Ethereum
New member
şahsi Dataları Müdafaa Şurası (KVKK), müşteri ayrıntılarının çalındığı ileri sürülen “Yemeksepeti”ne bilgi ihlali niçiniyle 1 milyon 900 bin lira idari para cezası uygulanmasına karar verdi.
KVKK’nin internet sitesinde yer alan kararda, Yemeksepeti’ne ait bilgi ihlali bildiriminin 6698 sayılı şahsi Bilgilerin Korunması Kanunu yeterince incelenerek sonuçlandırıldığı tabir edildi.
Kararda data sorumlusu şirkete ilişkin web uygulama sunucusuna, sunucudaki açık sebebiyle uygulama kurarak ve komut çalıştırmak suretiyle erişildiği, bu ihlalden 21 milyondan fazla kullanıcının etkilendiği kaydedildi.
Kullanıcı ismi, adres, telefon numarası, e-posta adresi, şifre ve IP detaylarıne yönelik erişim ihlalinden etkilenen kişi sayısının hayli fazla olması ve neredeyse tüm müşteri data tabanının sızdırılmış bulunması dikkate alındığında ihlalin epey büyük çaplı olduğu söz edildi.
KVKK, ihlalin boyutu, sızdırılan bilginin büyüklüğü ve sızdırılan şahsi dataların niteliği dikkate alındığında, bunun ilgili şahıslar açısından şahsi datalar üzerinde denetim kaybı üzere kıymetli riskler oluşturacağını bildirdi.
ZİYANLI YAZILIM 8 GÜN FARK EDİLEMEDİ
Kelam konusu ihlalde bilgi sorumlusunun kusurunun bulunduğu belirtilen kararda, “Sisteme giren kişi ya da bireylerce, ziyanlı yazılım ve araçlarla sisteme giriş yaptıktan daha sonra öbür sistemlere de erişilerek bilgi toplandığı, sisteme ziyanlı yazılımların yüklenip çalıştırılmasının bilgi sorumlusunca 8 gün boyunca fark edilemediği, ötürüsıyla bilişim ağlarında hangi yazılım ve servislerin çalıştığının denetim edilmesi ve bilişim ağlarında sızma yahut olmaması gereken bir hareket olup olmadığının belirlenmesi noktasında bilgi sorumlusunun kusurunun bulunduğu anlaşılmıştır” denildi.
Yemek Sepeti güvenlik gruplarınca yapılan inceleme kararı siber atağın farkına varıldığı söz edilen kararda, bu durumun data sorumlusunun hizmet aldığı üçüncü parti firmalar üzerinde faal bir kontrol düzeneğinin bulunmadığı ve güvenlik yazılımlarının takibi ile güvenlik prosedürlerinin kullanılması noktasındaki eksikleri gösterdiği kaydedildi.
BİLGİ SORUMLUSU KUSURLU BULUNDU
Saldırganların bilgi sorumlusundan elde ettikleri bilgiyi Fransa’da bulunan bir IP adresine/sunucuya ilişkin lokasyona ilettiği, sistemden çıkan 28,2 GB’lık bilgi ya da dışarı giden trafiğin, data sorumlusu tarafınca fark edilemediği belirtilen kararda, bunun da güvenlik denetimleri ve data güvenliği takibinin data sorumlusu tarafınca düzgün biçimde yapılmadığının göstergesi olduğu anlatıldı.
Açıklık bulunan sunucunun “sızma testinden geçen bir sunucu” olduğuna işaret edilen kararda bunun, bilgi sorumlusu tarafınca sızma testlerinin aktif biçimde yapılmadığını/yaptırılmadığını ortaya koyduğu vurgulandı.
Kararda şu tabirler yer aldı:
“Büyük ölçüde şahsi data işleyen bilgi sorumlusunun bu boyutta bir ihlal yaşamasının ve müdahalede geç kalmasının mevcut risk ve tehditleri uygun belirlemediğinin göstergesi olduğu
konuları dikkate alındığında, 6698 sayılı şahsi Dataların Korunması Kanunu’nun 12’nci unsurunun (1) numaralı fıkrası kararı çerçevesinde data güvenliğini sağlamaya yönelik gerekli teknik ve idari önlemleri almayan data sorumlusu hakkında, kanunun 18’inci unsurunun (1) numaralı fıkrasının (b) bendi uyarınca ihlalin boyutu, kabahatin haksızlık içeriği, data sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak 1 milyon 900 bin lira idari para cezası uygulanmasına karar verilmiştir.”
