Kişisel Verileri Koruma Kurulu'nun ("Kurul") 7.2.2022 tarihinde, Yemek Sepeti Elektronik İletişim Perakende Gıda Lojistik Anonim Şirketi ("Yemek Sepeti") veri ihlali bildirimine ilişkin yayınladığı 23.12.2021 tarih ve 2021/1324 sayılı kararı sizin için aşağıdaki şekilde özetledik.
Kişisel Verileri Koruma Kurumu'na iletilen veri ihlal bildiriminde özetle aşağıdaki hususlara yer verilmiştir:
18.3.2021 tarihinde |
kimliği tespit edilemeyen kişiler tarafından Yemek Sepeti'ne ait bir web uygulama sunucusuna erişilmiştir. |
25.3.2021 tarihinde |
gelen alarmlar incelediğinde ise, şüpheli bir davranış olduğu ve web uygulama sunucusu üzerindeki açıktan yararlanmak suretiyle uygulama kurulduğu ve komut çalıştırılarak sunucuya erişildiği tespit edilmiştir. |
21.504.083 Yemek Sepeti kullanıcısının |
ihlalden etkilendiği ve ihlalden etkilenen kişisel verilerin kullanıcı adı, adres, telefon numarası, e-posta adresi, kullanıcı şifresi ve IP bilgileri olduğu belirtilmiştir. |
Buna ilaveten, veri ihlal bildiriminde, saldırganların
veriyi Fransa'da bulunan bir IP adresine/sunucuya ilettikleri
ve bu iletilen trafiğin firewall (güvenlik duvarı)
üzerinde izlerinin olduğu belirtilmiştir.
Kurul, yaptığı incelemede ise;
Kurul, bu hususları dikkate aldığında, 6698 sayılı Kişisel Verilerin Korunması Kanununun ("Kanun") 12. maddesinin (1) numaralı fıkrası hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan Yemek Sepeti hakkında Kanunun 18. maddesinin (1) numaralı fıkrasının (b) bendi uyarınca ihlalin boyutu, kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak 1.900.000 TL idari para cezası uygulanmasına karar vermiştir.
Kurul tarafından yayınlanan tam metne https://kvkk.gov.tr/Icerik/7168/2021-1324 bağlantısından ulaşabilirsiniz.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.