Mezopotamya
New member
şahsi Dataları Muhafaza Konseyi (KVKK), müşteri ayrıntılarının çalındığı ileri sürülen “Yemeksepeti”ne bilgi ihlali niçiniyle 1 milyon 900 bin lira idari para cezası uygulanmasına karar verdi.
KVKK’nin internet sitesinde yer alan kararda, Yemeksepeti’ne ait data ihlali bildiriminin 6698 sayılı şahsi Dataların Korunması Kanunu mucibince incelenerek sonuçlandırıldığı söz edildi.
Kararda data sorumlusu şirkete ilişkin web uygulama sunucusuna, sunucudaki açık sebebiyle uygulama kurarak ve komut çalıştırmak suretiyle erişildiği, bu ihlalden 21 milyondan fazla kullanıcının etkilendiği kaydedildi.
Kullanıcı ismi, adres, telefon numarası, e-posta adresi, şifre ve IP detaylarıne yönelik erişim ihlalinden etkilenen kişi sayısının fazlaca fazla olması ve neredeyse tüm müşteri data tabanının sızdırılmış bulunması dikkate alındığında ihlalin epey büyük çaplı olduğu söz edildi.
KVKK, ihlalin boyutu, sızdırılan datanın büyüklüğü ve sızdırılan şahsi bilgilerin niteliği dikkate alındığında, bunun ilgili şahıslar açısından şahsi bilgiler üzerinde denetim kaybı üzere değerli riskler oluşturacağını bildirdi.
Ziyanlı yazılım 8 gün fark edilemedi
Kelam konusu ihlalde bilgi sorumlusunun kusurunun bulunduğu belirtilen kararda, “Sisteme giren kişi ya da bireylerce, ziyanlı yazılım ve araçlarla sisteme giriş yaptıktan daha sonra öbür sistemlere de erişilerek bilgi toplandığı, sisteme ziyanlı yazılımların yüklenip çalıştırılmasının data sorumlusunca 8 gün boyunca fark edilemediği, ötürüsıyla bilişim ağlarında hangi yazılım ve servislerin çalıştığının denetim edilmesi ve bilişim ağlarında sızma yahut olmaması gereken bir hareket olup olmadığının belirlenmesi noktasında bilgi sorumlusunun kusurunun bulunduğu anlaşılmıştır.” denildi.
Yemek Sepeti güvenlik gruplarınca yapılan inceleme kararı siber atağın farkına varıldığı tabir edilen kararda, bu durumun data sorumlusunun hizmet aldığı üçüncü parti firmalar üzerinde aktif bir kontrol sisteminin bulunmadığı ve güvenlik yazılımlarının takibi ile güvenlik prosedürlerinin kullanılması noktasındaki eksikleri gösterdiği kaydedildi.
Saldırganların data sorumlusundan elde ettikleri datayı Fransa’da bulunan bir IP adresine/sunucuya ilişkin lokasyona ilettiği, sistemden çıkan 28,2 GB’lık bilgi ya da dışarı giden trafiğin, data sorumlusu tarafınca fark edilemediği belirtilen kararda, bunun da güvenlik denetimleri ve bilgi güvenliği takibinin bilgi sorumlusu tarafınca düzgün biçimde yapılmadığının göstergesi olduğu anlatıldı.
Bilgi sorumlusu kusurlu bulundu
Açıklık bulunan sunucunun “sızma testinden geçen bir sunucu” olduğuna işaret edilen kararda bunun, bilgi sorumlusu tarafınca sızma testlerinin aktif biçimde yapılmadığını/yaptırılmadığını ortaya koyduğu vurgulandı.
Kararda şu tabirler yer aldı: “Büyük ölçüde şahsi bilgi işleyen bilgi sorumlusunun bu boyutta bir ihlal yaşamasının ve müdahalede geç kalmasının mevcut risk ve tehditleri yeterli belirlemediğinin göstergesi olduğu konuları dikkate alındığında, 6698 sayılı şahsi Bilgilerin Korunması Kanunu’nun 12’nci unsurunun (1) numaralı fıkrası kararı çerçevesinde bilgi güvenliğini sağlamaya yönelik gerekli teknik ve idari önlemleri almayan data sorumlusu hakkında, kanunun 18’inci unsurunun (1) numaralı fıkrasının (b) bendi uyarınca ihlalin boyutu, kabahatin haksızlık içeriği, bilgi sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak 1 milyon 900 bin lira idari para cezası uygulanmasına karar verilmiştir.”
