KVKKnin internet sitesinde yer alan kararda, Yemeksepetine ilikin veri ihlali bildiriminin 6698 sayl Kiisel Verilerin Korunmas Kanunu gereince incelenerek sonuçlandrld ifade edildi.
Kararda veri sorumlusu irkete ait web uygulama sunucusuna, sunucudaki açk sebebiyle uygulama kurarak ve komut çaltrmak suretiyle eriildii, bu ihlalden 21 milyondan fazla kullancnn etkilendii kaydedildi.
Kullanc ad, adres, telefon numaras, e-posta adresi, ifre ve IP bilgilerine yönelik eriim ihlalinden etkilenen kii saysnn çok fazla olmas ve neredeyse tüm müteri veri tabannn szdrlm bulunmas dikkate alndnda ihlalin çok büyük çapl olduu ifade edildi.
KVKK, ihlalin boyutu, szdrlan verinin büyüklüü ve szdrlan kiisel verilerin nitelii dikkate alndnda, bunun ilgili kiiler açsndan kiisel veriler üzerinde kontrol kayb gibi önemli riskler oluturacan bildirdi.
Söz konusu ihlalde veri sorumlusunun kusurunun bulunduu belirtilen kararda, Sisteme giren kii ya da kiilerce, zararl yazlm ve araçlarla sisteme giri yaptktan sonra dier sistemlere de eriilerek bilgi topland, sisteme zararl yazlmlarn yüklenip çaltrlmasnn veri sorumlusunca 8 gün boyunca fark edilemedii, dolaysyla biliim alarnda hangi yazlm ve servislerin çaltnn kontrol edilmesi ve biliim alarnda szma veya olmamas gereken bir hareket olup olmadnn belirlenmesi noktasnda veri sorumlusunun kusurunun bulunduu anlalmtr. denildi.
VER HLAL CEZASI
Yemek Sepeti güvenlik ekiplerince yaplan inceleme sonucu siber saldrnn farkna varld ifade edilen kararda, bu durumun veri sorumlusunun hizmet ald üçüncü parti firmalar üzerinde etkin bir denetim mekanizmasnn bulunmad ve güvenlik yazlmlarnn takibi ile güvenlik prosedürlerinin kullanlmas noktasndaki eksikleri gösterdii kaydedildi.
Saldrganlarn veri sorumlusundan elde ettikleri veriyi Fransada bulunan bir IP adresine/sunucuya ait lokasyona ilettii, sistemden çkan 28,2 GBlk veri ya da dar giden trafiin, veri sorumlusu tarafndan fark edilemedii belirtilen kararda, bunun da güvenlik kontrolleri ve veri güvenlii takibinin veri sorumlusu tarafndan düzgün ekilde yaplmadnn göstergesi olduu anlatld.
Açklk bulunan sunucunun szma testinden geçen bir sunucu olduuna iaret edilen kararda bunun, veri sorumlusu tarafndan szma testlerinin etkin ekilde yaplmadn/yaptrlmadn ortaya koyduu vurguland.