Ankara
Kişisel Verileri Koruma Kurulunun (KVKK), genel ağ sitesinde arazi meydan kararda, Yemeksepeti'ne bağlı data ihlali bildiriminin 6698 mahdut Kişisel Verilerin Korunması Kanunu layıkıyla incelenerek sonuçlandırıldığı tabir edildi.
Kararda data sorumlusu kuruluşa alakadar web yürütüm sunucusuna, sunucudaki açıkça sayesinde yürütüm kurarak ve emir işletmek vasıtasıyla erişildiği, bu ihlalden 21 milyondan birlikte tomar kullanıcının etkilendiği kaydedildi.
Kullanıcı adı, adres, telefon numarası, elektronik posta adresi, harf ve IP bilgilerine müteveccih ulaşım ihlalinden etkilenen isim sayısının aşırı birlikte tomar olması ve az daha topu topu alıcı data tabanının sızdırılmış bulunması dikkate alındığında ihlalin aşırı iri istidatlı yer aldığı tabir edildi.
KVKK, ihlalin boyutu, sızdırılan verinin büyüklüğü ve sızdırılan ferdî verilerin ayrıcalığı dikkate alındığında, bunun alakadar şahıslar açısından ferdî veriler üstünde arama kaybı kadar ehemmiyetli riskler oluşturacağını bildirdi.
Söz konusu ihlalde data sorumlusunun kusurunun bulunmuş yer aldığı tamlanan kararda, "Sisteme giren isim yada kişilerce, dokuncalı yazılım ve araçlarla düzene antre yaptıktan sonraları başka sistemlere de erişilerek bilim toplandığı, düzene dokuncalı yazılımların yüklenip çalıştırılmasının data sorumlusunca 8 gündüz süresince ayırt edilemediği, zımnında enformatik ağlarında ne yazılım ve servislerin çalıştığının arama edilmesi ve enformatik ağlarında sızdırılmış yahut olmaması müstelzim birlikte akıntı olup olmadığının belirlenmesi noktasında data sorumlusunun kusurunun bulunmuş yer aldığı anlaşılmıştır." denildi.
Yemek Sepeti asayiş ekiplerince meydana getirilen tetkik kararı siber saldırının farkına varıldığı tabir edilen kararda, bu durumun data sorumlusunun misyon almış yer aldığı üçüncü fırka şirketler üstünde çalışan birlikte denetleme mekanizmasının olmadığı ve asayiş yazılımlarının takip edeni ile asayiş prosedürlerinin kullanılması noktasındaki eksikleri gösterdiği kaydedildi.
Saldırganların data sorumlusundan elde ettikleri veriyi Fransa'da olan birlikte IP adresine/sunucuya alakadar lokasyona ilettiği, sistemden çıkan 28,2 GB'lık data yada hariç revan trafiğin, data sorumlusu kabilinden ayırt edilemediği tamlanan kararda, bunun da asayiş araştırmaları ve data güvenliği takibinin data sorumlusu kabilinden aklık halde yapılmadığının işareti yer aldığı anlatıldı.
Açıklık olan sunucunun "sızma testinden güzeşte birlikte sunucu" olduğuna ayraç edilen kararda bunun, data sorumlusu kabilinden sızdırılmış testlerinin çalışan halde yapılmadığını/yaptırılmadığını ortaya koyduğu vurgulandı.
Kararda şu ifadeler arazi aldı:
"Büyük oranda ferdî data yapan data sorumlusunun bu boyutta birlikte ihlal yaşamasının ve müdahalede geç kalmasının olan riziko ve tehditleri güzel belirlemediğinin işareti olduğu
hususları dikkate alındığında, 6698 mahdut Kişisel Verilerin Korunması Kanunu'nun 12'nci maddesinin (1) numaralı fıkrası hükmü çerçevesinde data güvenliğini sağlamaya müteveccih muktezi uran ve yönetsel tedbirleri almayan data sorumlusu hakkında, kanunun 18'inci maddesinin (1) numaralı fıkrasının (b) bendi mucibince ihlalin boyutu, kabahatin hayıf içeriği, data sorumlusunun kusuru ve konuşu hali da menfez uğrunda bulundurularak 1 milyon 900 bin liralık yönetsel nakdî ceza uygulanmasına değişmeyen verilmiştir."
