Açıklamada, veri sorumlusu sıfatına haiz olan Yemeksepeti Elektronik İletişim Parekende Gıda Lojistik A.Ş. tarafından kuruma gönderilen kişisel veri ihlali bildiriminde 18 Mart'ta kimliği belirlenemeyen kişi ya da kişiler tarafından Yemeksepetine ait web uygulama sunucusuna erişildiği, bundan 21.5 milyon kişinin etkilendiği kaydedildi.

Bloomberg HT'de yer alan açıklamaya göre KVKK şu açıklamayı yaptı: Normal şartlarda yetkisiz bir erişim olduğunda uyarı veren araç üzerinde sorun kaydı oluştuğu ancak bir aksaklık nedeniyle yetkisiz erişimin o an fark edilemediği, 25.03.2021 tarihinde gelen alarmlar incelendiğinde şüpheli bir davranışın tespit edildiği, Yemek Sepetine ait bir web uygulama sunucusu üzerinde bir açıklık bulunduğu, bu açıklıktan yararlanılarak, uygulama kurulduğu ve komut çalıştırılmak suretiyle sunucuya erişilebildiği ifade edilmiştir.

Saldırıyı yapanlar tarafından sunucu üzerinde kullanıcı oluşturularak veri toplanmaya çalışıldığı ve uzaktaki sunuculara trafik gönderildiği, İhlalden etkilenen kişisel verilerin kısmi olarak veri sorumlusunca belirlendiği ve söz konusu verilerin kullanıcı adı, adres, telefon, e-posta, şifre, IP bilgileri olduğunun değerlendirildiği, Kredi kartı ya da finansal verilerin etkilenmediğinin belirtildiği, kredi kartı saklama hizmetinin veri sorumlusundan bağımsız Mastercard tarafından sağlandığı, İlgili kişilerin ihlal ile ilgili olarak [email protected] e-mail adresi üzerinden bilgi alabileceği belirtilmiştir.