Yemeksepeti'nde 'hack' olayının detayları ortaya çıktı
Online yemek sipariş platformu Yemeksepeti’nin uğradığı siber saldırı ile ilgili olarak Kişisel Verileri Koruma Kurumu’ndan (KVKK) da beklenen açıklama geldi.
Habertürk'ten Necdet Çalışkan'ın haberine göre KVKK’dan Yemek Sepeti Elektronik İletişim Perakende Gıda Lojistik AŞ ile ilgili yapılan veri ihlali bildirime göre Yemeksepeti’nin 27 Mart’ta duyurduğu ve 25 Mart’ta gerçekleştiğini belirttiği siber saldırı, aslında 18 Mart’ta yapılmış.
7 GÜN GEÇ FARK EDİLMİŞ!
KVKK’ya yapılan bilgilendirmeyle normal şartlarda Yemeksepeti’nin yetkisiz bir erişim olduğunda uyarı veren web uygulama sunucu aracı üzerinde sorun oluştuğu için saldırının, o tarihte (18 Mart) fark edilemediği ortaya çıktı.
Açıklamada, 25 Mart’ta anlaşılabilen ve Türkiye’de son yılların en büyük veri ihlallerinden biri olarak kayda geçen Yemeksepeti’ne yönelik siber saldırıdan etkilenlerin sayısının ise 21 milyon 504 bin 83 kişi olduğu belirtildi.
'SUNUCU ÜZERİNDE AÇIĞI BULDULAR'
Yemeksepeti’nde yaşanan veri ihlali ile ilgili incelemenin devam ettiğini duyuran KVKK, Yemek Sepeti’den Kuruma gönderilen kişisel veri ihlali bildirimindeki detayları şu şekilde paylaştı:
- 18.03.2021 tarihinde kimliği veri sorumlusunca belirlenemeyen şahıs ya da şahıslarca Yemek Sepetine ait bir web uygulama sunucusuna erişildi.
- Normal şartlarda yetkisiz bir erişim olduğunda uyarı veren araç üzerinde sorun kaydı oluştuğu ancak bir aksaklık nedeniyle yetkisiz erişimin o an fark edilemedi.
- 25.03.2021 tarihinde gelen alarmlar incelendiğinde şüpheli bir davranış tespit edildi.
- Yemek Sepetine ait bir web uygulama sunucusu üzerinde bir açıklık bulundu, bu açıklıktan yararlanılarak, uygulama kuruldu ve komut çalıştırılmak suretiyle sunucuya erişilebildi.
- Saldırıyı yapanlar tarafından sunucu üzerinde kullanıcı oluşturularak veri toplanmaya çalışıldı ve uzaktaki sunuculara trafik gönderildi.
- İhlalden 21.504.083 kişinin etkilendi.
- İhlalden etkilenen kişisel verilerin kısmi olarak veri sorumlusunca belirlendi ve söz konusu verilerin kullanıcı adı, adres, telefon, e-posta, şifre, IP bilgileri olduğu değerlendirildi.
- Kredi kartı saklama hizmetinin veri sorumlusundan bağımsız Mastercard tarafından sağlandığı için kredi kartı ya da finansal verilerin etkilenmediği belirtildi.
- İlgili kişilerin ihlal ile ilgili olarak [email protected] e-mail adresi üzerinden bilgi alabileceği ifade edildi.