KVKK’dan Dev Ceza: Kullanıcıların Verilerinin Sızdırıldığı Gerekçesiyle Yemeksepetine Verilen Para Cezası Açıklandı!
Kişisel Verileri Koruma Kurulu (KVKK), müşterilerin kişisel verilerinin çalındığı ifade edilen Yemek Sepeti’ne veri ihlali yaptığı gerekçesiyle 1 milyon 900 bin lira para cezası uygulandı.
Türkiye’nin online sipariş uygulaması olan Yemek Sepeti’ne yönelik yapılan siber saldırıda müşterilerin kullanıcı adı, adres, telefon numarası, e-posta adresi, şifre ve IP bilgileri içeriklerinin erişim ihlalinden etkilenen kişi sayısının çok fazla olduğu belirtilmişti.
KVKK’nın internet sitesinde yayınladığı kararda, online sipariş uygulaması Yemek Sepeti’ne yönelik veri ihlali bildiriminin Kişisel Verilerin Korunması Kanunu gereğince incelenerek sonuçlandırıldığı ifadelerine yer verildi.
21 MİLYONDAN FAZLA KİŞİNİN BİLGİLERİNE ULAŞILDI
İnternet sitesinde yer alan kararda, Yemek Sepeti’ndeki açıktan kaynaklı olarak komut çalıştırmak suretiyle erişildiği, bu ihlalden dolayı da 21 milyon kişiden fazla kullanıcının bilgilerine ulaşıldığı kaydedildi.
Uygulamaya yönelik düzenlenen siber saldırıda müşterilerin kullanıcı adı, adres, telefon numarası, e-posta adresi, şifre ve IP bilgileri içeriklerinin erişim ihlalinden etkilenen kişi sayısı dikkate alındığında bu ihlalin büyük çaplı olduğu bildirildi.
Kişisel Verileri Koruma Kurulu (KVKK)’nın internet sitesi üzerinden aktardığı söz konusu ihlalde veri sorumlusunun kusurlu bulunduğu belirtilerek şu ifadelere yer verildi; ‘Sisteme giren kişi ya da kişilerce, zararlı yazılım ve araçlarla sisteme giriş yaptıktan sonra diğer sistemlere de erişilerek bilgi toplandığı, sisteme zararlı yazılımların yüklenip çalıştırılmasının veri sorumlusunca 8 gün boyunca fark edilemediği, dolayısıyla bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi ve bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi noktasında veri sorumlusunun kusurunun bulunduğu anlaşılmıştır.’
YEMEK SEPETİ KUSURLU BULUNDU
Yemek Sepeti güvenlik ekipleri tarafından yapılan incelemeler sonucunda siber saldırının farkında olunduğu belirtilen karara göre, veri sorumlusunun diğer parti firmalar üzerinde etkin bir denetim mekanizmasının olmadığı ve güvenlik yazılımlarının kullanılması noktasında eksiklikler olduğu gösterdiği ifade edildi.
Güvenlik kaynaklarında açık bulunan sunucuyla ilgili verilen kararda veri sorumlusu tarafından sızma testlerinin etkin bir şekilde yapılmadığı ya da yaptırılmadığına dikkat çekildi.
Kişisel Verileri Koruma Kurulu’nun (KVKK), internet sitesinde yayınladığı kararda şu ifadelere yer verildi; ‘Büyük miktarda kişisel veri işleyen veri sorumlusunun bu boyutta bir ihlal yaşamasının ve müdahalede geç kalmasının mevcut risk ve tehditleri iyi belirlemediğinin göstergesi olduğu>hususları dikkate alındığında, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 12'nci maddesinin (1) numaralı fıkrası hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında, kanunun 18'inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca ihlalin boyutu, kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak 1 milyon 900 bin lira idari para cezası uygulanmasına karar verilmiştir.’