Ekonomi

Yemeksepeti’ne 1 milyon 900 bin lira ceza

Ferdî Bilgileri Müdafaa Şurası (KVKK), müşteri bilgilerinin çalındığı ileri sürülen “Yemeksepeti”ne data ihlali nedeniyle 1 milyon 900 bin lira idari para cezası uygulanmasına karar verdi.

KVKK’nin internet sitesinde yer alan kararda, Yemeksepeti’ne ait bilgi ihlali bildiriminin 6698 sayılı Ferdî Dataların Korunması Kanunu yeterince incelenerek sonuçlandırıldığı söz edildi.

Kararda bilgi sorumlusu şirkete ilişkin web uygulama sunucusuna, sunucudaki açık sebebiyle uygulama kurarak ve komut çalıştırmak suretiyle erişildiği, bu ihlalden 21 milyondan fazla kullanıcının etkilendiği kaydedildi.

Kullanıcı ismi, adres, telefon numarası, e-posta adresi, şifre ve IP bilgilerine yönelik erişim ihlalinden etkilenen kişi sayısının çok fazla olması ve neredeyse tüm müşteri data tabanının sızdırılmış bulunması dikkate alındığında ihlalin çok büyük çaplı olduğu tabir edildi.

KVKK, ihlalin boyutu, sızdırılan bilginin büyüklüğü ve sızdırılan şahsî bilgilerin niteliği dikkate alındığında, bunun ilgili şahıslar açısından şahsî bilgiler üzerinde denetim kaybı üzere kıymetli riskler oluşturacağını bildirdi.

Ziyanlı yazılım 8 gün fark edilemedi

Kelam konusu ihlalde bilgi sorumlusunun kusurunun bulunduğu belirtilen kararda, “Sisteme giren kişi ya da şahıslarca, ziyanlı yazılım ve araçlarla sisteme giriş yaptıktan sonra öteki sistemlere de erişilerek bilgi toplandığı, sisteme ziyanlı yazılımların yüklenip çalıştırılmasının data sorumlusunca 8 gün boyunca fark edilemediği, münasebetiyle bilişim ağlarında hangi yazılım ve servislerin çalıştığının denetim edilmesi ve bilişim ağlarında sızma yahut olmaması gereken bir hareket olup olmadığının belirlenmesi noktasında bilgi sorumlusunun kusurunun bulunduğu anlaşılmıştır.” denildi.

Yemek Sepeti güvenlik takımlarınca yapılan inceleme sonucu siber akının farkına varıldığı tabir edilen kararda, bu durumun bilgi sorumlusunun hizmet aldığı üçüncü parti firmalar üzerinde faal bir kontrol sisteminin bulunmadığı ve güvenlik yazılımlarının takibi ile güvenlik prosedürlerinin kullanılması noktasındaki eksikleri gösterdiği kaydedildi.

Saldırganların bilgi sorumlusundan elde ettikleri datayı Fransa’da bulunan bir IP adresine/sunucuya ilişkin lokasyona ilettiği, sistemden çıkan 28,2 GB’lık bilgi ya da dışarı giden trafiğin, bilgi sorumlusu tarafından fark edilemediği belirtilen kararda, bunun da güvenlik denetimleri ve bilgi güvenliği takibinin data sorumlusu tarafından düzgün formda yapılmadığının göstergesi olduğu anlatıldı.

Data sorumlusu kusurlu bulundu

Açıklık bulunan sunucunun “sızma testinden geçen bir sunucu” olduğuna işaret edilen kararda bunun, data sorumlusu tarafından sızma testlerinin faal formda yapılmadığını/yaptırılmadığını ortaya koyduğu vurgulandı.

Kararda şu tabirler yer aldı: “Büyük ölçüde ferdî bilgi işleyen bilgi sorumlusunun bu boyutta bir ihlal yaşamasının ve müdahalede geç kalmasının mevcut risk ve tehditleri düzgün belirlemediğinin göstergesi olduğu konuları dikkate alındığında, 6698 sayılı Ferdî Bilgilerin Korunması Kanunu’nun 12’nci hususunun (1) numaralı fıkrası kararı çerçevesinde bilgi güvenliğini sağlamaya yönelik gerekli teknik ve idari önlemleri almayan data sorumlusu hakkında, kanunun 18’inci unsurunun (1) numaralı fıkrasının (b) bendi uyarınca ihlalin boyutu, kabahatin haksızlık içeriği, data sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak 1 milyon 900 bin lira idari para cezası uygulanmasına karar verilmiştir.”

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu