Kategori arşivi: KVKK

KVKK

Milyonlarca kişinin kullandığı sahibinden.com’a siber saldırı: Binlerce kullanıcının verileri çalındı!

Yorum yapın

Milyonlarca kişinin kullandığı sahibinden.com'a siber saldırı: Binlerce kullanıcının verileri çalındı!Kişisel Verileri Koruma Kurumu (KVKK), sahibinden.com internet sitesine kayıtlı 71 bin 422 kullanıcıya ait kişisel verilerin sızdırıldığını duyurdu.

Geçtiğimiz günlerde birçok siteden veri sızıntılarına dair iddialar dark web üzerinden paylaşılmasının ardından KVKK’dan yapılan açıklamayla emlak, vasıta ve ikinci el alışveriş için milyonlarca kişinin kullandığı sahibinden.com’a ilişkin bilgi güvenliği olayı doğrulanmış oldu.

Kurumdan yapılan açıklamada siber saldırı sonucu gerçekleşen veri ihlalinin 27 Mart’ta fark edildiği kaydedildi.  Saldırı sonucu kullanıcılar hakkında birçok bilginin üçüncü taraf kişilerce çalındığı öne sürülüyor. Sızıntıdan  etki 71 bin 422 kullanıcının etkilendiği belirtiliyor.

Milyonlarca kullanıcısı olan Yemeksepeti’ne siber saldırı: Kişisel veriler ve parolalar ele geçirildi

Sızan veriler kullanıcı ID, kullanıcı adı, soyadı, mağaza adı, telefon numarası, e-posta adresi, hesap kayıt tarihi, konum, kullanıcı tipi, mağaza numarası, paket kategorisi, paket statüsü, paket periyodu, mağaza ürün türü, kayıt periyodu, açılış tarihi, mağaza taahhüt başlangıç tarihi gibi başlıklaran oluşuyor.

KULLANICILAR SAHİBİNDEN.COM İLE İLETİŞİME GEÇEREK DURUMLARINI ÖĞRENEBİLİR

Açıklamada ayrıca şu detaylara yer verildi:

“Veri sorumlusu sıfatını haiz Sahibinden Bilgi Teknolojileri Paz. ve Tic. AŞ (Sahibinden) tarafından Kurula iletilen veri ihlal bildiriminde özetle;

  • Veri sorumlusunun siber saldırıya uğraması sonucu veri ihlali gerçekleştiği,
  • İhlalden etkilenen kişisel verilerin internette paylaşıldığının 27.03.2023 tarihinde tespit edildiği, ancak ihlalin başlama tarihinin henüz tam olarak tespit edilemediği,
  • Yapılan araştırmada;
    • Sahibinden mağaza verilerinin (e-posta adresi verileri dışında kalan veriler) Sahibinden’in internet sitesi ve mobil uygulamasındaki ara yüzlerin çalışması için gerekli web service içeriklerinin kopyalanması suretiyle elde edildiğinin anlaşıldığı,
    • Kurumsal kullanıcılara ait e-posta adresi verilerinin kötü niyetli üçüncü kişilerce kullanıcılara şifre yenileme iletileri gönderilmesi suretiyle şifre yenileme servisinin sonuç çıktısından elde edildiğinin anlaşıldığı,
  • İhlalden veri sorumlusunun kurumsal kullanıcılarının etkilendiği, bu kapsamda şahıs şirketlerine ait verilerin de etkilendiği,
  • İhlalden etkilenen tahmini ilgili kişi sayısının tahmini 71.422 olduğu,
  • İhlalden etkilenen ilgili kişilerin ihlale ile ilgili bilgiyi “yaziliiletisim@sahibinden.com” e-posta adresi veya çağrı merkezi telefon numarası (0850 222 44 45) aracılığıyla alabileceği bilgilerine yer verilmiştir.”
KVKK

Tiktok’a Türkiye’den kişisel verileri ihlal cezası

Yorum yapın

Çinli ByteDance firmasının sahibi olduğu video paylaşım platformu TikTok, Türkiye’de kişisel verilerle ilgili kanun hükümlerine uymadığı için para cezası aldı.

Kişisel Verileri Koruma Kurulu (KVKK), çocukların kişisel bilgilerinin görüntülenmesi ve izinsiz veri toplanması ve kanuna aykırılıklar gerekçesiyle TikTok’a 1 milyon 750 bin lira tutarında ceza verdi.

