KVKK'nın kendi web sitesi üzerinden yaptığı açıklamaya göre, birkaç ay önce veri ihlalleri ile gündeme gelen ve birçok kullanıcısının verilerine hacker'lara kaptıran Yemeksepeti, 1 milyon 900 bin TL para cezasına çarptırıldı. Kişisel Verileri Koruma Kurulu, yani KVKK böylelikle Yemeksepeti'nin müşteri bilgilerinin çalındığını doğrulamış oldu.
KVKK'dan yapılan açıklamaya göre 18.03.2021 tarihinde kimliği tespit edilemeyen şahıs/şahıslar tarafından veri sorumlusuna ait bir web uygulama sunucusuna erişildiği, normal şartlarda yetkisiz bir erişim olduğunda uyarı veren araç üzerinde sorun kaydı oluştuğu ancak bir aksaklık nedeniyle yetkisiz erişimin o an fark edilemediği, 25.03.2021 tarihinde gelen alarmlar incelediğinde şüpheli bir davranış olduğunun tespit edildiği belirtildi.
Bilgiler Fransa’da bulunan bir IP adresine/sunucuya iletildi
Aynı tarihte yapılan incelemede Yemeksepeti’ne ait bir web uygulama sunucusu üzerindeki açıktan yararlanmak suretiyle uygulama kurulduğu ve komut çalıştırılarak sunucuya erişildiği, İhlali gerçekleştiren şahsın/şahısların eriştiği sunucu üzerinde kullanıcı oluşturarak farklı araçlar vasıtasıyla veri toplamaya çalıştıkları ve uzaktaki sunuculara trafik gönderdiklerinin de ayrıca tespit edildiği, saldırganların veriyi Fransa’da bulunan bir IP adresine/sunucuya ilettikleri ve bu iletilen trafiğin firewall (güvenlik duvarı) üzerinde izlerinin olduğu ortaya çıktı.
21,5 milyondan fazla kişinin bilgileri çalındı
İhlalden 21.504.083 Yemeksepeti kullanıcısının etkilendiği ve ihlalden etkilenen kişisel verilerin kullanıcı adı, adres, telefon numarası, e-posta adresi, kullanıcı şifresi ve IP bilgileri olduğu bilgisi paylaşıldı. Paylaşılan bu bilgilere baktığımızda ihlalin çok büyük çaplı olduğunu görebiliyoruz.
8 gün boyunca fark edilmedi
Kararda, sisteme giren kişi ya da kişilerce, zararlı yazılım ve araçlarla sisteme giriş yaptıktan sonra diğer sistemlere de erişilerek bilgi toplandığı, sisteme zararlı yazılımların yüklenip çalıştırılmasının veri sorumlusunca 8 gün boyunca fark edilemediği, dolayısıyla bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi ve bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi noktasında veri sorumlusunun kusurunun bulunduğu da açıklandı.