denetimleri ve bilgi güvenliği takibinin düzgün bir biçimde yapılmadığının göstergesi olduğu,
Açıklık bulunan sunucunun sızma testinden geçen bir sunucu olduğunun söz edildiği dikkate alındığında bu durumun data sorumlusu tarafınca sızma testlerinin aktif bir biçimde yapılmadığını/yaptırılmadığını gösterdiği, Büyük ölçüde şahsi bilgi işleyen data sorumlusunun bu boyutta bir ihlal yaşamasının ve müdahalede geç kalmasının mevcut risk ve tehditleri düzgün belirlemediğinin göstergesi olduğu hususları dikkate alındığında, 6698 sayılı şahsi Bilgilerin Korunması Kanununun 12 nci unsurunun (1) numaralı fıkrası kararı çerçevesinde data güvenliğini sağlamaya yönelik gerekli teknik ve idari önlemleri almayan data sorumlusu hakkında Kanunun 18 inci hususunun (1) numaralı fıkrasının (b) bendi uyarınca ihlalin boyutu, kabahatin haksızlık içeriği, data sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak 1.900.000 TL idari para cezası uygulanmasına karar verilmiştir.
Kararda data sorumlusu şirkete ilişkin web uygulama sunucusuna, sunucudaki açık sebebiyle uygulama kurarak ve komut çalıştırmak suretiyle erişildiği, bu ihlalden 21 milyondan fazla kullanıcının etkilendiği kaydedildi. Kullanıcı ismi, adres, telefon numarası, e-posta adresi, şifre ve IP detaylarıne yönelik erişim ihlalinden etkilenen kişi sayısının epey fazla olması ve neredeyse tüm müşteri data tabanının sızdırılmış bulunması dikkate alındığında ihlalin fazlaca büyük çaplı olduğu tabir edildi.
KVKK, ihlalin boyutu, sızdırılan datanın büyüklüğü ve sızdırılan şahsi bilgilerin niteliği dikkate alındığında, bunun ilgili bireyler açısından şahsi bilgiler üzerinde denetim kaybı üzere değerli riskler oluşturacağını bildirdi.
“Yemek Sepeti Elektronik İrtibat Perakende Besin Lojistik AŞ data ihlal bildirimi hakkında” şahsi Dataları Muhafaza Heyetinin 23/12/2021 tarih ve 2021/1324 sayılı Karar Özeti Şu Halde:
Data sorumlusunun Kuruma intikal eden bilgi ihlal bildiriminde;
18.03.2021 tarihinde kimliği tespit edilemeyen şahıs/şahıslar tarafınca data sorumlusuna ilişkin bir web uygulama sunucusuna erişildiği,
Olağan koşullarda yetkisiz bir erişim olduğunda ikaz veren araç üzerinde sorun kaydı oluştuğu lakin bir aksaklık niçiniyle yetkisiz erişimin o an fark edilemediği,
25.03.2021 tarihinde gelen alarmlar incelediğinde kuşkulu bir davranış olduğunun tespit edildiği,
Birebir tarihte yapılan incelemede Yemeksepeti’ne ilişkin bir web uygulama sunucusu üstündeki açıktan yararlanmak suretiyle uygulama kurulduğu ve komut çalıştırılarak sunucuya erişildiği,
İhlali gerçekleştiren şahsın/şahısların eriştiği sunucu üzerinde kullanıcı oluşturarak farklı araçlar vasıtasıyla bilgi toplamaya çalıştıkları ve uzaktaki sunuculara trafik gönderdiklerinin de ayrıyeten tespit edildiği,
Saldırganların datayı Fransa’da bulunan bir IP adresine/sunucuya ilettikleri ve bu iletilen trafiğin firewall (güvenlik duvarı) üzerinde izlerinin olduğu,
İhlalden 21.504.083 Yemeksepeti kullanıcısının etkilendiği,
İhlalden etkilenen şahsi dataların kullanıcı ismi, adres, telefon numarası, e-posta adresi, kullanıcı şifresi ve IP ayrıntıları olduğu tabirlerine yer verilmiştir.
Bilgi ihlal bildiriminin Kurumun yetki ve nazaranv alanı çerçevesinde incelenmesi sonucunda; şahsi Dataları Muhafaza Konseyinin 23/12/2021 tarih ve 2021/1324 sayılı sonucu ile;
Data sorumlusuna ilişkin bir web uygulama sunucusu üstündeki açık sebebiyle uygulama kurarak ve komut çalıştırmak suretiyle sunucuya erişildiği, İhlalden 21.504.083 Yemeksepeti kullanıcısının etkilendiği,
Etkilenen şahsi bilgilerin kullanıcı ismi, adres, telefon numarası, e-posta adresi, şifre ve IP ayrıntıları olduğu, İhlalden etkilenen kişi sayısının epeyce fazla olması ve neredeyse tüm müşteri bilgi tabanının dışarı sızdırıldığı dikkate alındığında ihlalin fazlaca büyük çaplı olduğu,
İhlalin boyutu, sızdırılan datanın büyüklüğü ve sızdırılan şahsi dataların niteliği dikkate alındığında, ihlalin ilgili bireyler açısından şahsi bilgiler üzerinde denetim kaybı üzere değerli riskler oluşturacağı, Sisteme giren kişi ya da bireylerce, ziyanlı yazılım ve araçlarla sisteme giriş yaptıktan daha sonra öbür sistemlere de erişilerek bilgi toplandığı, sisteme ziyanlı yazılımların yüklenip, çalıştırılmasının bilgi sorumlusunca 8 gün boyunca fark edilemediği ötürüsıyla bilişim ağlarında hangi yazılım ve servislerin çalıştığının denetim edilmesi ve bilişim ağlarında sızma yahut olmaması gereken bir hareket olup olmadığının belirlenmesi noktasında bilgi sorumlusunun kusurunun bulunduğu,
18.03.2021 tarihinden itibaren güvenlik yazılımlarında alarmlar oluştuğu, oluşan bu alarmların üçüncü parti firmalar tarafınca izlenen eserlerde Yemek Sepeti Güvenlik Gruplarına ilgili bildirimler yapılamadan ve gerekli aksiyonlar alınmadan kapatıldığının söz edildiği, 25.03.2021 tarihinde iletilen alarmın Yemek Sepeti Güvenlik Gruplarınca incelenmesi kararı siber taarruzun farkına varıldığı dikkate alındığında bu durumun bilgi sorumlusunun hizmet aldığı üçüncü parti firmalar üzerinde faal bir kontrol sisteminin bulunmadığının ve güvenlik yazılımlarının takibi ile güvenlik prosedürlerinin kullanılması noktasında da eksiklerinin bulunduğunun göstergesi olduğu,
Saldırganların bilgi sorumlusundan elde ettikleri datayı Fransa’da bulunan bir IP adresine/sunucuya ilişkin lokasyona ilettiği, sistemden çıkan 28.2 GB’lık verinin/dışarı giden trafiğin bilgi sorumlusu tarafınca fark edilemediği ve bu bilgi trafiğinin firewall (güvenlik duvarı) üzerinde izlerinin olduğu dikkate alındığında; firewall üzerinde izlerin bulunmasına karşın bu boyutta datanın dışarı sızdırılmasının fark edilememesinin bilgi sorumlusu tarafınca güvenlik denetimleri ve bilgi güvenliği takibinin düzgün bir biçimde yapılmadığının göstergesi olduğu,
Açıklık bulunan sunucunun sızma testinden geçen bir sunucu olduğunun söz edildiği dikkate alındığında bu durumun data sorumlusu tarafınca sızma testlerinin aktif bir biçimde yapılmadığını/yaptırılmadığını gösterdiği, Büyük ölçüde şahsi bilgi işleyen data sorumlusunun bu boyutta bir ihlal yaşamasının ve müdahalede geç kalmasının mevcut risk ve tehditleri düzgün belirlemediğinin göstergesi olduğu hususları dikkate alındığında, 6698 sayılı şahsi Bilgilerin Korunması Kanununun 12 nci unsurunun (1) numaralı fıkrası kararı çerçevesinde data güvenliğini sağlamaya yönelik gerekli teknik ve idari önlemleri almayan data sorumlusu hakkında Kanunun 18 inci hususunun (1) numaralı fıkrasının (b) bendi uyarınca ihlalin boyutu, kabahatin haksızlık içeriği, data sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak 1.900.000 TL idari para cezası uygulanmasına karar verilmiştir.