Ankara
Kişisel Verileri Koruma Kurulunun (KVKK), genel ağ sitesinde arazi düzlük kararda, Yemeksepeti'ne bağlı data ihlali bildiriminin 6698 mahdut Kişisel Verilerin Korunması Kanunu layıkıyla incelenerek sonuçlandırıldığı anlatım edildi.
Kararda data sorumlusu kuruluşa alakadar web yürütüm sunucusuna, sunucudaki belirgin sayesinde yürütüm kurarak ve emir işletmek vasıtasıyla erişildiği, bu ihlalden 21 milyondan ortak tomar kullanıcının etkilendiği kaydedildi.
Kullanıcı adı, adres, telefon numarası, elmek adresi, harf ve IP bilgilerine müteveccih muvasala ihlalinden etkilenen ad sayısının aşırı ortak tomar olması ve az daha topu topu alıcı data tabanının sızdırılmış bulunması dikkate alındığında ihlalin aşırı iri yetenekli yer aldığı anlatım edildi.
KVKK, ihlalin boyutu, sızdırılan verinin büyüklüğü ve sızdırılan şahsi verilerin özelliği dikkate alındığında, bunun alakadar şahıslar açısından şahsi veriler üstünde arama kaybı üzere ehemmiyetli riskler oluşturacağını bildirdi.
Söz konusu ihlalde data sorumlusunun kusurunun bulunmuş yer aldığı tamlanan kararda, "Sisteme giren ad yada kişilerce, dokuncalı yazılım ve araçlarla düzene antre yaptıktan sonraları gayrı sistemlere de erişilerek bilim toplandığı, düzene dokuncalı yazılımların yüklenip çalıştırılmasının data sorumlusunca 8 devir süresince ayırt edilemediği, zımnında enformatik ağlarında ne yazılım ve servislerin çalıştığının arama edilmesi ve enformatik ağlarında sızdırılmış yahut olmaması müstelzim ortak akım olup olmadığının belirlenmesi noktasında data sorumlusunun kusurunun bulunmuş yer aldığı anlaşılmıştır." denildi.
Yemek Sepeti düzenlilik ekiplerince meydana getirilen tetkik kararı siber saldırının farkına varıldığı anlatım edilen kararda, bu durumun data sorumlusunun görev almış yer aldığı üçüncü fırka şirketler üstünde çalışan ortak teftiş mekanizmasının olmadığı ve düzenlilik yazılımlarının takip edeni ile düzenlilik prosedürlerinin kullanılması noktasındaki eksikleri gösterdiği kaydedildi.
Saldırganların data sorumlusundan elde ettikleri veriyi Fransa'da olan ortak IP adresine/sunucuya alakadar lokasyona ilettiği, sistemden çıkan 28,2 GB'lık data yada hariç revan trafiğin, data sorumlusu çeşidinden ayırt edilemediği tamlanan kararda, bunun da düzenlilik araştırmaları ve data güvenliği takibinin data sorumlusu çeşidinden aklık biçimde yapılmadığının işareti yer aldığı anlatıldı.
Açıklık olan sunucunun "sızma testinden güzeşte ortak sunucu" olduğuna ayraç edilen kararda bunun, data sorumlusu çeşidinden sızdırılmış testlerinin çalışan biçimde yapılmadığını/yaptırılmadığını ortaya koyduğu vurgulandı.
Kararda şu ifadeler arazi aldı:
"Büyük oranda şahsi data özne data sorumlusunun bu boyutta ortak ihlal yaşamasının ve müdahalede geç kalmasının olan riziko ve tehditleri dobra belirlemediğinin işareti olduğuhususları dikkate alındığında, 6698 mahdut Kişisel Verilerin Korunması Kanunu'nun 12'nci maddesinin (1) numaralı fıkrası hükmü çerçevesinde data güvenliğini sağlamaya müteveccih muktezi uygulayım ve yönetsel tedbirleri almayan data sorumlusu hakkında, kanunun 18'inci maddesinin (1) numaralı fıkrasının (b) bendi mucibince ihlalin boyutu, kabahatin kıygı içeriği, data sorumlusunun kusuru ve iktisadi vaziyeti da cezaevi uğrunda bulundurularak 1 milyon 900 bin teklik yönetsel nakdî ceza uygulanmasına değişmeyen verilmiştir."