Kişisel Verileri Koruma Kurulu (KVKK), 21 milyonu aşkın müşterinin bilgisini çaldıran Yemeksepeti'ne veri ihlali nedeniyle 1 milyon 900 bin lira idari para cezası uygulanmasına karar verdi.
Söz konusu kararla, Yemeksepeti'nin 21 milyonu aşkın müşterisinin bilgilerini çaldırdığı kesinleşmiş oldu.
ŞİRKETE AİT ANA SUNUCU ELE GEÇİRİLDİ
KVKK'nin internet sitesinde yer alan kararda, verilerin nasıl çalındığı da anlatıldı.
Yemeksepeti'ne ilişkin veri ihlali bildiriminin 6698 sayılı Kişisel Verilerin Korunması Kanunu gereğince incelenerek sonuçlandırıldığı ifade edilirken, kuruma 2 milyona yakın para cezası kesildiği kaydedildi.
Kararda veri sorumlusu şirkete ait web uygulama sunucusuna, sunucudaki açık sebebiyle uygulama kurarak ve komut çalıştırmak suretiyle erişildiği, bu ihlalden 21 milyondan fazla kullanıcının etkilendiği kaydedildi.
TÜM MÜŞTERİ TABANI SIZDIRILDI
Kullanıcı adı, adres, telefon numarası, e-posta adresi, şifre ve IP bilgilerine yönelik erişim ihlalinden etkilenen kişi sayısının çok fazla olması ve neredeyse tüm müşteri veri tabanının sızdırılmış bulunması dikkate alındığında ihlalin çok büyük çaplı olduğu ifade edildi.
KVKK, ihlalin boyutu, sızdırılan verinin büyüklüğü ve sızdırılan kişisel verilerin niteliği dikkate alındığında, bunun ilgili kişiler açısından kişisel veriler üzerinde kontrol kaybı gibi önemli riskler oluşturacağını vurguladı.
YEMEKSEPETİ 8 GÜN BOYUNCA FARK ETMEDİ
Söz konusu ihlalde veri sorumlusunun kusurunun bulunduğu belirtilen kararda, "Sisteme giren kişi ya da kişilerce, zararlı yazılım ve araçlarla sisteme giriş yaptıktan sonra diğer sistemlere de erişilerek bilgi toplandığı, sisteme zararlı yazılımların yüklenip çalıştırılmasının veri sorumlusunca 8 gün boyunca fark edilemediği, dolayısıyla bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi ve bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi noktasında veri sorumlusunun kusurunun bulunduğu anlaşılmıştır" ifadeleri yer aldı.
