Yemeksepeti’ne KVKK tarafından inceleme başlatıldı

Geçtiğimiz günlerde hacklendiğini duyuran Yemeksepeti hakkında Kişisel Verileri Koruma Kurumu (KVKK) tarafından açıklama paylaşıldı. KVKK, kaç kişinin verisinin etkilendiğini açıkladı. Konu hakkında inceleme başlatıldı.

KVKK’nın açıklamasına göre Yemeksepeti kullanıcısı 21 milyon 504 bin 83 kişinin kişisel verileri saldırganların eline geçti. Verilere izinsiz ilk erişimin 18 Mart 2021’de yapıldığı tespit edilmiş. Yemeksepeti, bu konuyu 25 Mart’ta incelemeye almış ve saldırıya uğradığını o gün fark etmiş.

Yemeksepeti hack’lendi

Yemeksepeti, veri sızıntısını fark ettikten sonra KVKK’ya veri ihlali bildiriminde bulundu. Veri ihlali bildiriminde özetle şu ifadelere yer verdi:

18.03.2021 tarihinde kimliği veri sorumlusunca belirlenemeyen şahıs ya da şahıslarca Yemek Sepetine ait bir web uygulama sunucusuna erişildiği,

Normal şartlarda yetkisiz bir erişim olduğunda uyarı veren araç üzerinde sorun kaydı oluştuğu ancak bir aksaklık nedeniyle yetkisiz erişimin o an fark edilemediği,

25.03.2021 tarihinde gelen alarmlar incelendiğinde şüpheli bir davranışın tespit edildiği,

Yemek Sepetine ait bir web uygulama sunucusu üzerinde bir açıklık bulunduğu, bu açıklıktan yararlanılarak, uygulama kurulduğu ve komut çalıştırılmak suretiyle sunucuya erişilebildiği,

Saldırıyı yapanlar tarafından sunucu üzerinde kullanıcı oluşturularak veri toplanmaya çalışıldığı ve uzaktaki sunuculara trafik gönderildiği,

İhlalden etkilenen kişisel verilerin kısmi olarak veri sorumlusunca belirlendiği ve söz konusu verilerin kullanıcı adı, adres, telefon, e-posta, şifre, IP bilgileri olduğunun değerlendirildiği,

Kredi kartı ya da finansal verilerin etkilenmediğinin belirtildiği, kredi kartı saklama hizmetinin veri sorumlusundan bağımsız Mastercard tarafından sağlandığı,

İlgili kişilerin ihlal ile ilgili olarak info@yemeksepeti.com e-mail adresi üzerinden bilgi alabileceği ifade edilmiştir.

Kişisel Verileri Koruma Kurulu konu hakkında inceleme başlattı ancak henüz soruşturma başlatmadı. Yapılan açıklamada kurulun incelemesinin devam ettiği belirtildi. İnceleme sonucuna bağlı olarak soruşturma açılabilir.

HANGİ VERİLER ELE GEÇİRİLDİ?

Yemeksepeti her şeyden önce kredi kartı bilgilerinin güvende olduğunu aktardı. Kredi kartı bilgileri de dahil olmak üzere hiçbir finansal bilgi ele geçirilmedi. Şifreler ise kriptolu olarak ele geçirildi. Çalınan bilgiler şu şekilde:

Ad - Soyad

Doğum tarihi

Yemeksepetine kayıtlı telefon numaraları

Yemeksepetine kayıtlı e-posta adresleri

Yemeksepetine kayıtlı adres bilgileri

Açık olarak görülemeyen, SHA-256 algoritması ile maskelenmiş giriş şifreleri.