EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

KVKK Karar » 2020/216

2020/216

12/03/2020

Konu: Bir bilişim şirketinin kişisel veri ihlali bildirimi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafında Kurul’a iletilen veri ihlal bildiriminde veri sorumlusunun sistemlerine siber saldırı sonucunda veri ihlalinin gerçekleştiği belirtilmiştir. Kurul tarafından yapılan inceleme sonucunda saldırganlar tafafından erişilen verilerin veri sorumlusu tarafından tespit edilememesi veri sorumlusu tarfaından kontrol ve uyarı mekanizmalarının etkin şekilde kullanılmadığının göstergesi olduğu, veri sorumlusu nezdinde son kullanma tarihi geçmiş kredi kartı bilgilerinin kayıtlı olmasının KVKK’nın 4’üncü maddesinin 2 numaralı fıkrasının b ce ç bentlerine aykırılık teşkil ettiği, bununla birlikte veri sorumlusuna ait internet sitesinde gerçekleştirilen veri işleme faaliyetlerine ilişkin aydınlatma metninin bulunmadığı ve veri güvenliğini sağlanmasına ilişkin gerekli teknik ve idari tedbirlerin alınmaması sebebiyle idari para cezası uygulanmasına karar verilmiştir.

Ceza: 450.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • Veri sorumlusu Şirketin sistemlerine siber saldırı gerçekleştirilerek sistemlerinde yer alan verilerin elde edilmeye çalışıldığı,
  • Pilot adı verilen uygulamada debugging özelliğinin açık olduğu ve şirket için sistem geliştirmesi yapan geliştiricilerin bu özelliği kullanarak uygulamadaki hataları tespit ettiği ve iyileştirme gerçekleştirdiği,
  • İhlale konu siber saldırı ile Pilot uygulamasına internet üzerinden erişim sağlamaya çalışan kişinin(lerin), uygulamaya daha önce giriş yapmış kişilere ait “PHPSESSID” değerini elde ettiği ve Pilot uygulamasına erişim sağladığı,
  • Debugging özelliğinin açık olmasının sebebinin sisteme internet üzerinden erişilerek geliştirmelerin yapılmasına olanak sağlamak olduğu, ancak bu durumun internet üzerinden siber saldırılar gerçekleştirilerek sisteme erişilmesine olanak tanıdığı,
  • Sistemde saldırganlar tarafından erişilen verilerin neler olduğunun net bir şekilde tespit edilemediği ancak veri sorumlusunun sistemlerinde yer alan verilerin tümü dikkate alındığında sistemde 65.993 kişinin yer aldığı, bu kişilerin sadece teklif almış, üyelik oluşturmuş, herhangi bir şekilde hizmet almış, aktif olan ve olmayan kişileri içerdiği,
  • İlgili kişilere ilişkin sistemde yer alan kayıtların 1259 sözleşme, 701 alan adı başvuru dosyası (içerisinde imza sirküleri, vergi levhası ve kişi kimlik fotokopisi kayıtları) olduğu,
  • Sistemde ayrıca elli bin kredi kartı bilgisi yer aldığı, ancak bu kredi kartı bilgilerinin büyük çoğunluğunun son kullanma tarihinin geçmiş olduğu ve kullanılamayacağı, sadece sekiz bin kartın aktif olduğunun tespit edildiği,
  • İhlalden etkilenen kişi kategorilerinin müşteriler ve potansiyel müşteriler olduğu,
  • Saldırganların hangi verilere eriştiklerinin tespit edilemediği, sistemde yer alan verilerin kimlik, iletişim, işlem güvenliği (kullanıcı adı ve parola bilgileri), ödeme Bilgileri (kredi kartı numarası) olduğu,
  • Ele geçirilen kredi kartı bilgilerinin 2018 tarihi öncesinde veri sorumlusu Şirkete aktarılan bilgiler olduğu, 2016 tarihi itibari ile ödeme hizmetlerinde iyileştirme çalışmaları kapsamında bir proje başlatıldığı, 2018 yılı itibariyle kredi kartı bilgilerinin yetkilendirilmiş ödeme hizmet sağlayıcıları üzerinden toplanmakta ve onlar tarafından saklanmakta olduğu,
  • Veri ihlalinden doğrudan etkilenen özel nitelikli bir veri bulunmadığı, ancak tüzel kişi müşterilerin imza sirkülerinin ekinde yer alan eski kimlik fotokopilerinde kan grubu ve din bilgisi hanelerinin bulunduğu ve bazı imza sirkülerinde kimlik fotokopisinin arka yüzünün de yer alabildiği dikkate alınarak; bazı müşteriler için saldırganların bu verilere de erişme ihtimali olabileceği,
  • Sistemde yer alan tüm kayıtların incelendiği ve sayımlarda (imza sirkülerlerinde yer alan kimlik fotokopileri de dahil) 1.784 adet eski kimlik fotokopisinin arkalı önlü yüzünün bulunduğunun tespit edildiği,
  • İhlalden etkilenen tüm müşterilere e-posta göndermek suretiyle bildirimde bulunulduğu, bir kısım müşterilere mümkün olduğunca telefonla da bilgilendirme gerçekleştirildiği