KVKK’nin resmi internet sitesinde yer alan kararda,  TikTok uygulamasıyla ilgili “açık rıza”nın 6698 sayılı Kişisel Verilerin Korunması Kanunu’na uygun alınmadığı, kişisel verilerin elde edilmesi ve saklanması hususunda hukuka aykırılıkların bulunduğu ve yazılıma ait birçok güvenlik açığı olduğu yönündeki şikayetler üzerine resen inceleme başlatıldığı bildirildi.

Kararda şu ifadelere yer verildi:

“Belirtilen güncelleme öncesinde varsayılan olarak profillerin herkese açık olarak görüntülenerek etkileşimde sınırlandırılma bulunmamasının, hassas yaş grubunda olan kullanıcıların verilerine erişilmesi kapsamında risk teşkil ettiği, ayrıca kullanıcılara ilişkin risklerin belirlenerek risklerin azaltılmasına dair yeterli tedbir alınmadığını gösterdiği, 2021 yılı Ocak ayında gizlilik politikasının güncellenmesi öncesinde uygulamayı kullanan 13 yaş altı çocukların kişisel bilgilerinin görüntülendiği ve uygun ebeveyn izni olmadan çocuklar hakkında veri toplandığı, dolayısıyla uygulamayı kullanmış olan çocuklar üzerinde olumsuz sonuç doğma riskinin bulunduğu anlaşılmıştır.”

VERİ İŞLEMEYE İLİŞKİN NET BİLGİ VERİLMEDİ

Kararda, TikTok’un gizlilik sözleşmesinde hangi kişisel verilerin hangi amaçla ve hangi işleme şartına dayanılarak işlendiği hakkında net bilgi verilmediği belirtilerek, “Bu hususta veri sorumlusunca Kanun’un 4’üncü maddesinde yer alan ‘belirli, açık ve meşru amaçlar için işlenme’ ve ‘işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma’ ilkelerine aykırı hareket edildiği anlaşılmıştır.” tespiti yer aldı.

Kullanıcılara haber vermeden reklamcılarla veri paylaşan Twitter, 150 milyon dolar ceza ödeyecek

Kararda ayrıca şu değerlendirmeler yapıldı

“Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı tespit edilen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1 milyon 750 bin lira idari para cezası uygulanmasına, ayrıca veri sorumlusunun ilgili kişilerin doğru bilgilendirilmesi adına hizmet koşullarının bir ay içerisinde Türkçeye çevrilmesi, ilgili kişilerin doğru bilgilendirilmesi için söz konusu gizlilik politikası metinlerinin üç ay içerisinde kanuna uygun hale getirilmesi, gizlilik politikasının, aydınlatma metni yerine kullanıldığı ve geçerli bir aydınlatmanın unsurlarını taşımadığı anlaşıldığından, Kanun’un 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun bir aydınlatma yapılması hususunda talimatlandırılmasına karar verilmiştir.”

Kaynak: Bloomberg HT

KVKK

Scooter kiralama firması Martı veri ihlalini kabul etti: Milyonlarca kişisel veri tehlikede!

Yorum yapın

Büyükşehirlerde toplu taşımanın önemli alternatiflerinden elektrikli scooter kiralama firması Martı’ya ait kişisel veriler sızdırıldı. Martı’yı kullanan müşteri sayısı yıl başında 5 milyonu geçmişti.

Martı İleri Teknoloji A.Ş. , Kişisel Verileri Koruma Kurumuna (KVKK) veri ihlali bildiriminde bulundu. Bildirimde kaç kişinin verilerinin ele geçirildiği belirtilmedi. Sızdırılan veriler arasında kişisel verilerin yanısıra kredi kartı bilgileri de olabilir.

Firmanın veri sorumlusu tarafından kuruma iletilen veri ihlal bildirimine göre, veri sorumlusu sistemlerine yetkisiz kişi/kişiler tarafından erişilmesi suretiyle veri ihlalinin gerçekleşti.

Dominos Pizza veri ihlalini kabul etti: 180 bin müşterinin verisi çalındı

Söz konusu veri ihlali yetkisiz erişen siber tehdit unsurları tarafından iletilen e-posta üzerine 27 Şubat’ta tespit edildi.

İhlalden etkilenen ilgili kişi grupları ve kişi sayısının henüz belirlenemezken söz konusu verilerin kategorileri henüz tespit edilemedi.

Bilgi güvenliği olayının kaynağı ve gerçekleşme yöntemine ilişkin araştırmalar devam ediyor.

