Şahsî Bilgileri Muhafaza Kurumu, Yemeksepeti’nde yaşanan data ihlaline ait bir açıklama yayımladı.
Açıklamada, data sorumlusu sıfatını haiz olan Yemek Sepeti Elektronik İrtibat Perakende Besin Lojistik A.Ş.tarafından Kuruma gönderilen şahsî data ihlali bildiriminde 18 Mart 2021 tarihinde kimliği bilgi sorumlusunca belirlenemeyen şahıs ya da şahıslarca Yemek Sepetine ilişkin bir web uygulama sunucusuna erişildiği ve bundan 21 milyon 504 bin 83 kişinin etkilendiği belirtildi.
Açıklamada ilgili ihlal ile ilgili şu sözler kullanıldı: Olağan kurallarda yetkisiz bir erişim olduğunda ikaz veren araç üzerinde sorun kaydı oluştuğu lakin bir aksaklık nedeniyle yetkisiz erişimin o an fark edilemediği, 25.03.2021 tarihinde gelen alarmlar incelendiğinde kuşkulu bir davranışın tespit edildiği, Yemek Sepetine ilişkin bir web uygulama sunucusu üzerinde bir açıklık bulunduğu, bu açıklıktan yararlanılarak, uygulama kurulduğu ve komut çalıştırılmak suretiyle sunucuya erişilebildiği söz edilmiştir.
Saldırıyı yapanlar tarafından sunucu üzerinde kullanıcı oluşturularak bilgi toplanmaya çalışıldığı ve uzaktaki sunuculara trafik gönderildiği, İhlalden etkilenen ferdî dataların kısmi olarak data sorumlusunca belirlendiği ve kelam konusu dataların kullanıcı ismi, adres, telefon, e-posta, şifre, IP bilgileri olduğunun değerlendirildiği, Kredi kartı ya da finansal dataların etkilenmediğinin belirtildiği, kredi kartı saklama hizmetinin bilgi sorumlusundan bağımsız Mastercard tarafından sağlandığı, İlgili bireylerin ihlal ile ilgili olarak [email protected] e-mail adresi üzerinden bilgi alabileceği belirtilmiştir.
Bloomberg HT