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 12/03/2020 tarih ve 2020/216 sayılı sayılı Kararı ile;

  • Sistemde saldırganlar tarafından erişilen verilerin neler olduğunun net bir şekilde tespit edilememesinin, veri sorumlusu tarafından sızma veya herhangi bir anomali olup olmadığının belirlenmesi noktasında kontrol ve uyarı mekanizmalarının etkin bir şekilde kullanılmadığının göstergesi olduğu,
  • Veri sorumlusu tarafından hangi kişisel verilerin etkilendiğinin tespit edilemediği ancak sistemlerde 65.993 kişinin yer aldığı, bu kişilerin sadece teklif almış, üyelik oluşturmuş, herhangi bir şekilde hizmet almış, aktif olan ve olmayan kişileri içerdiği, bu kişilerden 1.784 tanesinin eski kimlik fotokopisinin arkalı önlü yüzünün bulunduğu ayrıca elli bin kredi kartı bilgisi yer aldığı,
  • Veri sorumlusunun kredi kartı bilgilerinin büyük çoğunluğunun son kullanma tarihinin geçmiş olduğu ve kullanılamayacağı, sadece sekiz bin kartın aktif olduğu, 2018 yılı itibariyle kredi kartı bilgilerinin yetkilendirilmiş ödeme hizmet sağlayıcıları üzerinden toplandığı ve onlar tarafından saklandığı bu çerçevede veri sorumlusunun ödeme sistemini değiştirmiş olmasına rağmen sistemde bulunan kredi kartı bilgilerini imha etmeyerek 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 4 üncü maddesinin (2) numaralı fıkrasının (b) ve (ç) bendine aykırı hareket ettiği,
  • Şirket dışından erişim için güvenlik amacıyla VPN ile Şirket IP’sine bağlanıldığı ve kişilere özel kullanıcı adı ve VPN şifresi verildiği, saldırganların da sisteme SFTP ve VPN aracılığı ile bağlandığı, ihlalden sonra 29.01.2020 tarihinde yapılan ve veri sorumlusu tarafından Kurumumuza gönderilen sızma testinde özellikle web uygulamalarında yüksek ve orta seviyede açıklıkların tespit edildiği göz önüne alındığında bu durumun veri sorumlusu tarafından gerekli teknik tedbirlerin alınmadığının göstergesi olduğu,
  • Veri sorumlusunun https://www.****.com.tr adresinde domain ve hosting hizmetlerinin satın alındığı ekranları incelendiğinde satın alma süreçlerinde kimlik ve iletişim bilgilerinin talep edildiği ancak herhangi bir aydınlatma metninin bulunmadığı göz önüne alındığında veri sorumlusunun 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında yükümlülüklerini yeterli seviyede yerine getirmediği kanaatine varıldığı,
  • Veri sorumlusu tarafından ihlal öncesi alınması gereken teknik tedbirlerin (çift faktör özelliği olan sistemlerde bu özelliğin aktifleştirilmesi, VPN erişimde kullanılan sertifikaların yenilenmesi, çalışanlarının e-posta erişimlerinin iki aşamalı kimlik doğrulama olarak güncellenmesi, log kayıtlarının adli olaylarda kanıt niteliğinde kullanılabilmesi için zaman damgasıyla damgalanması, logların korelasyonunun sağlanması vb) ihlal sonrası devreye alınmasının gerekli teknik ve idari tedbirlerin alınmadığının göstergesi olduğu

değerlendirmelerinden hareketle, Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 450.000 TL idari para cezasının uygulanmasına,

  • Veri ihlalinin 09.10.2019 tarihinde 14:04’de gerçekleştiği, 11.10.2019 tarihinde saat 14.04’de veri sorumlusu tarafından tespit edildiği, 14.10.2019 tarihinde Kurula 72 saat içinde bildirildiği  dikkate alındığında bu hususta yapılacak bir işlem bulunmadığına karar verilmiştir.

Kararı Paylaşın

Aynı Sektörde Verilmiş GDPR Kararları

Bu içerik abonelere özeldir

İlgili GPDR Karar Özetlerine Erişmek için Abone Ol!

YORUMLAR

Siz de görüşünüzü belirtin

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Türkçe dilinde GDPR karar özetlerini görmek ister misin?