Şahsî Bilgileri Müdafaa Kurulunca (KVKK), Yemek Sepeti Elektronik İrtibat Perakende Besin Lojistik AŞ’ye yapılan ve 21 milyon 504 bin 83 kişinin etkilendiği belirtilen siber taarruzun akabinde data ihlali gerekçesiyle inceleme başlatıldı.
Yemek Sepeti’nden Ferdî Dataların Korunması Kanununun ilgili unsurları yeterince KVKK’ye yapılan ve heyetin internet sitesinde yayınlanan bilgi ihlal bildiriminde, 18 Mart’ta kimliği bilgi sorumlusunca belirlenemeyen şahıs ya da şahıslarca “Yemek Sepetine” ilişkin bir web uygulama sunucusuna erişildiği belirtildi.
Yetkisiz bir erişim olduğunda ihtar veren araç üzerinde sorun kaydı oluştuğu lakin bir aksaklık nedeniyle yetkisiz erişimin o an fark edilemediği vurgulanan bildirimde, 25 Mart’ta gelen alarmlar incelendiğinde kuşkulu davranışın belirlendiği aktarıldı.
Bildirimde, Yemek Sepetine ilişkin bir web uygulama sunucusu üzerinde açıklık bulunduğu, bu açıklıktan yararlanılarak, uygulama kurulduğu ve komut çalıştırılmak suretiyle sunucuya erişilebildiği kaydedildi.
Saldırıyı yapanlar tarafından sunucu üzerinde kullanıcı oluşturularak data toplanmaya çalışıldığı ve uzaktaki sunuculara trafik gönderildiği söz edilen bildirimde, ihlalden 21 milyon 504 bin 83 kişinin etkilendiği belirtildi.
İhlalden etkilenen ferdî bilgilerin, kullanıcı ismi, adres, telefon, elektronik posta, şifre, IP bilgileri olduğu açıklanan bildirimde, kredi kartı ya da finansal dataların etkilenmediği, kredi kartı saklama hizmetinin data sorumlusundan bağımsız Mastercard tarafından sağlandığı vurgulandı.
Data ihlal bildiriminde, ilgili bireylerin ihlalle ilgili “[email protected]” elektronik posta adresi üzerinden bilgi alabileceği tabir edildi.
Şahsî Bilgileri Müdafaa Heyeti ise mevzuyu gündem toplantısında görüştü. Şura, Yemek Sepeti hakkında data ihlali nedeniyle inceleme başlattı.
Memurlar
