Kişisel Verileri Koruma Kurulu (KVKK), yemek sipariş portalı Yemeksepeti’ne siber saldırının ardından veri ihlali gerekçesiyle inceleme başlattı.
İhlal 18 Mart’ta şüphe yaratmış, 25 Mart’ta tespit edilmiş. Ancak şirket 21 milyon 504 bin 83 kişinin etkilendiği ihlali 27 Mart’ta kamuoyuna duyurmuştu.
Şirketin açıklamasında siber korsanların saldırısı sonucunda veri tabanındaki kullanıcı bilgilerinin bir bölümünün ele geçirildiğini duyurmuştu.
Ele geçirilen bilgiler şöyle: “Ad-soyad, doğum tarihi, Yemeksepeti’ne kayıtlı telefon numarası, e-posta adresi, adres bilgisi, açık olarak görülemeyen SHA-256 algoritmasıyla maskelenmiş giriş şifreleri.”
Kredi kartı ya da finansal veriler ele geçirilmedi. Şirketin kredi kartı saklama hizmeti veri sorumlusundan bağımsız Mastercard tarafından sağlanıyor.
Aksaklık nedeniyle yetkisiz erişim fark edilmemiş
Yemeksepeti’nden, Kişisel Verilerin Korunması Kanunu’nun ilgili maddeleri gereğince KVKK’ye yapılan bildirimde, 18 Mart’ta kimliği veri sorumlusunca belirlenemeyen şahıs ya da şahıslarca şirkete ait bir web uygulama sunucusuna erişildiği belirtildi.
Bildirime göre yetkisiz bir erişim olduğunda uyarı veren araç üzerinde sorun kaydı oluştu, ancak bir aksaklık nedeniyle yetkisiz erişim o an fark edilemedi. 25 Mart’ta gelen alarmlar incelendiğinde şüpheli davranış belirlendi.
Yemeksepeti’ne ait bir web uygulama sunucusu üzerinde açıklık bulundu. Bu açıklıktan yararlanılarak uygulama kuruldu ve komut çalıştırılmak suretiyle sunucuya erişilebildi.
Saldırıyı yapanlar tarafından sunucu üzerinde kullanıcı oluşturularak veri toplanmaya çalışıldı. Uzaktaki sunuculara trafik gönderildi. İhlalden 21 milyon 504 bin 83 kişinin etkilendi.
Bildirimde, ilgili kişilerin ihlalle ilgili ‘info@yemeksepeti.com’ elektronik posta adresi üzerinden bilgi alabileceği ifade edildi.
Kişisel Verileri Koruma Kurulu konuyu gündem toplantısında görüştü. Kurul, Yemeksepeti hakkında veri ihlali nedeniyle inceleme başlattı.