Şahsî Dataları Muhafaza Kurumu, Yemeksepeti’nde yaşanan data ihlaline ait bir açıklama yayımladı.
Açıklamada, bilgi sorumlusu sıfatını haiz olan Yemek Sepeti Elektronik İrtibat Perakende Besin Lojistik A.Ş.tarafından Kuruma gönderilen ferdî bilgi ihlali bildiriminde 18 Mart 2021 tarihinde kimliği bilgi sorumlusunca belirlenemeyen şahıs ya da şahıslarca Yemek Sepetine ilişkin bir web uygulama sunucusuna erişildiği ve bundan 21 milyon 504 bin 83 kişinin etkilendiği belirtildi.
Açıklamada ilgili ihlal ile ilgili şu tabirler kullanıldı: Olağan kurallarda yetkisiz bir erişim olduğunda ikaz veren araç üzerinde sorun kaydı oluştuğu lakin bir aksaklık nedeniyle yetkisiz erişimin o an fark edilemediği, 25.03.2021 tarihinde gelen alarmlar incelendiğinde kuşkulu bir davranışın tespit edildiği, Yemek Sepetine ilişkin bir web uygulama sunucusu üzerinde bir açıklık bulunduğu, bu açıklıktan yararlanılarak, uygulama kurulduğu ve komut çalıştırılmak suretiyle sunucuya erişilebildiği tabir edilmiştir.
Saldırıyı yapanlar tarafından sunucu üzerinde kullanıcı oluşturularak data toplanmaya çalışıldığı ve uzaktaki sunuculara trafik gönderildiği, İhlalden etkilenen şahsî bilgilerin kısmi olarak bilgi sorumlusunca belirlendiği ve kelam konusu bilgilerin kullanıcı ismi, adres, telefon, e-posta, şifre, IP bilgileri olduğunun değerlendirildiği, Kredi kartı ya da finansal bilgilerin etkilenmediğinin belirtildiği, kredi kartı saklama hizmetinin bilgi sorumlusundan bağımsız Mastercard tarafından sağlandığı, İlgili bireylerin ihlal ile ilgili olarak [email protected] e-mail adresi üzerinden bilgi alabileceği belirtilmiştir.
Bloomberg HT