KVKK

Booking.com sızıntısının arkasında ABD’li casuslar mı var?

Yorum yapın

Hollanda gazetesi NRC Handelsblad, 2016’da otel rezervasyonu sitesi Booking.com’da yaşanan veri ihlalinin arkasında ABD’li bir hackerın olduğunu iddia etti.

Habere göre şirketin Orta Doğu verileri hedef alındı. Yankı uyandıran iddiaya göre ABD-Hollanda ortaklığında faaliyet gösteren Booking.com’a 2016’da bir Amerikalı hacker tarafından yasadışı olarak erişildi, şirket ise olan bitenin farkına vardığında olayı kimseye söyleyemedi.

Üç Hollandalı gazetecinin kaleme aldığı yeni bir kitaba göre, “Andrew” olarak adlandırılan saldırganın “Orta Doğu ülkelerindeki binlerce otel rezervasyonuna ait verileri” çaldığı söyleniyor.

Gazetecilerin görev yaptığı NRC Handelsblad gazetesi, bu hafta söz konusu iddiaları yayınladı. İddialar arasında Booking.com’un Londra merkezli hukuk firması Hogan Lovells’in “saldırıyı kimseye bildirmek zorunda olmadıklarına” dair tavsiyesine uyduğu bilgisi de yer aldı.

GÜVENLİK ZAAFINI FARKEDEN AMERİKALI, SİBER SALDIRI DÜZENLEDİ

İhlalin, “Andrew” ve onunla birlikte hareket edenlerin, kişiye özel müşteri hesabı tanımlayıcı kodları olan kişisel kimlik numaralarına (PIN’ler) erişmelerini sağlayan zayıf güvenliğe sahip bir sunucuya rastladıktan sonra gerçekleştiği belirtildi.

Kişisel verilerde şeffaflığa uymayan WhatsApp’a 225 milyon avro ceza

Saldırganlar, bu şekilde Orta Doğu’da yaşayan ve orada kalan insanlar tarafından yapılan rezervasyon detaylarının kopyalarını çalabildiler. NRC Handelsblad bunu ABD’nin yabancı diplomatlara ve bölgedeki diğer çıkar sahiplerine karşı yürüttüğü casuslukla ilişkilendiriyor. Gazete ayrıca şunu ileri sürdü: “Her ne kadar rezervasyon sitesi, Hollanda’lı AIVD ajanından, iç soruşturmanın “Andrew” un ABD casuslarıyla bağlantısı olduğunu tespit etmesinin ardından ihlal konusunda yardım istediği bildirilse de, etkilenen müşterilerini veya Hollanda’daki veri koruma yetkililerini o sırada bilgilendirmedi.”

İHLAL VERİ KORUMA YÖNETMELİĞİNDREN ÖNCE GERÇEKLEŞTİ

Booking.com sözcüsü The Register’a yaptığı açıklamada şunları söyledi: “Uzmanların desteğiyle ve Hollanda Veri Koruma Yasası (GDPR’den önceki geçerli düzenleme) tarafından belirlenen çerçeveyi izleyerek, hiçbir hassas veya finansal bilgiye erişilemediğini doğruladık. O zamanki yönetim, şirketlerin yalnızca bireylerin özel yaşamları üzerinde gerçekten olumsuz etkiler olması durumunda bildirim konusunda daha fazla adım atmalarına rehberlik eden DDPA’nın ilkelerine uymaya gayret etti ve bu noktada hiçbir kanıt tespit edilmedi.”

İhlal, AB’nin Genel Veri Koruma Yönetmeliği’nden (GDPR) önce gerçekleşti. Bugün herkesin aşina olduğu ve veri sızıntılarını devlet makamlarına açıklamamayı yasadışı kılan veri koruma düzenlemeleri o sırada mevcut değildi.

Booking.com 4.100 kişinin kişisel verilerine yasadışı yollardan suçlular tarafından erişildikten sonra Hollanda veri koruma yetkilileri tarafından bu yılın başlarında 475.000 Euro para cezasına çarptırıldı.

KVKK, Makale & Analiz

KVKK’nın biyometrik veri rehberi hakkında bilmeniz gerekenler

Yorum yapın

Kişisel Verilerin Korunması Kurumu eylül ayında biyometrik verilerin işlenmesine ilişkin rehber yayınladı. Rehber özellikle veri sorumluları için önem arz ediyor. Daha önceden Kurul Kanuna aykırı biyometrik veri işleyen veri sorumlularına “cezalar yağdırmıştı”.