KVKK’nin internet sitesinde yer alan kararda, Yemeksepeti’ne ait bilgi ihlali bildiriminin 6698 sayılı şahsi Bilgilerin Korunması Kanunu yeterince incelenerek sonuçlandırıldığı tabir edildi.
Kararda data sorumlusu şirkete ilişkin web uygulama sunucusuna, sunucudaki açık sebebiyle uygulama kurarak ve komut çalıştırmak suretiyle erişildiği, bu ihlalden 21 milyondan fazla kullanıcının etkilendiği kaydedildi.
Kullanıcı ismi, adres, telefon numarası, e-posta adresi, şifre ve IP detaylarıne yönelik erişim ihlalinden etkilenen kişi sayısının hayli fazla olması ve neredeyse tüm müşteri data tabanının sızdırılmış bulunması dikkate alındığında ihlalin epey büyük çaplı olduğu söz edildi.
KVKK, ihlalin boyutu, sızdırılan bilginin büyüklüğü ve sızdırılan şahsi dataların niteliği dikkate alındığında, bunun ilgili şahıslar açısından şahsi datalar üzerinde denetim kaybı üzere kıymetli riskler oluşturacağını bildirdi.
ZİYANLI YAZILIM 8 GÜN FARK EDİLEMEDİ
Kelam konusu ihlalde bilgi sorumlusunun kusurunun bulunduğu belirtilen kararda, “Sisteme giren kişi ya da bireylerce, ziyanlı yazılım ve araçlarla sisteme giriş yaptıktan daha sonra öbür sistemlere de erişilerek bilgi toplandığı, sisteme ziyanlı yazılımların yüklenip çalıştırılmasının bilgi sorumlusunca 8 gün boyunca fark edilemediği, ötürüsıyla bilişim ağlarında hangi yazılım ve servislerin çalıştığının denetim edilmesi ve bilişim ağlarında sızma yahut olmaması gereken bir hareket olup olmadığının belirlenmesi noktasında bilgi sorumlusunun kusurunun bulunduğu anlaşılmıştır” denildi.
Yemek Sepeti güvenlik gruplarınca yapılan inceleme kararı siber atağın farkına varıldığı söz edilen kararda, bu durumun data sorumlusunun hizmet aldığı üçüncü parti firmalar üzerinde faal bir kontrol düzeneğinin bulunmadığı ve güvenlik yazılımlarının takibi ile güvenlik prosedürlerinin kullanılması noktasındaki eksikleri gösterdiği kaydedildi.
BİLGİ SORUMLUSU KUSURLU BULUNDU
Saldırganların bilgi sorumlusundan elde ettikleri bilgiyi Fransa’da bulunan bir IP adresine/sunucuya ilişkin lokasyona ilettiği, sistemden çıkan 28,2 GB’lık bilgi ya da dışarı giden trafiğin, data sorumlusu tarafınca fark edilemediği belirtilen kararda, bunun da güvenlik denetimleri ve data güvenliği takibinin data sorumlusu tarafınca düzgün biçimde yapılmadığının göstergesi olduğu anlatıldı.
Açıklık bulunan sunucunun “sızma testinden geçen bir sunucu” olduğuna işaret edilen kararda bunun, bilgi sorumlusu tarafınca sızma testlerinin aktif biçimde yapılmadığını/yaptırılmadığını ortaya koyduğu vurgulandı.
Kararda şu tabirler yer aldı:
“Büyük ölçüde şahsi data işleyen bilgi sorumlusunun bu boyutta bir ihlal yaşamasının ve müdahalede geç kalmasının mevcut risk ve tehditleri uygun belirlemediğinin göstergesi olduğu
konuları dikkate alındığında, 6698 sayılı şahsi Dataların Korunması Kanunu’nun 12’nci unsurunun (1) numaralı fıkrası kararı çerçevesinde data güvenliğini sağlamaya yönelik gerekli teknik ve idari önlemleri almayan data sorumlusu hakkında, kanunun 18’inci unsurunun (1) numaralı fıkrasının (b) bendi uyarınca ihlalin boyutu, kabahatin haksızlık içeriği, data sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak 1 milyon 900 bin lira idari para cezası uygulanmasına karar verilmiştir.”