Şahsî Dataları Müdafaa Kurulunca (KVKK), Yemek Sepeti Elektronik İrtibat Perakende Besin Lojistik AŞ’ye yapılan ve 21 milyon 504 bin 83 kişinin etkilendiği belirtilen siber atağın akabinde bilgi ihlali gerekçesiyle inceleme başlatıldı.
Yemek Sepeti’nden Şahsî Bilgilerin Korunması Kanununun ilgili hususları mucibince KVKK’ye yapılan ve heyetin internet sitesinde yayınlanan bilgi ihlal bildiriminde, 18 Mart’ta kimliği bilgi sorumlusunca belirlenemeyen şahıs ya da şahıslarca “Yemek Sepetine” ilişkin bir web uygulama sunucusuna erişildiği belirtildi.
Yetkisiz bir erişim olduğunda ikaz veren araç üzerinde sorun kaydı oluştuğu lakin bir aksaklık nedeniyle yetkisiz erişimin o an fark edilemediği vurgulanan bildirimde, 25 Mart’ta gelen alarmlar incelendiğinde kuşkulu davranışın belirlendiği aktarıldı.
Bildirimde, Yemek Sepetine ilişkin bir web uygulama sunucusu üzerinde açıklık bulunduğu, bu açıklıktan yararlanılarak, uygulama kurulduğu ve komut çalıştırılmak suretiyle sunucuya erişilebildiği kaydedildi.
Saldırıyı yapanlar tarafından sunucu üzerinde kullanıcı oluşturularak bilgi toplanmaya çalışıldığı ve uzaktaki sunuculara trafik gönderildiği tabir edilen bildirimde, ihlalden 21 milyon 504 bin 83 kişinin etkilendiği belirtildi.
İhlalden etkilenen şahsî dataların, kullanıcı ismi, adres, telefon, elektronik posta, şifre, IP bilgileri olduğu açıklanan bildirimde, kredi kartı ya da finansal bilgilerin etkilenmediği, kredi kartı saklama hizmetinin bilgi sorumlusundan bağımsız Mastercard tarafından sağlandığı vurgulandı.
Data ihlal bildiriminde, ilgili şahısların ihlalle ilgili “[email protected]” elektronik posta adresi üzerinden bilgi alabileceği tabir edildi.
Ferdî Dataları Muhafaza Konseyi ise mevzuyu gündem toplantısında görüştü. Konsey, Yemek Sepeti hakkında data ihlali nedeniyle inceleme başlattı.
Memurlar
