Kişisel Verileri Koruma Kurulu (KVKK), müşteri bilgilerinin çalındığı ileri sürülen Yemeksepeti’ne veri ihlali nedeniyle 1 milyon 900 bin lira idari para cezası uygulanmasına karar verdi.
KVKK’nın internet sitesinde yer alan kararda, Yemeksepeti’ne ilişkin veri ihlali bildiriminin 6698 sayılı Kişisel Verilerin Korunması Kanunu gereğince incelenerek sonuçlandırıldığı ifade edildi. Veri sorumlusu şirkete ait web uygulama sunucusuna, sunucudaki açık sebebiyle uygulama kurarak ve komut çalıştırmak suretiyle erişildiği, bu ihlalden 21 milyondan fazla kullanıcının etkilendiği kaydedildi.
Kullanıcı adı, adres, telefon numarası, e-posta adresi, şifre ve IP bilgilerine yönelik erişim ihlalinden etkilenen kişi sayısının çok fazla olması ve neredeyse tüm müşteri veri tabanının sızdırılmış bulunması dikkate alındığında ihlalin çok büyük çaplı olduğunun altı çizildi.
Sekiz gün boyunca fark edilmemiş
Söz konusu ihlalde veri sorumlusunun kusurunun bulunduğu belirtilen kararda şu ifadelere yer verildi: “Sisteme giren kişi ya da kişilerce, zararlı yazılım ve araçlarla giriş yaptıktan sonra diğer sistemlere de erişilerek bilgi toplandığı, sisteme zararlı yazılımların yüklenip çalıştırılmasının veri sorumlusunca sekiz gün boyunca fark edilemediği, dolayısıyla bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi ve bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi noktasında veri sorumlusunun kusurunun bulunduğu anlaşılmıştır.”
Karara göre Yemek Sepeti güvenlik ekiplerince yapılan inceleme sonucu siber saldırının farkına varıldığı ifade edilen kararda, bu durumun veri sorumlusunun hizmet aldığı üçüncü parti firmalar üzerinde etkin bir denetim mekanizmasının bulunmadığı ve güvenlik yazılımlarının takibi ve güvenlik prosedürlerinin kullanılması noktasında eksikleri gösterdiği kaydedildi.
Fransa’daki bir IP adresine iletilmiş
Karara göre saldırganlar veri sorumlusundan elde ettikleri veriyi Fransa’da bulunan bir IP adresine/sunucuya ait lokasyona iletti, sistemden çıkan 28,2 GB’lık veri ya da dışarı giden trafik, veri sorumlusu tarafından fark edilemedi. Bu da güvenlik kontrolleri ve veri güvenliği takibinin veri sorumlusu tarafından düzgün şekilde yapılmadığının göstergesi.
Açıklık bulunan sunucu ‘sızma testinden geçen bir sunucu’ydu. Bu da veri sorumlusu tarafından sızma testlerinin etkin şekilde yapılmadığını/yaptırılmadığını ortaya koydu.
Kararda şu ifadeler yer aldı: “Büyük miktarda kişisel veri işleyen veri sorumlusunun bu boyutta bir ihlal yaşamasının ve müdahalede geç kalmasının mevcut risk ve tehditleri iyi belirlemediğinin göstergesi olduğu hususları dikkate alındığında, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12’nci maddesinin (1) numaralı fıkrası hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında, kanunun 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca ihlalin boyutu, kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak 1 milyon 900 bin lira idari para cezası uygulanmasına karar verilmiştir.”