SON DAKİKA: 30 Milyona Yakın Kullanıcı Verisinin Sızdırıldığı Belirtilen Yemeksepeti'ne Verilen Ceza Açıklandı
KVKK tarafından paylaşılan karara göre Yemeksepeti, 1 milyon 900 bin TL idari para cezasına çarptırıldı
▭▭▰▰▭▭▰▰▭▭▰▰▭▭
Saldırı hakkında tüm detaylar paylaşıldı
Veri sorumlusuna ait bir web uygulama sunucusu üzerindeki açık sebebiyle uygulama kurarak ve komut çalıştırmak suretiyle sunucuya erişildiği,
İhlalden 21.504.083 Yemeksepeti kullanıcısının etkilendiği,
Etkilenen kişisel verilerin kullanıcı adı, adres, telefon numarası, e-posta adresi, şifre ve IP bilgileri olduğu,
İhlalden etkilenen kişi sayısının çok fazla olması ve neredeyse tüm müşteri veri tabanının dışarı sızdırıldığı dikkate alındığında ihlalin çok büyük çaplı olduğu,
İhlalin boyutu, sızdırılan verinin büyüklüğü ve sızdırılan kişisel verilerin niteliği dikkate alındığında, ihlalin ilgili kişiler açısından kişisel veriler üzerinde kontrol kaybı gibi önemli riskler oluşturacağı,
Sisteme giren kişi ya da kişilerce, zararlı yazılım ve araçlarla sisteme giriş yaptıktan sonra diğer sistemlere de erişilerek bilgi toplandığı, sisteme zararlı yazılımların yüklenip, çalıştırılmasının veri sorumlusunca 8 gün boyunca fark edilemediği dolayısıyla bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi ve bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi noktasında veri sorumlusunun kusurunun bulunduğu, 18.03.2021 tarihinden itibaren güvenlik yazılımlarında alarmlar oluştuğu, oluşan bu alarmların üçüncü parti firmalar tarafından izlenen ürünlerde Yemek Sepeti Güvenlik Ekiplerine ilgili bildirimler yapılamadan ve gerekli aksiyonlar alınmadan kapatıldığının ifade edildiği, 25.03.2021 tarihinde iletilen alarmın Yemek Sepeti Güvenlik Ekiplerince incelenmesi sonucu siber saldırının farkına varıldığı dikkate alındığında bu durumun veri sorumlusunun hizmet aldığı üçüncü parti firmalar üzerinde etkin bir denetim mekanizmasının bulunmadığının ve güvenlik yazılımlarının takibi ile güvenlik prosedürlerinin kullanılması noktasında da eksiklerinin bulunduğunun göstergesi olduğu,
Saldırganların veri sorumlusundan elde ettikleri veriyi Fransa’da bulunan bir IP adresine/sunucuya ait lokasyona ilettiği, sistemden çıkan 28.2 GB’lık verinin/dışarı giden trafiğin veri sorumlusu tarafından fark edilemediği ve bu veri trafiğinin firewall (güvenlik duvarı) üzerinde izlerinin olduğu dikkate alındığında; firewall üzerinde izlerin olmasına rağmen bu boyutta verinin dışarı sızdırılmasının fark edilememesinin veri sorumlusu tarafından güvenlik kontrolleri ve veri güvenliği takibinin düzgün bir şekilde yapılmadığının göstergesi olduğu,
Açıklık bulunan sunucunun sızma testinden geçen bir sunucu olduğunun ifade edildiği dikkate alındığında bu durumun veri sorumlusu tarafından sızma testlerinin etkin bir şekilde yapılmadığını/yaptırılmadığını gösterdiği,
Büyük miktarda kişisel veri işleyen veri sorumlusunun bu boyutta bir ihlal yaşamasının ve müdahalede geç kalmasının mevcut risk ve tehditleri iyi belirlemediğinin göstergesi olduğu
Gerekcesiyle 1.9 milyon TL para cezasına çarptırıldı
▭▭▰▰▭▭▰▰▭▭▰▰▭▭
Olayın kronolojik olarak sırası
Yemeksepeti, büyük bir veri sızıntısıyla gündeme geldi. Verileri ele geçirdiğini söyleyen hackerlar, Mesut Çevik’e ve İbrahim Haskoloğlu’ya ulaşarak onlar hakkındaki kişisel verileri kendilerine iletti.