KVKK’nin internet sitesinde yer alan kararda, Yemeksepeti’ne ait data ihlali bildiriminin 6698 sayılı şahsi Dataların Korunması Kanunu mucibince incelenerek sonuçlandırıldığı söz edildi.
Kararda data sorumlusu şirkete ilişkin web uygulama sunucusuna, sunucudaki açık sebebiyle uygulama kurarak ve komut çalıştırmak suretiyle erişildiği, bu ihlalden 21 milyondan fazla kullanıcının etkilendiği kaydedildi.
Kullanıcı ismi, adres, telefon numarası, e-posta adresi, şifre ve IP detaylarıne yönelik erişim ihlalinden etkilenen kişi sayısının fazlaca fazla olması ve neredeyse tüm müşteri data tabanının sızdırılmış bulunması dikkate alındığında ihlalin epey büyük çaplı olduğu söz edildi.
KVKK, ihlalin boyutu, sızdırılan datanın büyüklüğü ve sızdırılan şahsi bilgilerin niteliği dikkate alındığında, bunun ilgili şahıslar açısından şahsi bilgiler üzerinde denetim kaybı üzere değerli riskler oluşturacağını bildirdi.
Ziyanlı yazılım 8 gün fark edilemedi
Kelam konusu ihlalde bilgi sorumlusunun kusurunun bulunduğu belirtilen kararda, “Sisteme giren kişi ya da bireylerce, ziyanlı yazılım ve araçlarla sisteme giriş yaptıktan daha sonra öbür sistemlere de erişilerek bilgi toplandığı, sisteme ziyanlı yazılımların yüklenip çalıştırılmasının data sorumlusunca 8 gün boyunca fark edilemediği, ötürüsıyla bilişim ağlarında hangi yazılım ve servislerin çalıştığının denetim edilmesi ve bilişim ağlarında sızma yahut olmaması gereken bir hareket olup olmadığının belirlenmesi noktasında bilgi sorumlusunun kusurunun bulunduğu anlaşılmıştır.” denildi.
Yemek Sepeti güvenlik gruplarınca yapılan inceleme kararı siber atağın farkına varıldığı tabir edilen kararda, bu durumun data sorumlusunun hizmet aldığı üçüncü parti firmalar üzerinde aktif bir kontrol sisteminin bulunmadığı ve güvenlik yazılımlarının takibi ile güvenlik prosedürlerinin kullanılması noktasındaki eksikleri gösterdiği kaydedildi.
Saldırganların data sorumlusundan elde ettikleri datayı Fransa’da bulunan bir IP adresine/sunucuya ilişkin lokasyona ilettiği, sistemden çıkan 28,2 GB’lık bilgi ya da dışarı giden trafiğin, data sorumlusu tarafınca fark edilemediği belirtilen kararda, bunun da güvenlik denetimleri ve bilgi güvenliği takibinin bilgi sorumlusu tarafınca düzgün biçimde yapılmadığının göstergesi olduğu anlatıldı.
Bilgi sorumlusu kusurlu bulundu
Açıklık bulunan sunucunun “sızma testinden geçen bir sunucu” olduğuna işaret edilen kararda bunun, bilgi sorumlusu tarafınca sızma testlerinin aktif biçimde yapılmadığını/yaptırılmadığını ortaya koyduğu vurgulandı.
Kararda şu tabirler yer aldı: “Büyük ölçüde şahsi bilgi işleyen bilgi sorumlusunun bu boyutta bir ihlal yaşamasının ve müdahalede geç kalmasının mevcut risk ve tehditleri yeterli belirlemediğinin göstergesi olduğu konuları dikkate alındığında, 6698 sayılı şahsi Bilgilerin Korunması Kanunu’nun 12’nci unsurunun (1) numaralı fıkrası kararı çerçevesinde bilgi güvenliğini sağlamaya yönelik gerekli teknik ve idari önlemleri almayan data sorumlusu hakkında, kanunun 18’inci unsurunun (1) numaralı fıkrasının (b) bendi uyarınca ihlalin boyutu, kabahatin haksızlık içeriği, bilgi sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak 1 milyon 900 bin lira idari para cezası uygulanmasına karar verilmiştir.”