Geçtiğimiz günlerde siber saldırıya uğrayan Yemeksepeti’ne KVKK tarafından veri ihlalini geç bildirmesi ve 21,5 milyon kişinin verilerini çaldırması sebebi ile 2 milyon lira, BTK tarafından ise 1 milyon lira ceza kesilmesi bekleniyor.
Pandemi ile birlikte internet kullanımı fazlasıyla yaygınlaştı bununla birlikte de siber saldırılarda büyük bir tırmanış gözlendi. Siber güvenlik konusu Türkiye’de Yemeksepeti müşterilerinin verilerinin çalınması ile gündeme geldi. 21,5 milyon kişinin verilerinin çalınmasına sebep olan ihmali soruşturmaya başlayan Kişisel Verileri Koruma Kurumu (KVKK) ve Bilgi Teknolojileri ve İletişim Kurumu (BTK) Yemeksepeti’ne en üst sınırdan ceza vermeyi planlıyor.
Yemeksepeti’ne gerçekleşen saldırıda uygulama kullanıcılarının ad-soyad, doğum tarihi, telefon numarası, e-posta adresleri, adres bilgileri ve açık olarak görünmeyen SHA-256 algoritması ile maskelenmiş giriş şifreleri ele geçirildi. Firmanın KVKK’ya yaptığı bildirime göre kimliği veri sorumlusu tarafından belirlenemeyen şahıs ya da şahıslar Yemeksepeti’ne ait bir web uygulama sunucusuna 18 Mart’ta erişildi. Fakat yetkisiz erişimin o an fark edilemediği ve 25 Mart’ta gelen uyarılar incelendiğinde şüpheli bir davranış tespit edildiği aktarıldı. Yemeksepeti’nin bu bildirimi ile ne yazık ki konuya ilişkin bir ihlal daha ortaya çıktı; Verileri 18 Mart’ta çalınmış olmasına rağmen olayın üzerinden dokuz gün geçtikten sonra Yemeksepeti veri ihlalini 27 Mart’ta kamuoyuna duyurdu.
Gerçekleşen veri hırsızlığı sonrasında hem KVKK hem de BTK Yemeksepeti’ne yönelik inceleme başlattı. Yapılmakta olan incelemelerin çok yönlü olarak sürdürüldüğü aktarıldı. Yemeksepeti’nin veri ihlali ile ilgili yaptığı açıklama dışında başka veri veya verilerin de ele geçirilip geçirilmediğine, kredi kartları ile ilgili şüpheli bir durum olup olmadığına ilişkin araştırmaların da devam ettiği bildirildi.
İhlali geç bildirmesi ve 21,5 milyon kişinin verilerinin çalınmasına neden olan şirket için KVKK tarafından veri güvenliğine ilişkin yükümlülüğüne aykırılıktan 2 milyon lira, siber güvenlikle ilgili gerekli tedbirlerin alınmaması sebebi ile BTK tarafından ise yaklaşık bir milyon lira ceza kesileceği tahmin ediliyor.
Kaynak için tıklayınız.
