Ki?isel Verileri Koruma Kurulu (KVKK), veri ihlali gerekçesiyle Yemek Sepeti Elektronik ?leti?im Perakende G?da Lojistik A?’ye 1,9 milyon TL ceza verdi.
KVKK’dan yap?lan aç?klamada “6698 say?l? Ki?isel Verilerin Korunmas? Kanununun 12’nci maddesinin (1) numaral? f?kras? hükmü çerçevesinde veri güvenli?ini sa?lamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakk?nda Kanunun 18’inci maddesinin (1) numaral? f?kras?n?n (b) bendi uyar?nca ihlalin boyutu, kabahatin haks?zl?k içeri?i, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak 1.900.000 TL idari para cezas? uygulanmas?na karar verilmi?tir” denildi.
KVKK’n?n aç?klamas? ?u ?edilde;
''Mart 2021’de Yemek Sepeti’ne ait bir web uygulama sunucusuna üzerindeki aç?k sebebiyle uygulama kurarak ve komut çal??t?rmak suretiyle eri?ildi?i,
?hlalden 21 milyon 504 bin 83 Yemek Sepeti kullan?c?s?n?n etkilendi?i,
Etkilenen ki?isel verilerin kullan?c? ad?, adres, telefon numaras?, e-posta adresi, ?ifre ve IP bilgileri oldu?u,
?hlalden etkilenen ki?i say?s?n?n çok fazla olmas? ve neredeyse tüm mü?teri veri taban?n?n d??ar? s?zd?r?ld??? dikkate al?nd???nda ihlalin çok büyük çapl? oldu?u,
?hlalin boyutu, s?zd?r?lan verinin büyüklü?ü ve s?zd?r?lan ki?isel verilerin niteli?i dikkate al?nd???nda, ihlalin ilgili ki?iler aç?s?ndan ki?isel veriler üzerinde kontrol kayb? gibi önemli riskler olu?turaca??,
Sisteme giren ki?i ya da ki?ilerce, zararl? yaz?l?m ve araçlarla sisteme giri? yapt?ktan sonra di?er sistemlere de eri?ilerek bilgi topland???, sisteme zararl? yaz?l?mlar?n yüklenip, çal??t?r?lmas?n?n veri sorumlusunca 8 gün boyunca fark edilemedi?i dolay?s?yla bili?im a?lar?nda hangi yaz?l?m ve servislerin çal??t???n?n kontrol edilmesi ve bili?im a?lar?nda s?zma veya olmamas? gereken bir hareket olup olmad???n?n belirlenmesi noktas?nda veri sorumlusunun kusurunun bulundu?u,
18.03.2021 tarihinden itibaren güvenlik yaz?l?mlar?nda alarmlar olu?tu?u, olu?an bu alarmlar?n üçüncü parti firmalar taraf?ndan izlenen ürünlerde Yemek Sepeti Güvenlik Ekiplerine ilgili bildirimler yap?lamadan ve gerekli aksiyonlar al?nmadan kapat?ld???n?n ifade edildi?i,
25.03.2021 tarihinde iletilen alarm?n Yemek Sepeti Güvenlik Ekiplerince incelenmesi sonucu siber sald?r?n?n fark?na var?ld??? dikkate al?nd???nda bu durumun veri sorumlusunun hizmet ald??? üçüncü parti firmalar üzerinde etkin bir denetim mekanizmas?n?n bulunmad???n?n ve güvenlik yaz?l?mlar?n?n takibi ile güvenlik prosedürlerinin kullan?lmas? noktas?nda da eksiklerinin bulundu?unun göstergesi oldu?u,
Sald?rganlar?n veri sorumlusundan elde ettikleri veriyi Fransa'da bulunan bir IP adresine/sunucuya ait lokasyona iletti?i, sistemden ç?kan 28.2 GB'l?k verinin/d??ar? giden trafi?in veri sorumlusu taraf?ndan fark edilemedi?i ve bu veri trafi?inin firewall (güvenlik duvar?) üzerinde izlerinin oldu?u dikkate al?nd???nda; firewall üzerinde izlerin olmas?na ra?men bu boyutta verinin d??ar? s?zd?r?lmas?n?n fark edilememesinin veri sorumlusu taraf?ndan güvenlik kontrolleri ve veri güvenli?i takibinin düzgün bir ?ekilde yap?lmad???n?n göstergesi oldu?u,
Aç?kl?k bulunan sunucunun s?zma testinden geçen bir sunucu oldu?unun ifade edildi?i dikkate al?nd???nda bu durumun veri sorumlusu taraf?ndan s?zma testlerinin etkin bir ?ekilde yap?lmad???n?/yapt?r?lmad???n? gösterdi?i,
Büyük miktarda ki?isel veri i?leyen veri sorumlusunun bu boyutta bir ihlal ya?amas?n?n ve müdahalede geç kalmas?n?n mevcut risk ve tehditleri iyi belirlemedi?inin göstergesi oldu?u belirlenmi?tir''