Etiket arşivi: kvkk

KVKK

Booking.com sızıntısının arkasında ABD’li casuslar mı var?

Yorum yapın

Booking.com sızıntısının arkasında ABD'li casuslar mı var?Hollanda gazetesi NRC Handelsblad, 2016’da otel rezervasyonu sitesi Booking.com’da yaşanan veri ihlalinin arkasında ABD’li bir hackerın olduğunu iddia etti.

Habere göre şirketin Orta Doğu verileri hedef alındı. Yankı uyandıran iddiaya göre ABD-Hollanda ortaklığında faaliyet gösteren Booking.com’a 2016’da bir Amerikalı hacker tarafından yasadışı olarak erişildi, şirket ise olan bitenin farkına vardığında olayı kimseye söyleyemedi.

Üç Hollandalı gazetecinin kaleme aldığı yeni bir kitaba göre, “Andrew” olarak adlandırılan saldırganın “Orta Doğu ülkelerindeki binlerce otel rezervasyonuna ait verileri” çaldığı söyleniyor.

Gazetecilerin görev yaptığı NRC Handelsblad gazetesi, bu hafta söz konusu iddiaları yayınladı. İddialar arasında Booking.com’un Londra merkezli hukuk firması Hogan Lovells’in “saldırıyı kimseye bildirmek zorunda olmadıklarına” dair tavsiyesine uyduğu bilgisi de yer aldı.

GÜVENLİK ZAAFINI FARKEDEN AMERİKALI, SİBER SALDIRI DÜZENLEDİ

İhlalin, “Andrew” ve onunla birlikte hareket edenlerin, kişiye özel müşteri hesabı tanımlayıcı kodları olan kişisel kimlik numaralarına (PIN’ler) erişmelerini sağlayan zayıf güvenliğe sahip bir sunucuya rastladıktan sonra gerçekleştiği belirtildi.

Kişisel verilerde şeffaflığa uymayan WhatsApp’a 225 milyon avro ceza

Saldırganlar, bu şekilde Orta Doğu’da yaşayan ve orada kalan insanlar tarafından yapılan rezervasyon detaylarının kopyalarını çalabildiler. NRC Handelsblad bunu ABD’nin yabancı diplomatlara ve bölgedeki diğer çıkar sahiplerine karşı yürüttüğü casuslukla ilişkilendiriyor. Gazete ayrıca şunu ileri sürdü: “Her ne kadar rezervasyon sitesi, Hollanda’lı AIVD ajanından, iç soruşturmanın “Andrew” un ABD casuslarıyla bağlantısı olduğunu tespit etmesinin ardından ihlal konusunda yardım istediği bildirilse de, etkilenen müşterilerini veya Hollanda’daki veri koruma yetkililerini o sırada bilgilendirmedi.”

İHLAL VERİ KORUMA YÖNETMELİĞİNDREN ÖNCE GERÇEKLEŞTİ

Booking.com sözcüsü The Register’a yaptığı açıklamada şunları söyledi: “Uzmanların desteğiyle ve Hollanda Veri Koruma Yasası (GDPR’den önceki geçerli düzenleme) tarafından belirlenen çerçeveyi izleyerek, hiçbir hassas veya finansal bilgiye erişilemediğini doğruladık. O zamanki yönetim, şirketlerin yalnızca bireylerin özel yaşamları üzerinde gerçekten olumsuz etkiler olması durumunda bildirim konusunda daha fazla adım atmalarına rehberlik eden DDPA’nın ilkelerine uymaya gayret etti ve bu noktada hiçbir kanıt tespit edilmedi.”

İhlal, AB’nin Genel Veri Koruma Yönetmeliği’nden (GDPR) önce gerçekleşti. Bugün herkesin aşina olduğu ve veri sızıntılarını devlet makamlarına açıklamamayı yasadışı kılan veri koruma düzenlemeleri o sırada mevcut değildi.

Booking.com 4.100 kişinin kişisel verilerine yasadışı yollardan suçlular tarafından erişildikten sonra Hollanda veri koruma yetkilileri tarafından bu yılın başlarında 475.000 Euro para cezasına çarptırıldı.

KVKK, Makale & Analiz

KVKK’nın biyometrik veri rehberi hakkında bilmeniz gerekenler

Yorum yapın

Kişisel Verilerin Korunması Kurumu eylül ayında biyometrik verilerin işlenmesine ilişkin rehber yayınladı. Rehber özellikle veri sorumluları için önem arz ediyor. Daha önceden Kurul Kanuna aykırı biyometrik veri işleyen veri sorumlularına “cezalar yağdırmıştı”.

Hatırlayacak olursak ünlü spor salonu hizmeti sunan şirkete girişlerin parmak izi ile yapılmasından dolayı 225.000 TL idari para cezası kesmiş, Belediyede çalışan memurların girişinde parmak izi zorunlu tutulduğundan ilgili personeller için disiplin sürecini başlatmıştı. Benzer konularda şikayetlerin artması sebebiyle ve ilgili kişilerin daha iyi korunması amacıyla hazırlanan rehberde bilmemiz gereken neler var?

Aslında hazırlanan rehber Kurulun biyometrik verilerine ilişkin görüş talebi kararının geniştelitmiş hali. Kurula göre biyometrik veri 2 farklı unsurdan oluşuyor. Bu iki unsurun birleşmesi ile işlenen veri biyometrik veri haline geliyor. Buna göre biyometrik veri, kişinin fizyolojik, fiziksel veya davranışsal özellikleri gibi ayırt edici özellikleri veri işleme sonucunda ortaya çıkarmalı; ortaya çıkarılan özellikler kişinin kimliğini tanımlamaya yarayan ya da kişinin kimliğini doğrulayan kişisel veriler olmalıdır. Kurul, bu tanımı yaparken Avrupa Adalet Divanı, Anayasa Mahkemesi ve Danıştay’ın kararlarından yararlanıyor. Sonrasında Kurul biyometrik veriyi ikiye ayırıyor. Buna göre kişinin parmak izi, retinası, avuç içi, yüzü, el şekli, irisi gibi biyometrik verileri fizyolojik nitelikli biyometrik veri olarak tanımlarken; kişinin yürüyüş biçimi, klavyeye basış biçimi, araba sürüş biçimi gibi biyometrik verileri ise davranışsal nitelikli biyometrik veri olarak tanımlıyor.

Afgan güvenlik güçlerinin biyometrik veritabanı Taliban’a emanet!

BİYOMETRİK VERİ İŞLENİRKEN AÇIK RIZA ALINMALI MI?

Genel tanımı yaptıktan sonra veri sorumluların özellikle biyometrik veri işlerken dikkat etmesi gerektiği yerleri Kurul açıklıyor. Bilindiği gibi biyometrik veriler özel nitelikli kişisel verilerden. O halde biyometrik verilerin işlenmesi için Kanunun 6. Maddesi hükmüne riayet edilmeli. Yani sadece mevzuatta biyometrik veri işlenmesi izin verilmişse biyometrik veri açık rıza alınmadan işlenebilir. Aksi halde biyometrik veri işlenirken mutlaka açık rıza alınmalı ve ilgili kişi aydınlatılmalıdır. Örneğin, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun 67’nci maddesinde yer alan sağlık hizmetlerinden yararlanmak amacıyla biyometrik verinin alınmasına ilişkin düzenleme ile bazı veri sorumluları açık rıza almadan biyometrik veri işleyebilir.

Peki, ilgili kişi açık rıza verdi, kişiyi aydınlattık ve verinin korunması için de gerekli idari ve teknik tedbirleri aldık. Kanuna uygun bir veri işleme faaliyeti gerçekleşti mi? Cevabı maalesef HAYIR. Kanunun 4. Maddesi yani veri işleme faaliyetimiz genel ilkelere de uymak zorunda. Yani? Veri işleme faaliyeti;

  1. Temel hak ve özgürlüklerin özüne dokunmamalı
  2. Başvurulan yöntemin işleme amacına ulaşılabilmesi bakımından elverişli olması, veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olması
  3. Biyometrik veri işleme yönteminin ulaşılmak istenen amaç bakımından gerekli olması
  4. Veri işlemeyle ulaşılmak istenilen amaç ve aracın arasında orantı bulunması gereklidir.

Yani biyometrik veri işlenmeden sadece özel nitelikli olmayan kişisel veri de işlenerek aynı sonuca varılıyorsa veri işleme faaliyetimiz yine Kanuna aykırı oluyor. Örneğin iş yerine girişlerde parmak izi ve yüz tanıma sistemi kullanıyoruz. Fakat kartlı sistemle de fiziksel mekânın korunması, işçilerin hangi saatte girip hangi saatte çıktığının takibi yapılması imkanı da olduğundan tercih edilmesi gereken seçenek kartlı sistem oluyor.

Dijital Güvenlik

Üniversitelere siber saldırıda yeni gelişme: Bakırçay Üniversitesinden KVKK’ya veri ihlali bildirimi

1 Yorum

İzmir Bakırçay Üniversitesi’ne yönelik siber saldırı iddiaları doğrulandı. Kurum, KVKK’ya konuya ilişkin bildirimde bulundu.

Kişisel Verileri Koruma Kurumu’ndan (KVKK) yapılan açıklamada, “Şifresi ele geçirilen kullanıcıların üzerinden servis çağrıları yapılarak rapor çıktıları elde edilmeye çalışıldı. Ele geçirilen rapor çıktıları, bir forum sitesinde satışa çıkarıldı.” ifadeleri kullanıldı.

Üniversiteye ait bazı e-posta hesaplarının ele geçirilen şifre bilgileri ile Üniversite Bilgi Yönetimi Sistemi (UBYS) yazılımına girildiği duyuruldu.

 

Kişisel Verileri Koruma Kurumu’nun (KVKK) internet sitesi üzerine yapılan “Veri İhlali Bildirimi”nde, İzmir Bakırçay Üniversitesi’nde yaşanan ve konuyla ilgili incelemelerin devam ettiği duyurulan veri ihlaliyle ilgili olarak şu bilgiler verildi:

– Veri sorumlusu (İzmir Bakırçay Üniversitesi) kullanıcılarına ait e-posta hesaplarının şifrelerinin ele geçirilmesi amacıyla kaba kuvvet saldırısı (Brute-Force Attack) yapıldı. Bazı kullanıcıların ele geçirilen şifre bilgileri ile Üniversite Bilgi Yönetimi Sistemi (UBYS) yazılımına giriş yapıldı ve şifresi ele geçirilen kullanıcıların üzerinden servis çağrıları yapılarak rapor çıktıları elde edilmeye çalışıldı.

– Servis çağrılarından elde edilen rapor çıktılarının da bir forum sitesinde satışa çıkarıldı.

– İhlalin bir sosyal medya sitesi üzerinden içerik metninde üniversite isminin geçmesinin fark edilmesiyle öğrenildi.

– İhlalin 13.10.2021 tarihinde başladı, 14.10.2021 tarihinde sona erdi ve 20.10.2021 tarihinde tespit edildi.

– İhlalden öğrencilere ait ad-soyad, Türkiye Cumhuriyeti kimlik numarası, kurumsal e-posta adresleri, kayıtlı bulundukları program, öğrenci kimlik ve telefon numaraları etkilendi.

– Veri sorumlusu bünyesinde çalışan tüm akademik ve idari personelin ise ad-soyad, Türkiye Cumhuriyeti kimlik numarası, kurumsal e-posta adresleri ve telefon numaralarının ihlalden etkilendiği tahmin edildi.

– İhlalden 5389 öğrenci ve 425 personel olmak üzere toplam 5814 kişi etkilendi.

Dijital Güvenlik

Türkiye’den WhatsApp’a 1 Milyon 950 bin TL’lik kişisel veri cezası!

Yorum yapın

Kişisel Verileri Koruma Kurulu (KVKK), WhatsApp’a kişisel verilerin hukuka aykırı olarak işlenmemesi için gerekli teknik ve idari tedbirleri almadığı için 1 milyon 950 bin TL  para cezası verdi. İrlanda’dan gelen 225 milyon avroluk rekor cezadan sonra bu kararın gelmesi dikkati çekti.

Açıklamada idari para cezasına ilişkin ayrıntılar şöyle verildi:

“WhatsApp LLC (WhatsApp/veri sorumlusu) tarafından, WhatsApp uygulamasını kullanmak isteyen kullanıcıların kişisel verilerinin işlenmesine ve yurtdışında bulunan üçüncü taraflara aktarılmasına açık rıza verilmesini içerecek şekilde Hizmet Koşullarının ve Gizlilik İlkesinin güncellendiği, bu kapsamda açık rıza vermeyen kullanıcıların uygulamayı kullanamayacağına ve hesaplarının silineceğine dair bilgilendirme iletildiği tespit edilmiştir.

