Bir E-Ticaret Platformunda Yaşanan Veri İhlali: Siber Saldırının Perde Arkası
Türkiye’nin önde gelen e-ticaret platformlarından biri, her gün binlerce satıcı ve milyonlarca müşteriyle buluşuyor. Satıcılar, ürünlerini bu platform üzerinden geniş kitlelere ulaştırırken, müşteriler de ihtiyaçlarını kolayca karşılıyor. Ancak 2024 yılının Şubat ayında yaşanan bir olay, hem satıcıları hem de müşterileri derinden etkiledi.
Saldırının Başlangıcı
2 Şubat 2024 tarihinde, siber saldırganlar başka platformlardan elde ettikleri kullanıcı adı ve şifre bilgilerini kullanarak e-ticaret platformunun satıcı portalına erişim sağlamaya çalıştılar. Bu yöntemle, bazı satıcı hesaplarına yetkisiz girişler gerçekleştirdiler. İlk etapta fark edilmeyen bu girişimler, platformun siber güvenlik ekibi tarafından tespit edilene kadar devam etti.
İhlalin Tespiti ve Kapsamı
6 Şubat 2024 tarihinde, hem satıcılardan hem de müşterilerden gelen şikayetler üzerine platformun siber güvenlik ekibi anormallikleri fark etti. Yapılan detaylı incelemeler sonucunda, 673 satıcının hesaplarının etkilendiği ve bu satıcıların müşterilerinden 7.202 kişinin kişisel verilerinin yetkisiz kişiler tarafından indirildiği belirlendi. Etkilenen veriler arasında ad, soyad, T.C. kimlik numarası, telefon numarası, e-posta adresi ve kargo adresi gibi hassas bilgiler bulunuyordu.
Saldırının Yöntemi ve Platformun Eksiklikleri
Saldırganlar, platformun satıcı portalında bulunan bir güvenlik açığından faydalandılar. Özellikle, “Bot” trafiğini engellemek için kullanılan uygulamanın yetersizliği nedeniyle saldırganlar bu engeli aşabildiler. Ayrıca, satıcıların farklı IP adreslerinden giriş yapmaları durumunda tetiklenmesi gereken tek seferlik parola sistemi gibi ek güvenlik önlemlerinin ihlal öncesinde aktif edilmemiş olması, saldırının başarısını artırdı.
KVKK’nın Müdahalesi ve Cezai Yaptırım
Kişisel Verileri Koruma Kurumu (KVKK), yaşanan bu ihlal üzerine detaylı bir inceleme başlattı. Yapılan değerlendirmeler sonucunda, e-ticaret platformunun veri güvenliğini sağlamak için gerekli teknik ve idari tedbirleri almadığı tespit edildi. Bu ihmaller nedeniyle, KVKK 8 Ağustos 2024 tarihinde aldığı kararla platforma 3.250.000 TL idari para cezası uyguladı.
Sonuç ve Alınması Gereken Dersler
Bu olay, dijital platformların veri güvenliği konusunda ne denli hassas ve dikkatli olmaları gerektiğini bir kez daha gözler önüne serdi. Özellikle, kullanıcıların başka platformlarda kullandıkları şifreleri tekrar kullanmaları, bu tür zincirleme ihlallere zemin hazırlayabiliyor.
Platformların, kullanıcılarının verilerini korumak için en güncel ve etkili güvenlik önlemlerini almaları, olası saldırılara karşı proaktif davranmaları büyük önem taşıyor.
Kaynak:
