Gectiğimiz haftalarda buyuk bir hack skandalıyla gundeme gelen, on milyonlarca Turk kullanıcının verilerinin ele gecirildiği iddia edilen Yemeksepeti.com olayıyla ilgili bugun nihai karar verildi. Basına yansıyan haberlerin ardından inceleme başlatan Kişisel Verileri Koruma Kurumu, Yemeksepeti ’ne uygulanacak cezayı acıkladı.
KVKK tarafından paylaşılan karara gore Yemeksepeti, 1 milyon 900 bin TL idari para cezasına carptırıldı.
[h=2]Saldırı hakkında tum detaylar paylaşıldı, Yemeksepeti sorumluluklarını yerine getirmemiş![/h]
KVKK tarafından yayımlanan kararın tamamı şu şekilde:
Veri ihlal bildiriminin Kurumun yetki ve gorev alanı cercevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 23/12/2021 tarih ve 2021/1324 sayılı Kararı ile;
Veri sorumlusuna ait bir web uygulama sunucusu uzerindeki acık sebebiyle uygulama kurarak ve komut calıştırmak suretiyle sunucuya erişildiği, İhlalden 21.504.083 Yemeksepeti kullanıcısının etkilendiği, Etkilenen kişisel verilerin kullanıcı adı, adres, telefon numarası, e-posta adresi, şifre ve IP bilgileri olduğu, İhlalden etkilenen kişi sayısının cok fazla olması ve neredeyse tum muşteri veri tabanının dışarı sızdırıldığı dikkate alındığında ihlalin cok buyuk caplı olduğu, İhlalin boyutu, sızdırılan verinin buyukluğu ve sızdırılan kişisel verilerin niteliği dikkate alındığında, ihlalin ilgili kişiler acısından kişisel veriler uzerinde kontrol kaybı gibi onemli riskler oluşturacağı, Sisteme giren kişi ya da kişilerce, zararlı yazılım ve araclarla sisteme giriş yaptıktan sonra diğer sistemlere de erişilerek bilgi toplandığı, sisteme zararlı yazılımların yuklenip, calıştırılmasının veri sorumlusunca 8 gun boyunca fark edilemediği dolayısıyla bilişim ağlarında hangi yazılım ve servislerin calıştığının kontrol edilmesi ve bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi noktasında veri sorumlusunun kusurunun bulunduğu, 18.03.2021 tarihinden itibaren guvenlik yazılımlarında alarmlar oluştuğu, oluşan bu alarmların ucuncu parti firmalar tarafından izlenen urunlerde Yemek Sepeti Guvenlik Ekiplerine ilgili bildirimler yapılamadan ve gerekli aksiyonlar alınmadan kapatıldığının ifade edildiği, 25.03.2021 tarihinde iletilen alarmın Yemek Sepeti Guvenlik Ekiplerince incelenmesi sonucu siber saldırının farkına varıldığı dikkate alındığında bu durumun veri sorumlusunun hizmet aldığı ucuncu parti firmalar uzerinde etkin bir denetim mekanizmasının bulunmadığının ve guvenlik yazılımlarının takibi ile guvenlik prosedurlerinin kullanılması noktasında da eksiklerinin bulunduğunun gostergesi olduğu, Saldırganların veri sorumlusundan elde ettikleri veriyi Fransa ’da bulunan bir IP adresine/sunucuya ait lokasyona ilettiği, sistemden cıkan 28.2 GB ’lık verinin/dışarı giden trafiğin veri sorumlusu tarafından fark edilemediği ve bu veri trafiğinin firewall (guvenlik duvarı) uzerinde izlerinin olduğu dikkate alındığında; firewall uzerinde izlerin olmasına rağmen bu boyutta verinin dışarı sızdırılmasının fark edilememesinin veri sorumlusu tarafından guvenlik kontrolleri ve veri guvenliği takibinin duzgun bir şekilde yapılmadığının gostergesi olduğu, Acıklık bulunan sunucunun sızma testinden gecen bir sunucu olduğunun ifade edildiği dikkate alındığında bu durumun veri sorumlusu tarafından sızma testlerinin etkin bir şekilde yapılmadığını/yaptırılmadığını gosterdiği, Buyuk miktarda kişisel veri işleyen veri sorumlusunun bu boyutta bir ihlal yaşamasının ve mudahalede gec kalmasının mevcut risk ve tehditleri iyi belirlemediğinin gostergesi olduğu hususları dikkate alındığında, 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrası hukmu cercevesinde veri guvenliğini sağlamaya yonelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca ihlalin boyutu, kabahatin haksızlık iceriği, veri sorumlusunun kusuru ve ekonomik durumu da goz onunde bulundurularak 1.900.000 TL idari para cezası uygulanmasına
karar verilmiştir.
KVKK tarafından paylaşılan karara gore Yemeksepeti, 1 milyon 900 bin TL idari para cezasına carptırıldı.
[h=2]Saldırı hakkında tum detaylar paylaşıldı, Yemeksepeti sorumluluklarını yerine getirmemiş![/h]
KVKK tarafından yayımlanan kararın tamamı şu şekilde:
Veri ihlal bildiriminin Kurumun yetki ve gorev alanı cercevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 23/12/2021 tarih ve 2021/1324 sayılı Kararı ile;
Veri sorumlusuna ait bir web uygulama sunucusu uzerindeki acık sebebiyle uygulama kurarak ve komut calıştırmak suretiyle sunucuya erişildiği, İhlalden 21.504.083 Yemeksepeti kullanıcısının etkilendiği, Etkilenen kişisel verilerin kullanıcı adı, adres, telefon numarası, e-posta adresi, şifre ve IP bilgileri olduğu, İhlalden etkilenen kişi sayısının cok fazla olması ve neredeyse tum muşteri veri tabanının dışarı sızdırıldığı dikkate alındığında ihlalin cok buyuk caplı olduğu, İhlalin boyutu, sızdırılan verinin buyukluğu ve sızdırılan kişisel verilerin niteliği dikkate alındığında, ihlalin ilgili kişiler acısından kişisel veriler uzerinde kontrol kaybı gibi onemli riskler oluşturacağı, Sisteme giren kişi ya da kişilerce, zararlı yazılım ve araclarla sisteme giriş yaptıktan sonra diğer sistemlere de erişilerek bilgi toplandığı, sisteme zararlı yazılımların yuklenip, calıştırılmasının veri sorumlusunca 8 gun boyunca fark edilemediği dolayısıyla bilişim ağlarında hangi yazılım ve servislerin calıştığının kontrol edilmesi ve bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi noktasında veri sorumlusunun kusurunun bulunduğu, 18.03.2021 tarihinden itibaren guvenlik yazılımlarında alarmlar oluştuğu, oluşan bu alarmların ucuncu parti firmalar tarafından izlenen urunlerde Yemek Sepeti Guvenlik Ekiplerine ilgili bildirimler yapılamadan ve gerekli aksiyonlar alınmadan kapatıldığının ifade edildiği, 25.03.2021 tarihinde iletilen alarmın Yemek Sepeti Guvenlik Ekiplerince incelenmesi sonucu siber saldırının farkına varıldığı dikkate alındığında bu durumun veri sorumlusunun hizmet aldığı ucuncu parti firmalar uzerinde etkin bir denetim mekanizmasının bulunmadığının ve guvenlik yazılımlarının takibi ile guvenlik prosedurlerinin kullanılması noktasında da eksiklerinin bulunduğunun gostergesi olduğu, Saldırganların veri sorumlusundan elde ettikleri veriyi Fransa ’da bulunan bir IP adresine/sunucuya ait lokasyona ilettiği, sistemden cıkan 28.2 GB ’lık verinin/dışarı giden trafiğin veri sorumlusu tarafından fark edilemediği ve bu veri trafiğinin firewall (guvenlik duvarı) uzerinde izlerinin olduğu dikkate alındığında; firewall uzerinde izlerin olmasına rağmen bu boyutta verinin dışarı sızdırılmasının fark edilememesinin veri sorumlusu tarafından guvenlik kontrolleri ve veri guvenliği takibinin duzgun bir şekilde yapılmadığının gostergesi olduğu, Acıklık bulunan sunucunun sızma testinden gecen bir sunucu olduğunun ifade edildiği dikkate alındığında bu durumun veri sorumlusu tarafından sızma testlerinin etkin bir şekilde yapılmadığını/yaptırılmadığını gosterdiği, Buyuk miktarda kişisel veri işleyen veri sorumlusunun bu boyutta bir ihlal yaşamasının ve mudahalede gec kalmasının mevcut risk ve tehditleri iyi belirlemediğinin gostergesi olduğu hususları dikkate alındığında, 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrası hukmu cercevesinde veri guvenliğini sağlamaya yonelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca ihlalin boyutu, kabahatin haksızlık iceriği, veri sorumlusunun kusuru ve ekonomik durumu da goz onunde bulundurularak 1.900.000 TL idari para cezası uygulanmasına
karar verilmiştir.