KVKK, Yemek Sepeti Elektronik Bağlantı Perakende Besin Lojistik AŞ ile ilgili bilgi ihlal bildirimi hakkında kararını açıkladı.
KVKK’dan yapılan açıklamada şu bilgiler verildi:
“Veri sorumlusunun Kuruma intikal eden data ihlal bildiriminde;
- •18.03.2021 tarihinde kimliği tespit edilemeyen şahıs/şahıslar tarafından data sorumlusuna ilişkin bir web uygulama sunucusuna erişildiği,
- •Normal koşullarda yetkisiz bir erişim olduğunda ikaz veren araç üzerinde sorun kaydı oluştuğu lakin bir aksaklık nedeniyle yetkisiz erişimin o an fark edilemediği,
- •25.03.2021 tarihinde gelen alarmlar incelediğinde kuşkulu bir davranış olduğunun tespit edildiği,
- •Aynı tarihte yapılan incelemede Yemeksepeti’ne ilişkin bir web uygulama sunucusu üzerindeki açıktan yararlanmak suretiyle uygulama kurulduğu ve komut çalıştırılarak sunucuya erişildiği,
- •İhlali gerçekleştiren şahsın/şahısların eriştiği sunucu üzerinde kullanıcı oluşturarak farklı araçlar vasıtasıyla data toplamaya çalıştıkları ve uzaktaki sunuculara trafik gönderdiklerinin de ayrıyeten tespit edildiği,
- •Saldırganların bilgiyi Fransa’da bulunan bir IP adresine/sunucuya ilettikleri ve bu iletilen trafiğin firewall (güvenlik duvarı) üzerinde izlerinin olduğu,
- •İhlalden 21.504.083 Yemeksepeti kullanıcısının etkilendiği,
- •İhlalden etkilenen şahsî bilgilerin kullanıcı ismi, adres, telefon numarası, e-posta adresi, kullanıcı şifresi ve IP bilgileri olduğu