Kişisel Verileri Koruma Kurulunun 12.01.2021 tarihli ve 2021/28 sayılı Kararı ile 09.02.2021 tarihli ve 2021/120 sayılı Kararı çerçevesinde, yurtdışına veri aktarımı, hizmetin açık rıza şartına bağlanması ve genel ilkelere uygunluk hususları başta olmak üzere WhatsApp hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 15’inci maddesinin (1) numaralı fıkrası kapsamında resen inceleme başlatılmasına karar verilmiş ve konuya ilişkin WhatsApp’tan alınan savunma yazıları ve bununla bağlantılı olarak WhatsApp Hizmet Koşullarının ve Gizlilik İlkesi metinlerinin incelenmesi neticesinde; temel olarak veri sorumlusu tarafından kullanıcılara sunulan Hizmet Koşullarının kullanıcı ile yapılan bir sözleşme olarak tanımlandığı, Gizlilik İlkesinin ise şeffaflığı sağlamaya yönelik bir metin olarak, hangi verilerin hangi amaçlarla işleneceğini göstermekle birlikte esasen Hizmet Koşullarının bir parçası olarak ifade edildiği ayrıca Hizmet Koşullarına onay verilmeden sözleşmenin yürürlüğe giremeyeceğinin belirtildiği görülmüştür.

Kişisel verilerde şeffaflığa uymayan WhatsApp’a 225 milyon avro ceza

 

Bu kapsamda; Kişisel Verileri Koruma Kurulu’nun 03.09.2021 tarih ve 2021/891 sayılı Kararı ile;

  • Veri sorumlusu tarafından söz konusu uygulama kapsamında çeşitli kişisel veri işleme faaliyetleri bakımından farklı veri işleme şartlarına dayanıldığı ve kişisel veri işlemeye yönelik açık rıza şartının ise istisna olarak başvurulan bir şart olduğu belirtilse de Hizmet Koşullarının kullanıcı ile yapılan bir sözleşme olarak tanımlaması nedeniyle sözleşmeye onay verilmesi suretiyle ilgili kişilerin açık rızasının alınması yoluna gidildiği, bu çerçevede kullanıcılardan kişisel verilerinin işlenmesine ve yurtdışında yerleşik üçüncü taraflara aktarılmasına seçimlik hak sunulmaksızın tek bir açık rıza alındığı, sözleşmeye aktarıma ilişkin hüküm koymak suretiyle işleme ve aktarım faaliyetlerinin, tek metinde birbirinden ayrılmaz bir biçimde ilgili kişiye sunulduğu dikkate alındığında, açık rızanın “özgür iradeyle açıklanması” unsurunun zedelendiği,
  • Veri sorumlusu tarafından Hizmet Koşulları ve Gizlilik İlkesinde yer alan “aktarım”a ilişkin ifadelerin müzakereye kapalı nitelikte sunularak ilgili kişilerin sözleşmeye bir bütün olarak onay vermeye zorlandığı, bu suretle açık rızanın saf dışı bırakılmaya çalışıldığı, uygulamanın kullanılmasının aktarım şartına bağlandığı, bu kapsamda ilgili kişilerin çıkarları ve makul beklentileri göz önüne alınmaksızın hareket edildiği dikkate alınarak veri sorumlusunun bu uygulamasının Kanunun 4’üncü maddesinde yer alan “Hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırılık teşkil ettiği,
  • İşlenen tüm kişisel verilerin aktarımına ilişkin açık rıza istenildiği, ancak bu verilerin işlendikleri amaçla orantılı ve sınırlı bilgiler olmadığı gibi hangi verinin hangi amaçla aktarılacağının da bahse konu metinlerde net olarak ortaya konulmadığı, bu hususta veri sorumlusunca Kanunun 4’üncü maddesinde yer alan “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırı hareket edildiği,
  • WhatsApp tarafından kişisel verilerin işlenmesinin sözleşmenin bir parçası haline getirilmek suretiyle ilgili kişilerden sözleşmeye onay vermelerinin istenildiği ve sonrasında “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” şartı başta olmak üzere diğer kişisel veri işleme şartlarına dayanılarak kişisel verilerinin işlendiğinin beyan edildiği ancak görünen işlem sözleşmeye onay verme olsa da asıl yapılan işlemin kişisel verilerin işlenmesine açık rıza alınması niteliğinde olduğu, bu bakımdan sözleşmenin içerisine derç edilerek hizmetin bir koşulu olarak dayatılması suretiyle alınan açık rızanın, “özgür iradeyle açıklanması” unsurunun zedelendiği,
  • Veri sorumlusunun Türkiye’de bulunan ilgili kişilerden elde ettiği kişisel veriler üzerinde, bu verileri elde ettikten sonra yapmış olduğu kaydetme, depolama, değiştirme, aktarma gibi her türlü işleme faaliyetinin, sunucuları Türkiye’de bulunmadığı sürece kişisel verilerin yurt dışına aktarımı anlamına geldiği, dolayısıyla söz konusu aktarımın, Kanunun “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesine uygun olarak yapılmasının zorunluluk arz ettiği ancak veri sorumlusu tarafından aktarım faaliyetleri için hiçbir şekilde açık rızaya başvurulmadığının beyan edildiği, bununla birlikte veri sorumlusunca Kurulumuza bir taahhütname başvurusunda da bulunulmadığı dikkate alındığında, veri sorumlusu tarafından Kanunun 9 uncu maddesine uygun hareket edilmediği,
  • Veri sorumlusu tarafından, profilleme amacıyla çerezler aracılığıyla yapılacak kişisel veri işleme faaliyetine ilişkin olarak ilgili kişilerden açık rıza alınmadığı, bu kapsamda yürütülen kişisel veri işleme faaliyetinin de hukuka uygun olmadığı

