Yemeksepeti'ne 1 milyon 900 bin lira ceza - Ekonomistci Yemeksepeti'ne 1 milyon 900 bin lira ceza - Ekonomistci




Yemeksepeti'ne 1 milyon 900 bin lira ceza


KVKK, veri ihlali nedeniyle Yemeksepeti'ne 1 milyon 900 bin lira ceza verdi.
Yemeksepeti'ne 1 milyon 900 bin lira ceza

Kişisel Verileri Koruma Kurulu (KVKK), alan kişi bilgilerinin çalındığı ileri sürülen "Yemeksepeti"ne veri ihlali nedeniyle 1 milyon 900 bin lira idari para cezası uygulanmasına karar verdi.

KVKK'nin web sitesinde yer alan kararda, Yemeksepeti'ne ilişik veri ihlali bildiriminin 6698 sayılı Kişisel Verilerin Korunması Kanunu gereğince incelenerek sonuçlandırıldığı anlatım edildi.

Kararda veri sorumlusu şirkete ilişik web uygulama sunucusuna, sunucudaki açık sebebiyle tatbik kurarak ve komut çalıştırmak üzere erişildiği, bu ihlalden 21 milyondan fazla kullanıcının etkilendiği kaydedildi.

Kullanıcı adı, adres, telefon numarası, e-posta adresi, şifre ve IP bilgilerine yönelik erişim ihlalinden etkilenen şahıs sayısının çok fazla olması ve hemen hemen bütün alan kişi veri tabanının sızdırılmış bulunması dikkate alındığında ihlalin oldukca büyük çaplı olduğu anlatım edildi.

KVKK, ihlalin boyutu, sızdırılan verinin büyüklüğü ve sızdırılan kişisel verilerin niteliği dikkate alındığında, bunun ilgili kişiler açısından kişisel veriler üstünde test kaybı gibi mühim riskler oluşturacağını bildirdi.

ZARARLI YAZILIM 8 GÜN FARK EDİLEMEDİ

Söz konusu ihlalde veri sorumlusunun kusurunun bulunduğu belirtilen kararda, "Sisteme giren kişi yahut kişilerce, zararı olan yazılım ve araçlarla sisteme giriş yaptıktan sonra öteki sistemlere de erişilerek malumat toplandığı, sisteme zararlı yazılımların yüklenip çalıştırılmasının veri sorumlusunca 8 gün boyunca fark edilemediği, dolayısıyla bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi ve bilişim ağlarında sızma yada olmaması ihtiyaç duyulan bir hareket olup olmadığının belirlenmesi noktasında veri sorumlusunun kusurunun bulunduğu anlaşılmıştır" denildi.

Yemek Sepeti güvenlik ekiplerince meydana getirilen araştırma sonucu siber saldırının farkına varıldığı anlatılan kararda, bu durumun veri sorumlusunun hizmet aldığı üçüncü parti firmalar üstünde faal bir denetim mekanizmasının bulunmadığı ve güvenlik yazılımlarının takibi ile güvenlik prosedürlerinin kullanılması noktasındaki eksikleri gösterdiği kaydedildi.

VERİ SORUMLUSU KUSURLU BULUNDU

Saldırganların veri sorumlusundan elde ettikleri veriyi Fransa'da bulunan bir IP adresine/sunucuya ilişkin lokasyona ilettiği, sistemden çıkan 28,2 GB'lık veri yahut dışarı giden trafiğin, veri sorumlusu tarafından ayrım edilemediği belirtilen kararda, bunun da güvenlik kontrolleri ve veri güvenliği takibinin veri sorumlusu tarafından muntazam halde yapılmadığının göstergesi olduğu anlatıldı.

Açıklık bulunan sunucunun "sızma testinden geçen bir sunucu" olduğuna işaret edilen kararda bunun, veri sorumlusu tarafınca sızma testlerinin faal halde yapılmadığını/yaptırılmadığını ortaya koyduğu vurgulandı.

Kararda şu ifadeler yer aldı:

"Büyük oranda şahsi veri işleyen veri sorumlusunun bu boyutta bir ihlal yaşamasının ve müdahalede geç kalmasının mevcut risk ve tehditleri iyi belirlemediğinin göstergesi olduğu
hususları dikkate alındığında, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 12'nci maddesinin (1) numaralı fıkrası hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve yönetimsel tedbirleri almayan veri sorumlusu hakkındaki, kanunun 18'inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca ihlalin boyutu, kabahatin haksızlık içinde ne olduğu, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak 1 milyon 900 bin lira yönetimsel para cezası uygulanmasına karar verilmiştir."

Etiketler:


Bir Yorum Yaz




Bu site çerez kullanıyor. Siteye göz atmaya devam ederek çerezleri kullanmamızı kabul etmiş oluyorsunuz. Şartlar ve KoşullarReklam Politikamız, Hakkımızda