KVKK’dan 21 milyon kişinin verisini çaldıran Yemeksepeti’ne ceza!

18

Pandemi, günlük alışkanlıklarımızı değiştiriyor. Bir zamanlar fiziksel olarak yaptığımız pek çok işi bugünlerde mobil uygulamaları kullanarak gerçekleştiriyoruz. Özellikle yemek ve market alışverişi için kullanılan Yemeksepeti ve Getir gibi uygulamaların sayısı her geçen gün artıyor. Ancak bu durum bazı sorunları da beraberinde getiriyor.

Söz konusu uygulamaların ilk örneklerinden biri olan Yemeksepeti, popülaritesi nedeniyle sık sık siber suçluların hedefi oluyor. Son olarak geçtiğimiz aylarda kullanıcı verilerini çaldırdığı ortaya çıkan platform, KVKK tarafından cezalandırıldı. İşte ayrıntılar…

Yemeksepeti, 2021’in hızlı ticaret trendlerini açıkladı

Yemeksepeti, 1 milyon 900 bin TL ceza aldı

Geçtiğimiz Ekim ayında ortaya çıkan bir grup hacker, internette Yemeksepeti kullanıcılarına ait bilgileri satılığa çıkardı. Böylelikle milyonlarca kullanıcıya ait açık adres, isim-soyisim, telefon numarası gibi kişisel verilerin çalındığı ortaya çıktı.

Hemen ardından ise Kişisel Verileri Koruma Kurumu (KVKK), şirket hakkında soruşturma başlattı. Nihayet süreci tamamlayan kurum, sunuculara sızıldığını tespit ederek Yemeksepeti’ne 1 milyon 900 bin TL ceza kesti. Toplam kişisel bilgilerine erişilen kullanıcı sayısı ise 21 milyon 504 bin 83 kişi. İşte KVKK’nın konuyla ilgili tüm tespitleri…

  • Veri sorumlusuna ait bir web uygulama sunucusu üzerindeki açık sebebiyle uygulama kurarak ve komut çalıştırmak suretiyle sunucuya erişildiği,
  • İhlalden 21.504.083 Yemeksepeti kullanıcısının etkilendiği,
  • Etkilenen kişisel verilerin kullanıcı adı, adres, telefon numarası, e-posta adresi, şifre ve IP bilgileri olduğu,
  • İhlalden etkilenen kişi sayısının çok fazla olması ve neredeyse tüm müşteri veri tabanının dışarı sızdırıldığı dikkate alındığında ihlalin çok büyük çaplı olduğu,
  • İhlalin boyutu, sızdırılan verinin büyüklüğü ve sızdırılan kişisel verilerin niteliği dikkate alındığında, ihlalin ilgili kişiler açısından kişisel veriler üzerinde kontrol kaybı gibi önemli riskler oluşturacağı,
  • Sisteme giren kişi ya da kişilerce, zararlı yazılım ve araçlarla sisteme giriş yaptıktan sonra diğer sistemlere de erişilerek bilgi toplandığı, sisteme zararlı yazılımların yüklenip, çalıştırılmasının veri sorumlusunca 8 gün boyunca fark edilemediği dolayısıyla bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi ve bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi noktasında veri sorumlusunun kusurunun bulunduğu,
  • 18.03.2021 tarihinden itibaren güvenlik yazılımlarında alarmlar oluştuğu, oluşan bu alarmların üçüncü parti firmalar tarafından izlenen ürünlerde Yemek Sepeti Güvenlik Ekiplerine ilgili bildirimler yapılamadan ve gerekli aksiyonlar alınmadan kapatıldığının ifade edildiği, 25.03.2021 tarihinde iletilen alarmın Yemek Sepeti Güvenlik Ekiplerince incelenmesi sonucu siber saldırının farkına varıldığı dikkate alındığında bu durumun veri sorumlusunun hizmet aldığı üçüncü parti firmalar üzerinde etkin bir denetim mekanizmasının bulunmadığının ve güvenlik yazılımlarının takibi ile güvenlik prosedürlerinin kullanılması noktasında da eksiklerinin bulunduğunun göstergesi olduğu,
  • Saldırganların veri sorumlusundan elde ettikleri veriyi Fransa’da bulunan bir IP adresine/sunucuya ait lokasyona ilettiği, sistemden çıkan 28.2 GB’lık verinin/dışarı giden trafiğin veri sorumlusu tarafından fark edilemediği ve bu veri trafiğinin firewall (güvenlik duvarı) üzerinde izlerinin olduğu dikkate alındığında; firewall üzerinde izlerin olmasına rağmen bu boyutta verinin dışarı sızdırılmasının fark edilememesinin veri sorumlusu tarafından güvenlik kontrolleri ve veri güvenliği takibinin düzgün bir şekilde yapılmadığının göstergesi olduğu,
  • Açıklık bulunan sunucunun sızma testinden geçen bir sunucu olduğunun ifade edildiği dikkate alındığında bu durumun veri sorumlusu tarafından sızma testlerinin etkin bir şekilde yapılmadığını/yaptırılmadığını gösterdiği, 
  • Büyük miktarda kişisel veri işleyen veri sorumlusunun bu boyutta bir ihlal yaşamasının ve müdahalede geç kalmasının mevcut risk ve tehditleri iyi belirlemediğinin göstergesi olduğu 

Peki siz bu konu hakkında neler düşünüyorsunuz? KVKK’nın kestiği ceza, firmanın daha fazla önlem alması için yeterli olacak mı? Görüşlerinizi yorumlar kısmında ya da SDN Forum‘da bizimle paylaşabilirsiniz.

18 YORUMLAR

        • Doğrudur ama sonuçta tek hacklenen onlar değil ki. Dünyaca ünlü şirketler bile hackleniyor. Bütün bilgilerimiz adamlarda var zaten. Mesela Facebook’un dolayısıyla WhatsApp ve Instagram’ın bilgilerimizi işlemediğini kullanmadığını mı düşünüyorsun? O yüzden ya hiç internet kullanmamak lazım ya da bunlara bu kadar tepki vermemek lâzım.

  1. evet devletin adımıza çıkardığı kişisel bilgileri koruma kanununa göre bir kişinin kişisel bilgilerinin ederi 10 kuruşmuş. çıkaracağınız yasa batsın bu ne saçmalık. sonra saçma sapan gece gündüz telefonlarımıza reklam mesajları gelmeye başlıyor bu gibi durumlar yüzünden. ben devlete 1 lira vereyim yasa var demekten vazgeçsin. en azından rahat rahat satarlar bilgilerimizi.

  2. O kadar müşterisi olan bir kuruluş üç kuruş için veri satmaz.Arkasında başka dolaplar var bunun .Veri demişken şimdi yazdığımız mesajlar bile ABD tarafından kayıt altına alınıp depolanıyor bir yerlerde parmak izimiz resmimiz konuşmalarımız sohbetlerimiz video kaydımız şifrelerimiz …hepsi bir tıklık bir yerde duruyor

CEVAP VER

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz

Exit mobile version