Ankara
Kişisel Verileri Koruma Kurulunun (KVKK), genel ağ sitesinde toprak meydan kararda, Yemeksepeti'ne bağlı data ihlali bildiriminin 6698 mahdut Kişisel Verilerin Korunması Kanunu layıkıyla incelenerek sonuçlandırıldığı anlatım edildi.
Kararda data sorumlusu firmaya ilişik web infaz sunucusuna, sunucudaki belirgin sayesinde infaz kurarak ve emir işletmek yoluyla erişildiği, bu ihlalden 21 milyondan ortak tomar kullanıcının etkilendiği kaydedildi.
Kullanıcı adı, adres, telefon numarası, elmek adresi, kod ve IP bilgilerine müteveccih ulaşım ihlalinden etkilenen isim sayısının aşırı ortak tomar olması ve az daha hepsi alıcı data tabanının sızdırılmış bulunması dikkate alındığında ihlalin aşırı şişman yetenekli yer aldığı anlatım edildi.
KVKK, ihlalin boyutu, sızdırılan verinin büyüklüğü ve sızdırılan şahsi verilerin ayrıcalığı dikkate alındığında, bunun ilişik şahıslar açısından şahsi veriler üstünde arama kaybı kabilinden ehemmiyetli riskler oluşturacağını bildirdi.
Söz konusu ihlalde data sorumlusunun kusurunun bulunmuş yer aldığı tamlanan kararda, "Sisteme giren isim yahut kişilerce, dokuncalı yazılım ve araçlarla düzene antre yaptıktan sonraları başka sistemlere de erişilerek bilgelik toplandığı, düzene dokuncalı yazılımların yüklenip çalıştırılmasının data sorumlusunca 8 gündüz süresince ayırt edilemediği, nedeniyle enformatik ağlarında ne yazılım ve servislerin çalıştığının arama edilmesi ve enformatik ağlarında sızdırılmış yahut olmaması müstelzim ortak akıntı olup olmadığının belirlenmesi noktasında data sorumlusunun kusurunun bulunmuş yer aldığı anlaşılmıştır." denildi.
Yemek Sepeti düzenlilik ekiplerince meydana getirilen tetkik kararı siber saldırının farkına varıldığı anlatım edilen kararda, bu durumun data sorumlusunun misyon almış yer aldığı üçüncü fırka şirketler üstünde çalışan ortak teftiş mekanizmasının olmadığı ve düzenlilik yazılımlarının takip edeni ile düzenlilik prosedürlerinin kullanılması noktasındaki eksikleri gösterdiği kaydedildi.
Saldırganların data sorumlusundan elde ettikleri veriyi Fransa'da olan ortak IP adresine/sunucuya ilişik lokasyona ilettiği, sistemden çıkan 28,2 GB'lık data yahut hariç revan trafiğin, data sorumlusu çeşidinden ayırt edilemediği tamlanan kararda, bunun da düzenlilik muayeneleri ve data güvenliği takibinin data sorumlusu çeşidinden aklık halde yapılmadığının işareti yer aldığı anlatıldı.
Açıklık olan sunucunun "sızma testinden sabık ortak sunucu" olduğuna ayraç edilen kararda bunun, data sorumlusu çeşidinden sızdırılmış testlerinin çalışan halde yapılmadığını/yaptırılmadığını ortaya koyduğu vurgulandı.
Kararda şu ifadeler toprak aldı:
"Büyük oranda şahsi data yapan data sorumlusunun bu boyutta ortak ihlal yaşamasının ve müdahalede geç kalmasının olan riziko ve tehditleri dobra belirlemediğinin işareti olduğuhususları dikkate alındığında, 6698 mahdut Kişisel Verilerin Korunması Kanunu'nun 12'nci maddesinin (1) numaralı fıkrası hükmü çerçevesinde data güvenliğini sağlamaya müteveccih lazım fen ve yönetsel tedbirleri almayan data sorumlusu hakkında, kanunun 18'inci maddesinin (1) numaralı fıkrasının (b) bendi gereğince ihlalin boyutu, kabahatin hayıf içeriği, data sorumlusunun kusuru ve hesaplı vaziyeti da menfez uğrunda bulundurularak 1 milyon 900 bin teklik yönetsel nakdî ceza uygulanmasına değişmeyen verilmiştir."