Hackerlar, eski Yemeksepeti CEO’su Nevzat Aydın’a ulaştıklarını ve ödeme talep ettiklerini öne sürmüştü.
Yemeksepeti, konuyla ilgili paylaştığı açıklamada fidye talebini doğrulamış, talebi kabul etmediklerini açıklamışlardı.
En önemlisiyse sistemlerde herhangi bir veri ihlali ya da hırsızlığı tespit edilmediği ifade edilmişti..
Aynı gün içinde yeni bir açıklama paylaşan hackerlar, Yemeksepeti çalışanlarının açık adreslerini ve telefon numaralarını herkese açık yayınlayacaklarını açıkladı.
21 Kasım 2021’de Yemeksepeti’ni hackleyen hackerlar, yeni bir açıklama paylaşarak bir gün içinde ödeme gerçekleşmezse verileri yayımlayacağını açıkladı.
27 Kasım 2021’deyse korkulan oldu. Hackerlar, çalışanların verilerini paylaşmak yerine 20 bin Yemeksepeti kullanıcısının verilerini herkese açık bir şekilde paylaştı. Bu verilerde adresler, telefon numaraları ve her türlü kişisel bilgi yer alıyordu.
Paylaşılan bilgiler, çok kısa sürede sapıkların da eline düştü. Sosyal medyada paylaşım yapan bazı kullanıcılar, kendilerine telefonla ulaşan tanımadıkları kişilerin attıkları mide kaldıran mesajları paylaştı.
Hackerlar, veriler hakkında Yemeksepeti’nin yeni CEO’suna da ulaştıklarını, ancak cevap almadıklarını açıkladı.
29 Kasım’da KVKK, Yemeksepeti hakkında resmen inceleme başlattı.
Hackerlar, Webtekno ekip üyemizin bilgilerini İbrahim Haskoloğlu ile paylaştı.
Tüm bunlar sürerken Yemeksepeti, konu hakkında paylaşım yapan basın mensuplarına yönelik suç duyurularında bulundu.
KAYNAK : WEBTEKNO
KVKK tarafından paylaşılan karara göre Yemeksepeti, 1 milyon 900 bin TL idari para cezasına çarptırıldı
▭▭▰▰▭▭▰▰▭▭▰▰▭▭
Saldırı hakkında tüm detaylar paylaşıldı
Veri sorumlusuna ait bir web uygulama sunucusu üzerindeki açık sebebiyle uygulama kurarak ve komut çalıştırmak suretiyle sunucuya erişildiği,
İhlalden 21.504.083 Yemeksepeti kullanıcısının etkilendiği,
Etkilenen kişisel verilerin kullanıcı adı, adres, telefon numarası, e-posta adresi, şifre ve IP bilgileri olduğu,
İhlalden etkilenen kişi sayısının çok fazla olması ve neredeyse tüm müşteri veri tabanının dışarı sızdırıldığı dikkate alındığında ihlalin çok büyük çaplı olduğu,
İhlalin boyutu, sızdırılan verinin büyüklüğü ve sızdırılan kişisel verilerin niteliği dikkate alındığında, ihlalin ilgili kişiler açısından kişisel veriler üzerinde kontrol kaybı gibi önemli riskler oluşturacağı,
Sisteme giren kişi ya da kişilerce, zararlı yazılım ve araçlarla sisteme giriş yaptıktan sonra diğer sistemlere de erişilerek bilgi toplandığı, sisteme zararlı yazılımların yüklenip, çalıştırılmasının veri sorumlusunca 8 gün boyunca fark edilemediği dolayısıyla bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi ve bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi noktasında veri sorumlusunun kusurunun bulunduğu, 18.03.2021 tarihinden itibaren güvenlik yazılımlarında alarmlar oluştuğu, oluşan bu alarmların üçüncü parti firmalar tarafından izlenen ürünlerde Yemek Sepeti Güvenlik Ekiplerine ilgili bildirimler yapılamadan ve gerekli aksiyonlar alınmadan kapatıldığının ifade edildiği, 25.03.2021 tarihinde iletilen alarmın Yemek Sepeti Güvenlik Ekiplerince incelenmesi sonucu siber saldırının farkına varıldığı dikkate alındığında bu durumun veri sorumlusunun hizmet aldığı üçüncü parti firmalar üzerinde etkin bir denetim mekanizmasının bulunmadığının ve güvenlik yazılımlarının takibi ile güvenlik prosedürlerinin kullanılması noktasında da eksiklerinin bulunduğunun göstergesi olduğu,
