Siber saldırıya uğrayan Yemeksepeti’ne; veri ihlalini geç bildirmesi ve 21,5 milyon kişinin verilerini çaldırmasından dolayı KVKK tarafından 2 milyon lira, BTK tarafından da bir milyon lira ceza kesilmesi bekleniyor

Pandemi ile internet kullanımı yaygınlaşırken siber saldırılar da artış gösterdi. Türkiye’de de siber güvenlik konusu, son olarak “Yemeksepeti” adlı çevrim içi yemek sipariş platformunu kullanan vatandaşların verilerinin çalınmasıyla gündeme geldi. 21,5 milyon kişinin verilerinin çalınmasına neden olan ihmali soruşturan Kişisel Verileri Koruma Kurumu (KVKK) ile Bilgi Teknolojileri ve İletişim Kurumunun (BTK), Yemeksepeti’ne en üst sınırdan ceza vermeyi planladığı öğrenildi.
Geçtiğimiz günlerde Yemeksepeti uygulamasını kullananların ad-soyadı, doğum tarihi, telefon numarası, e-Posta adresi, adres bilgisi ve açık olarak görünmeyen SHA-256 algoritması ile maskelenmiş giriş şifresi ele geçilmişti. Firmadan KVKK’ya yapılan bildirimde kimliği veri sorumlusunca belirlenemeyen şahıs ya da şahıslarca Yemeksepetine ait bir web uygulama sunucusuna 18 Mart’ta erişildiği bildirildi. Yetkisiz erişimin o an fark edilemediği ve 25 Mart’ta gelen alarmlar incelendiğinde şüpheli bir davranış tespit edildiği aktarıldı. Yemeksepeti’nin bu bildirimiyle konuya ilişkin bir ihlal daha ortaya çıktı. Verileri 18 Mart’ta çalınan şirket, bu durumu verilerin çalınmasının üzerinden dokuz gün geçtikten sonra 27 Mart’ta kamuoyuna duyurdu.
Veri hırsızlığının ardından hem KVKK hem de BTK Yemeksepeti’ne yönelik inceleme başlatırken iki kurum tarafından da incelemenin çok yönlü olarak sürdürüldüğü belirtildi. Ele geçirildiği bildirilen veriler dışında başka veri veya verilerin de ele geçirilip geçilmediğine, kredi kartları ilgili şüpheli bir durum olup olmadığına ilişkin araştırmaların devam ettiği de ifade edildi.
Hem ihlali geç bildiren hem de 21,5 milyon kişinin verilerinin çalınmasına sebep olan şirket için, KVKK’nın veri güvenliğine ilişkin yükümlülüğe aykırılıktan yaklaşık 2 milyon lira, BTK’nın ise siber güvenlikle ilgili gerekli tedbirlerin alınmaması sebebiyle yaklaşık bir milyon lira ceza kesmeyi planladığı belirtildi.