Geçtiğimiz aylarda milyonlarca kullanıcı verilerini sızdıran Yemeksepetii’nin cezası açıklandı. Söz konusu ceza KVKK tarafından geldi.
Kullanıcı Verilerini Sızdıran Yemeksepeti’nin Cezası Açıklandı!
Hayatımıza internet girdiğinden beri günlük yaşantımız da etkilendi. İnternetin olmadığı zamanlarda yemeğimizi dışardan bizzat alıp evimizde yerken artık internet üzerinden siparişle evimize getirebiliyoruz. Özellikle de pandemi dönemiyle birlikte bu alışkanlık daha çok arttı. Ancak bu durum bazı sorunları da beraberinde getirmekte. Örnek olarak Yemeksepeti adlı platform, popüler olması sebebiyle sıkça siber suçluların hedefi olmakta. Son olarak geçtiğimiz aylarda kullanıcı verilerini çaldırdığı açıklanan platform, KVKK tarafından cezalandırılmakta.
Geçtiğimiz Ekim ayında saldırı yapan bir grup hacker, internette Yemeksepeti kullanıcılarına ait bilgileri satılığa çıkardı. Bu sayede milyonlarca kullanıcıya ait açık adres, isim-soyisim, telefon numarası gibi kişisel verilerin çalındığı öğrenilmekte. Daha sonra ise Kişisel Verileri Koruma Kurumu (KVKK), şirket hakkında soruşturma başlattı. Süreci sonlanan kurum, sunuculara sızıldığını tespit ederek Yemeksepeti’ne 1 milyon 900 bin TL ceza kesti. Toplam kişisel bilgilerine erişilen kullanıcı sayısı ise 21 milyon 504 bin 83 kişi.
İşte KVKK’nın Konuyla İlgili Tespitleri:
- Veri sorumlusuna ait bir web uygulama sunucusu üzerindeki açık sebebiyle uygulama kurarak ve komut çalıştırmak suretiyle sunucuya erişildiği,
- İhlalden 21.504.083 Yemeksepeti kullanıcısının etkilendiği,
- Etkilenen kişisel verilerin kullanıcı adı, adres, telefon numarası, e-posta adresi, şifre ve IP bilgileri olduğu,
- İhlalden etkilenen kişi sayısının çok fazla olması ve neredeyse tüm müşteri veri tabanının dışarı sızdırıldığı dikkate alındığında ihlalin çok büyük çaplı olduğu,
- İhlalin boyutu, sızdırılan verinin büyüklüğü ve sızdırılan kişisel verilerin niteliği dikkate alındığında, ihlalin ilgili kişiler açısından kişisel veriler üzerinde kontrol kaybı gibi önemli riskler oluşturacağı,
- 18.03.2021 tarihinden itibaren güvenlik yazılımlarında alarmlar oluştuğu. Oluşan bu alarmların üçüncü parti firmalar tarafından izlenen ürünlerde Yemek Sepeti Güvenlik Ekiplerine ilgili bildirimler yapılamadan ve gerekli aksiyonlar alınmadan kapatıldığının ifade edildiği. 25.03.2021 tarihinde iletilen alarmın Yemek Sepeti Güvenlik Ekiplerince incelenmesi sonucu siber saldırının farkına varıldığı dikkate alındığında bu durumun veri sorumlusunun hizmet aldığı üçüncü parti firmalar üzerinde etkin bir denetim mekanizmasının bulunmadığının ve güvenlik yazılımlarının takibi ile güvenlik prosedürlerinin kullanılması noktasında da eksiklerinin bulunduğunun göstergesi olduğu,
- Açıklık bulunan sunucunun sızma testinden geçen bir sunucu olduğunun ifade edildiği dikkate alındığında bu durumun veri sorumlusu tarafından sızma testlerinin etkin bir şekilde yapılmadığını/yaptırılmadığını gösterdiği,
- Büyük miktarda kişisel veri işleyen veri sorumlusunun bu boyutta bir ihlal yaşamasının. Ayrıca müdahalede geç kalmasının mevcut risk ve tehditleri iyi belirlemediğinin göstergesi olduğu
Peki siz bu haber hakkında ne düşünmektesiniz? Ayrıca verilen cezayı uygun bulmakta mısınız? Ek olarak alt kısımdan yorum yaparak bizlerle ve diğer okurlarımızla fikirlerinizi paylaşabilirsiniz.