Saldırganların veri sorumlusundan elde ettikleri veriyi Fransa’da bulunan bir IP adresine/sunucuya ait lokasyona ilettiği, sistemden çıkan 28.2 GB’lık verinin/dışarı giden trafiğin veri sorumlusu tarafından fark edilemediği ve bu veri trafiğinin firewall (güvenlik duvarı) üzerinde izlerinin olduğu dikkate alındığında; firewall üzerinde izlerin olmasına rağmen bu boyutta verinin dışarı sızdırılmasının fark edilememesinin veri sorumlusu tarafından güvenlik kontrolleri ve veri güvenliği takibinin düzgün bir şekilde yapılmadığının göstergesi olduğu,
Açıklık bulunan sunucunun sızma testinden geçen bir sunucu olduğunun ifade edildiği dikkate alındığında bu durumun veri sorumlusu tarafından sızma testlerinin etkin bir şekilde yapılmadığını/yaptırılmadığını gösterdiği,
Büyük miktarda kişisel veri işleyen veri sorumlusunun bu boyutta bir ihlal yaşamasının ve müdahalede geç kalmasının mevcut risk ve tehditleri iyi belirlemediğinin göstergesi olduğu
Gerekcesiyle 1.9 milyon TL para cezasına çarptırıldı
▭▭▰▰▭▭▰▰▭▭▰▰▭▭
Olayın kronolojik olarak sırası
Yemeksepeti, büyük bir veri sızıntısıyla gündeme geldi. Verileri ele geçirdiğini söyleyen hackerlar, Mesut Çevik’e ve İbrahim Haskoloğlu’ya ulaşarak onlar hakkındaki kişisel verileri kendilerine iletti.
Hackerlar, eski Yemeksepeti CEO’su Nevzat Aydın’a ulaştıklarını ve ödeme talep ettiklerini öne sürmüştü.
Yemeksepeti, konuyla ilgili paylaştığı açıklamada fidye talebini doğrulamış, talebi kabul etmediklerini açıklamışlardı.
En önemlisiyse sistemlerde herhangi bir veri ihlali ya da hırsızlığı tespit edilmediği ifade edilmişti..
Aynı gün içinde yeni bir açıklama paylaşan hackerlar, Yemeksepeti çalışanlarının açık adreslerini ve telefon numaralarını herkese açık yayınlayacaklarını açıkladı.
21 Kasım 2021’de Yemeksepeti’ni hackleyen hackerlar, yeni bir açıklama paylaşarak bir gün içinde ödeme gerçekleşmezse verileri yayımlayacağını açıkladı.
27 Kasım 2021’deyse korkulan oldu. Hackerlar, çalışanların verilerini paylaşmak yerine 20 bin Yemeksepeti kullanıcısının verilerini herkese açık bir şekilde paylaştı. Bu verilerde adresler, telefon numaraları ve her türlü kişisel bilgi yer alıyordu.
Paylaşılan bilgiler, çok kısa sürede sapıkların da eline düştü. Sosyal medyada paylaşım yapan bazı kullanıcılar, kendilerine telefonla ulaşan tanımadıkları kişilerin attıkları mide kaldıran mesajları paylaştı.
Hackerlar, veriler hakkında Yemeksepeti’nin yeni CEO’suna da ulaştıklarını, ancak cevap almadıklarını açıkladı.
29 Kasım’da KVKK, Yemeksepeti hakkında resmen inceleme başlattı.
Hackerlar, Webtekno ekip üyemizin bilgilerini İbrahim Haskoloğlu ile paylaştı.
Tüm bunlar sürerken Yemeksepeti, konu hakkında paylaşım yapan basın mensuplarına yönelik suç duyurularında bulundu.
KAYNAK : WEBTEKNO
