Geçtiğimiz günlerde yemek sipariş uygulaması Yemeksepeti’ne siber akın düzenlenmiş ve kullanıcı bilgilerinin bir kısmı çalınmıştı. Yemeksepeti’nden yapılan açıklamada, kart bilgileri ve finansla ilgili süreçlerde kullanılan hiçbir şifrenin ele geçirilmediğini belirtmişti.
Şahsî Bilgileri Muhafaza Kurulunca (KVKK), 21 milyon 504 bin 83 kişinin etkilendiği belirtilen siber hücumun akabinde data ihlali gerekçesiyle inceleme başlatıldı.
Yemek Sepeti’nden Şahsî Dataların Korunması Kanununun ilgili unsurları yeterince KVKK’ye yapılan ve konseyin internet sitesinde yayınlanan data ihlal bildiriminde, 18 Mart’ta kimliği bilgi sorumlusunca belirlenemeyen şahıs ya da şahıslarca “Yemek Sepetine” ilişkin bir web uygulama sunucusuna erişildiği belirtildi.
Yetkisiz bir erişim olduğunda ikaz veren araç üzerinde sorun kaydı oluştuğu lakin bir aksaklık nedeniyle yetkisiz erişimin o an fark edilemediği vurgulanan bildirimde, 25 Mart’ta gelen alarmlar incelendiğinde kuşkulu davranışın belirlendiği aktarıldı.
Bildirimde, Yemek Sepetine ilişkin bir web uygulama sunucusu üzerinde açıklık bulunduğu, bu açıklıktan yararlanılarak, uygulama kurulduğu ve komut çalıştırılmak suretiyle sunucuya erişilebildiği kaydedildi.
Saldırıyı yapanlar tarafından sunucu üzerinde kullanıcı oluşturularak data toplanmaya çalışıldığı ve uzaktaki sunuculara trafik gönderildiği tabir edilen bildirimde, ihlalden etkilenen 21 milyon 504 bin 83 kişinin olduğu aktarıldı.
Şahsî Dataları Müdafaa Konseyi ise mevzuyu gündem toplantısında görüştü. Konsey, Yemek Sepeti hakkında data ihlali nedeniyle inceleme başlattı.
Bilgi ihlal bildiriminde, ilgili bireylerin ihlalle ilgili “info@yemeksepeti.com” elektronik posta adresi üzerinden bilgi alabileceği tabir edildi.
Karar