Hatırlayacak olursak ünlü spor salonu hizmeti sunan şirkete girişlerin parmak izi ile yapılmasından dolayı 225.000 TL idari para cezası kesmiş, Belediyede çalışan memurların girişinde parmak izi zorunlu tutulduğundan ilgili personeller için disiplin sürecini başlatmıştı. Benzer konularda şikayetlerin artması sebebiyle ve ilgili kişilerin daha iyi korunması amacıyla hazırlanan rehberde bilmemiz gereken neler var?

Aslında hazırlanan rehber Kurulun biyometrik verilerine ilişkin görüş talebi kararının geniştelitmiş hali. Kurula göre biyometrik veri 2 farklı unsurdan oluşuyor. Bu iki unsurun birleşmesi ile işlenen veri biyometrik veri haline geliyor. Buna göre biyometrik veri, kişinin fizyolojik, fiziksel veya davranışsal özellikleri gibi ayırt edici özellikleri veri işleme sonucunda ortaya çıkarmalı; ortaya çıkarılan özellikler kişinin kimliğini tanımlamaya yarayan ya da kişinin kimliğini doğrulayan kişisel veriler olmalıdır. Kurul, bu tanımı yaparken Avrupa Adalet Divanı, Anayasa Mahkemesi ve Danıştay’ın kararlarından yararlanıyor. Sonrasında Kurul biyometrik veriyi ikiye ayırıyor. Buna göre kişinin parmak izi, retinası, avuç içi, yüzü, el şekli, irisi gibi biyometrik verileri fizyolojik nitelikli biyometrik veri olarak tanımlarken; kişinin yürüyüş biçimi, klavyeye basış biçimi, araba sürüş biçimi gibi biyometrik verileri ise davranışsal nitelikli biyometrik veri olarak tanımlıyor.

Afgan güvenlik güçlerinin biyometrik veritabanı Taliban’a emanet!

BİYOMETRİK VERİ İŞLENİRKEN AÇIK RIZA ALINMALI MI?

Genel tanımı yaptıktan sonra veri sorumluların özellikle biyometrik veri işlerken dikkat etmesi gerektiği yerleri Kurul açıklıyor. Bilindiği gibi biyometrik veriler özel nitelikli kişisel verilerden. O halde biyometrik verilerin işlenmesi için Kanunun 6. Maddesi hükmüne riayet edilmeli. Yani sadece mevzuatta biyometrik veri işlenmesi izin verilmişse biyometrik veri açık rıza alınmadan işlenebilir. Aksi halde biyometrik veri işlenirken mutlaka açık rıza alınmalı ve ilgili kişi aydınlatılmalıdır. Örneğin, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun 67’nci maddesinde yer alan sağlık hizmetlerinden yararlanmak amacıyla biyometrik verinin alınmasına ilişkin düzenleme ile bazı veri sorumluları açık rıza almadan biyometrik veri işleyebilir.

Peki, ilgili kişi açık rıza verdi, kişiyi aydınlattık ve verinin korunması için de gerekli idari ve teknik tedbirleri aldık. Kanuna uygun bir veri işleme faaliyeti gerçekleşti mi? Cevabı maalesef HAYIR. Kanunun 4. Maddesi yani veri işleme faaliyetimiz genel ilkelere de uymak zorunda. Yani? Veri işleme faaliyeti;

  1. Temel hak ve özgürlüklerin özüne dokunmamalı
  2. Başvurulan yöntemin işleme amacına ulaşılabilmesi bakımından elverişli olması, veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olması
  3. Biyometrik veri işleme yönteminin ulaşılmak istenen amaç bakımından gerekli olması
  4. Veri işlemeyle ulaşılmak istenilen amaç ve aracın arasında orantı bulunması gereklidir.

Yani biyometrik veri işlenmeden sadece özel nitelikli olmayan kişisel veri de işlenerek aynı sonuca varılıyorsa veri işleme faaliyetimiz yine Kanuna aykırı oluyor. Örneğin iş yerine girişlerde parmak izi ve yüz tanıma sistemi kullanıyoruz. Fakat kartlı sistemle de fiziksel mekânın korunması, işçilerin hangi saatte girip hangi saatte çıktığının takibi yapılması imkanı da olduğundan tercih edilmesi gereken seçenek kartlı sistem oluyor.