anlaşıldığından Kanunun 12 nci maddesinin (1) numaralı fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı tespit edilen veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.950.000 TL idari para cezası uygulanmasına,

Ayrıca veri sorumlusunun;

  • Uygulamaya konulmadığı belirtilen 04.01.2021 tarihli Hizmet Koşulları ve Gizlilik İlkesi metinlerinin, halihazırda kullanıcılara geçerli sürüm olarak sunulduğu anlaşıldığından, ilgili kişilerin doğru bilgilendirilmesi için söz konusu metinlerin üç ay içerisinde Kanuna uygun hale getirilmesi,
  • Gizlilik İlkesinin, aydınlatma metni yerine kullanıldığı ve geçerli bir aydınlatmanın unsurlarını taşımadığı anlaşıldığından, Kanunun 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun bir aydınlatma yapılması

ve söz konusu işlemlerin sonucundan Kurula bilgi verilmesi hususunda talimatlandırılmasına karar verilmiştir.”

Dijital Güvenlik

MNG Kargo’da veri sızıntısı: Müşteri bilgileri çalındı!

Yorum yapın

MNG Kargo, Kişisel Verileri Koruma Kurumu’na (KVKK) yaptığı bildirimde, müşterilere ait kişisel verilerin sızdırıldığını kabul etti.

Sızdırılan veriler arasında ad, soyad, adres, telefon numarası bilgileri yer alıyor.

MNG Kargo’nun KVKK’ya yaptığı bildirimde,

  • “İhlalin veri sorumlusunun kurumsal müşterilere sunduğu web servis üzerinden, kurumsal müşteriye/müşterilere ait kullanıcı adı ve şifrenin elde edilmesinden kaynaklı olarak, kurumsal müşterinin/müşterilerin hesaplarına yetkisiz erişim gerçekleştiren kişi/kişiler üzerinden sızma şeklinde olduğunun ve sistemden kaynaklı bir açık olmadığının düşünüldüğü,
  • İhlalin 15.08.2021 tarihinde başladığı ve 23.08.2021 tarihinde sona erdiği,
  • 15.08.2021 tarihinde veri sorumlusunun kurumsal bir müşterisinden gelen sözlü bildirim sonucunda aynı gün içerisinde sızma testi çalışmasına başlandığı, yapılan incelemeler sonucunda 23.08.2021 tarihinde ihlalin tespit edildiği,
  • İhlalden kargo alıcılarına ait “ad-soyad, adres, telefon numarası” bilgilerinin etkilendiği,
  • İhlalden etkilenen kişi sayısının belirlenemediği,
  • İlgili kişilerin veri ihlali ile ilgili https://www.mngkargo.com.tr/iletisim internet sayfası, 0(850) 222 06 06 numaralı çağrı merkezi ve kisiselveri@mngkargo.com.tr e-posta adresinden bilgi alabileceği ifade edildi.