Kişisel Verileri Koruma Kurulu, Yemek Sepeti’nin Veri İhlal Bildirimi Hakkında Kararını Yayımladı

Kişisel Verileri Koruma Kurumu, Yemek Sepeti tarafından web sunucularına erişildiğine ilişkin yapılan veri ihlal bildirimi sonrasında, bugüne kadar kesmiş olduğu en yüksek ikinci idari para cezasına hükmetti.

• Veri sorumlusu olan Yemek Sepeti Elektronik İletişim Perakende Gıda Lojistik A.Ş.’nin (“Yemeksepeti”) Kişisel Verileri Koruma Kurumu’na (“Kurum”) intikal eden veri ihlal bildiriminde;
  • 18 Mart 2021 tarihinde kimliği tespit edilemeyen şahıs/şahıslar tarafından veri sorumlusuna ait bir web uygulama sunucusuna erişildiği,
  • Normal şartlarda yetkisiz bir erişim olduğunda uyarı veren araç üzerinde sorun kaydı oluştuğu ancak bir aksaklık nedeniyle yetkisiz erişimin o an fark edilemediği,
  • 25 Mart 2021 tarihinde gelen alarmlar incelendiğinde şüpheli bir davranış olduğunun tespit edildiği,
  • Aynı tarihte yapılan incelemede Yemeksepeti’ne ait bir web uygulama sunucusu üzerindeki açıktan yararlanmak suretiyle uygulama kurulduğu ve komut çalıştırılarak sunucuya erişildiği,
  • İhlali gerçekleştiren şahsın/şahısların eriştiği sunucu üzerinde kullanıcı oluşturarak farklı araçlar vasıtasıyla veri toplamaya çalıştıkları ve uzaktaki sunuculara trafik gönderdiklerinin de ayrıca tespit edildiği,
  • Saldırganların veriyi Fransa’da bulunan bir IP adresine/sunucuya ilettikleri ve bu iletilen trafiğin firewall (güvenlik duvarı) üzerinde izlerinin olduğu,
  • İhlalden 21.504.083 Yemeksepeti kullanıcısının etkilendiği,
  • İhlalden etkilenen kişisel verilerin kullanıcı adı, adres, telefon numarası, e-posta adresi, kullanıcı şifresi ve IP bilgileri olduğu

ifadelerine yer verilmiştir.

• Veri ihlal bildiriminin Kurum’un yetki ve görev alanı çerçevesinde incelenmesi neticesinde; veri sorumlusuna ait bir web uygulama sunucusu üzerindeki açık sebebiyle uygulama kurarak ve komut çalıştırmak suretiyle sunucuya erişildiği ve ihlalden 21.504.083 kullanıcının etkilendiği tespit edilmiştir.
• Etkilenen kişisel verilerin kullanıcı adı, adres, telefon numarası, e-posta adresi, şifre ve IP bilgileri olduğu ve ihlalden etkilenen kişi sayısının çok fazla olması ve neredeyse tüm müşteri veri tabanının dışarı sızdırıldığı dikkate alındığında ihlalin çok büyük çaplı olduğu ifade edilmiştir. İnceleme sonucunda ihlalin boyutu, sızdırılan verinin büyüklüğü ve sızdırılan kişisel verilerin niteliği dikkate alındığında, ihlalin ilgili kişiler açısından kişisel veriler üzerinde kontrol kaybı gibi önemli riskler oluşturacağı da eklenmiştir.
• Kişisel Verileri Koruma Kurulu’nun (“Kurul”) kararına göre sisteme giren kişi ya da kişilerce, zararlı yazılım ve araçlarla sisteme giriş yapıldıktan sonra diğer sistemlere de erişilerek bilgi toplanmış, sisteme zararlı yazılımların yüklenip, çalıştırılması veri sorumlusunca 8 gün boyunca fark edilememiştir. Dolayısıyla bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi ve bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi noktasında veri sorumlusu kusurlu bulunmuştur.
• 8 Mart 2021 tarihinden itibaren güvenlik yazılımlarında alarmlar oluştuğu, oluşan bu alarmların üçüncü parti firmalar tarafından izlenen ürünlerde Yemek Sepeti Güvenlik Ekipleri’ne ilgili bildirimler yapılamadan ve gerekli aksiyonlar alınmadan kapatıldığının ifade edildiği, 25 Mart 2021 tarihinde iletilen alarmın Yemek Sepeti Güvenlik Ekiplerince incelenmesi sonucu siber saldırının farkına varıldığı dikkate alındığında bu durumun veri sorumlusunun hizmet aldığı üçüncü parti firmalar üzerinde etkin bir denetim mekanizmasının bulunmadığının ve güvenlik yazılımlarının takibi ile güvenlik prosedürlerinin kullanılması noktasında da eksiklerinin bulunduğunun göstergesi olduğuna karar verilmiştir.
• Saldırganların veri sorumlusundan elde ettikleri veriyi Fransa’da bulunan bir IP adresine/sunucuya ait lokasyona ilettiği, sistemden çıkan 28.2 GB’lık verinin/dışarı giden trafiğin veri sorumlusu tarafından fark edilemediği ve bu veri trafiğinin firewall (güvenlik duvarı) üzerinde izlerinin olduğu dikkate alındığında; firewall üzerinde izlerin olmasına rağmen bu boyutta verinin dışarı sızdırılmasının fark edilememesi, veri sorumlusu tarafından güvenlik kontrollerin ve veri güvenliği takibinin düzgün bir şekilde yapılmadığını göstermektedir.
• Açıklık bulunan sunucunun sızma testinden geçen bir sunucu olduğunun ifade edildiği dikkate alındığında, Kurul tarafından bu durumun veri sorumlusu tarafından sızma testlerinin etkin bir şekilde yapılmadığını/yaptırılmadığını gösterdiği ve büyük miktarda kişisel veri işleyen veri sorumlusunun bu boyutta bir ihlal yaşamasının ve müdahalede geç kalmasının mevcut risk ve tehditleri iyi belirlemediğinin göstergesi olduğu hususları dikkate alınmıştır. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12. maddesinin (1) numaralı fıkrası hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanun’un 18. maddesinin (1) numaralı fıkrasının (b) bendi uyarınca ihlalin boyutu, kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak 1.900.000 TL idari para cezası uygulanmasına karar verilmiştir.

Karar özetinin tamamına bu bağlantıdan ulaşabilirsiniz.