Yemeksepeti, 27 Mart’ta yaptığı açıklamada, siber korsanlar tarafından taarruza uğradığını ve müşterilerin bir kısmının bilgilerinin çalındığını açıklamıştı.
Açıklamada kullanıcıların ad-soyad, mail adresleri, telefon numaraları, adres bilgilerinin çalındığını fakat kredi kartı bilgileri ve toplumsal medya hesabı bilgileri üzere dataların inançta olduğu duyurulmuştu.
21 MİLYONDAN FAZLA KİŞİ ETKİLENDİ
Yemeksepeti tarafından siber atakla ilgili Ferdî Bilgileri Müdafaa Kurumu’na (KVKK) şahsî data ihlali bildirimi gönderildi. Bildirimde şu sözler kullanıldı:
* 18.03.2021 tarihinde kimliği data sorumlusunca belirlenemeyen şahıs ya da şahıslarca Yemek Sepetine ilişkin bir web uygulama sunucusuna erişildiği,
* Olağan kurallarda yetkisiz bir erişim olduğunda ihtar veren araç üzerinde sorun kaydı oluştuğu lakin bir aksaklık nedeniyle yetkisiz erişimin o an fark edilemediği,
* 25.03.2021 tarihinde gelen alarmlar incelendiğinde kuşkulu bir davranışın tespit edildiği,
* Yemek Sepetine ilişkin bir web uygulama sunucusu üzerinde bir açıklık bulunduğu, bu açıklıktan yararlanılarak, uygulama kurulduğu ve komut çalıştırılmak suretiyle sunucuya erişilebildiği,
* Saldırıyı yapanlar tarafından sunucu üzerinde kullanıcı oluşturularak bilgi toplanmaya çalışıldığı ve uzaktaki sunuculara trafik gönderildiği,
* İhlalden 21.504.083 kişinin etkilendiği,
* İhlalden etkilenen şahsî bilgilerin kısmi olarak bilgi sorumlusunca belirlendiği ve kelam konusu dataların kullanıcı ismi, adres, telefon, e-posta, şifre, IP bilgileri olduğunun değerlendirildiği,
* Kredi kartı ya da finansal dataların etkilenmediğinin belirtildiği, kredi kartı saklama hizmetinin bilgi sorumlusundan bağımsız Mastercard tarafından sağlandığı,
* İlgili bireyler ihlal ile ilgili olarak [email protected] e-mail adresi üzerinden bilgi alabilir.
İNCELEME DEVAM EDİYOR
KVKK’nın internet sitesinde yer alan açıklamada ise “Konuya ait inceleme devam etmekle birlikte, Ferdî Dataları Müdafaa Heyetinin 29.03.2021 tarih ve 2021/321 sayılı Kararı ile kelam konusu bilgi ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir” sözleri kullanıldı.
Sözcü
