Yemeksepeti’ne Verilen Ceza Açıklandı

Geçtiğimiz haftalarda büyük bir hack skandalıyla gündeme gelen, on milyonlarca Türk kullanıcının verilerinin ele geçirildiği iddia edilen Yemeksepeti.com olayıyla ilgili bugün nihai karar verildi. Basına yansıyan haberlerin arkasından araştırma başlatan Kişisel Verileri Koruma Kurumu, Yemeksepeti’ne uygulanacak cezayı açıkladı.

KVKK tarafınca paylaşılan karara gore Yemeksepeti, 1 milyon 900 bin TL yönetimsel para cezasına çarptırıldı.

Saldırı hakkında tüm detaylar paylaşıldı, Yemeksepeti sorumluluklarını yerine getirmemiş!

KVKK tarafınca piyasaya çıkan kararın tamamı şu şekilde:

Veri ihlal bildiriminin Kurumun yetki ve vazife alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 23/12/2021 tarih ve 2021/1324 sayılı Sonucu ile;

• Veri sorumlusuna ilişkin bir web uygulama sunucusu üstündeki açık sebebiyle uygulama kurarak ve komut çalıştırmak suretiyle sunucuya erişildiği,
• İhlalden 21.504.083 Yemeksepeti kullanıcısının etkilendiği,
• Etkilenen kişisel verilerin kullanıcı adı, adres, telefon numarası, e-posta adresi, gizyazı ve IP detayları olduğu,
• İhlalden etkilenen şahıs sayısının oldukça fazla olması ve neredeyse tüm satın alan veri tabanının dışarı sızdırıldığı dikkate alındığında ihlalin oldukça büyük çaplı olduğu,
• İhlalin boyutu, sızdırılan verinin büyüklüğü ve sızdırılan kişisel verilerin niteliği dikkate alındığında, ihlalin ilgili kişiler açısından kişisel veriler üstünde denetim kaybı benzer biçimde mühim riskler oluşturacağı,
• Sisteme giren şahıs ya da kişilerce, zararı dokunan yazılım ve araçlarla sisteme giriş yaptıktan sonrasında öteki sistemlere de erişilerek informasyon toplandığı, sisteme zararı dokunan yazılımların yüklenip, çalıştırılmasının veri sorumlusunca 8 gün süresince fark edilemediği dolayısıyla bilişim ağlarında hangi yazılım ve servislerin çalıştığının denetim edilmesi ve bilişim ağlarında sızma yada olmaması ihtiyaç duyulan bir hareket olup olmadığının belirlenmesi noktasında veri sorumlusunun kusurunun bulunmuş olduğu,
• 18.03.2021 tarihinden itibaren güvenlik yazılımlarında alarmlar oluştuğu, oluşan bu alarmların üçüncü parti firmalar tarafınca izlenen ürünlerde Yiyecek Sepeti Güvenlik Ekiplerine ilgili bildirimler yapılamadan ve lüzumlu aksiyonlar alınmadan kapatıldığının ifade edilmiş olduğu, 25.03.2021 tarihinde iletilen alarmın Yiyecek Sepeti Güvenlik Ekiplerince incelenmesi sonucu siber saldırının farkına varıldığı dikkate alındığında bu durumun veri sorumlusunun hizmet almış olduğu üçüncü parti firmalar üstünde etkin bir denetim mekanizmasının bulunmadığının ve güvenlik yazılımlarının takip edeni ile güvenlik prosedürlerinin kullanılması noktasında da eksiklerinin bulunduğunun göstergesi olduğu,
• Saldırganların veri sorumlusundan elde ettikleri veriyi Fransa’da bulunan bir IP adresine/sunucuya ilişkin lokasyona ilettiği, sistemden çıkan 28.2 GB’lık verinin/dışarı giden trafiğin veri sorumlusu tarafınca fark edilemediği ve bu veri trafiğinin firewall (güvenlik duvarı) üstünde izlerinin olduğu dikkate alındığında; firewall üstünde izlerin olmasına karşın bu boyutta verinin dışarı sızdırılmasının fark edilememesinin veri sorumlusu tarafınca güvenlik kontrolleri ve veri güvenliği takibinin muntazam bir halde yapılmadığının göstergesi olduğu,
• Açıklık bulunan sunucunun sızma testinden geçen bir sunucu bulunduğunun ifade edilmiş olduğu dikkate alındığında bu durumun veri sorumlusu tarafınca sızma testlerinin etkin bir halde yapılmadığını/yaptırılmadığını gösterdiği, 
• Büyük oranda kişisel veri işleyen veri sorumlusunun bu boyutta bir ihlal yaşamasının ve müdahalede geç kalmasının mevcut risk ve tehditleri iyi belirlemediğinin göstergesi olduğu

hususları dikkate alındığında, 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrası hükmü çerçevesinde veri güvenliğini sağlamaya yönelik lüzumlu teknik ve yönetimsel tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca ihlalin boyutu, kabahatin haksızlık içinde ne olduğu, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak 1.900.000 TL yönetimsel para cezası uygulanmasına
karar verilmiştir.