Müşterilerin kişisel bilgileri çalındı

Bir banka ile kozmetik firması Gratis ve Doğa Sigorta'nın internet siteleri üzerinden işlem yapan binlerce vatandaşın kişisel bilgilerinin çalındığı öne sürüldü. Kişisel Verileri Koruma Kurulu tarafından, kişisel verileri çalınan vatandaşlara önemli uyarılarda bulunuldu ve veri ihlallerine ilişkin incelemelerin devam ettiğini belirtti.

KVKK’nin açıklamasında “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir” denildi.

ÜÇÜNCÜ KİŞİLERLE PAYLAŞMIŞLAR

Banka’nın çalışanlarına tanımlı olan ve Kredi Kayıt Bürosu Skoru olarak da bilinen Türkiye Bankalar Birliği Risk Merkezi Raporu sorgulama sonuç bilgilerinin şahsi telefonlar aracılığıyla üçüncü kişilerle paylaşılması sonucunda verilerin çalındığı ortaya çıktı. 1 Ocak 2018 ve 28 Ocak 2020 tarihleri arasında veri ihlali gerçekleşti ve 2 Mart 2020'de bu durum ortaya çıktı. Çalınan kişisel verilerin ise vatandaşın kredi verilebilir, kredi verilemez durumu olduğu belirtildi.

POSTA ADRESLERİ VE ŞİFRELERİ ELE GEÇİRDİLER

Gratis internet sitesinden alışveriş yapanlardan 2 bin 092 kişinin ihlalden etkilendiği ve kişisel kimlik, iletişim ve müşteri işlem verilerinin çalındığı ortaya çıktı. 4-6 Mart 2020 tarihleri arasında kullanıcıların e-posta adresleri ve şifreleri çalınırken bu durum 6 Mart'ta tespit edildi.

DOĞA SİGORTA: ANA SUNUCUDA YER ALAN HİÇBİR VERİYE SALDIRI OLMADI

Haber üzerine Doğa Sigorta resmi internet sitesinde yayınlanan bilgilendirmede, test sunucusuna yasa dışı giriş yapıldığının belirlendiği, gerekli önlemin alındığı ifade edilerek, "Ana sunucuya ve dolayısıyla ana sunucuda yer alan hiçbir veriye saldırı olmadığını ve erişim sağlanamadığını öncelikle ve önemle belirtmek isteriz" denildi.

Bilgilendirmede yer alan açıklama şöyle: 

"6698 sayılı Kişisel Verilerin Korunması Kanunu gereğince kişisel veri ihlaline ilişkin bildirim

Bu bildirinin amacı; Doğa Sigorta A.Ş.’ nin web sayfasına ait test sunucusuna gerçekleştirilen siber saldırı neticesinde vuku bulan kişisel veri ihlali durumu ile ilgili kamuoyu ve müşterilerimize bilgi sağlamaktır.

28.02.2020 Cuma günü saat 11.15 civarı şirket web sayfasına ait TEST sunucusuna izinsiz ve yasa dışı olarak giriş yapılmıştır. Yazılım danışmanlığı aldığımız ilgili firma 28.02.2020 saat 20.00 civarı hack saldırısının farkına varmış ve şirketimiz bilgilendirildikten sonra saldırıya ait bazı logları yedeklemiştir.

ANA SUNUCUYA VE DOLAYISIYLA ANA SUNUCUDA YER ALAN HİÇBİR VERİYE SALDIRI OLMADIĞINI VE ERİŞİM SAĞLANAMADIĞINI ÖNCELİKLE VE ÖNEMLE BELİRTMEK İSTERİZ. İşbu bildirime konu siber saldırı şirketin test server amacıyla kullandığı ve sadece sınırlı sayıda verinin bulunduğu sunucuya ağ üzerinden değil web üzerinden yapılmıştır. İş bu sunucu test amacıyla hazırlanmış olmakla sunucu içerisinde toplam kişi adedi bilgisi de test sunucu olması nedeniyle cüz-i miktardadır. Test sunucusu içerisinde kayıtlı kişi adedi 311 dır.  Dolayısıyla tüm müşterilerimize ait herhangi bir veri kaybı veya ihlali söz konusu değildir. Saldırıya uğrayan sınırlı sayıda verinin bulunduğu test sunucusunda yer alan kişisel nitelikte veriler özel nitelikte veri kapsamında değildir. Şirketimiz gerekli önlem ve araştırmaları yaparak ilgili sorumluluğunu yerine getirmiş ve getirmeye de devam etmektedir. Şirketimiz, siz değerli müşterilerimizi şeffaf bir şekilde bilgilendirmek maksadıyla iş bu açıklamaya yer vermiş olmakla gelişen süreçle ilgili yine şeffaf bir şekilde bilgi paylaşımında bulunmaya da devam edecektir.

Ana sunucuda yer alan verilere hiçbir şekilde erişim sağlanamadığını yinelemekle birlikte yazılım danışmanlığı aldığımız ilgili firma tarafından sonrasında yapılan delil toplama ve kişisel veri keşfi çalışmalarında test ortamında ad, soyad, TC kimlik no, araç plakası, e-mail adresi olmak üzere sınırlı kategorizasyonda kişisel veri olduğu tespit edilmiştir. Test sunucusu olduğundan dolayı bilgiler sınırlı olmakla, kişilerle direkt ilintili veri de sınırlıdır. Örneğin kredi kart bilgileri de şahısla örtüşmeyecek şekilde ardışık sayılardan (1111 1111 …..) oluşmaktadır. Finansal anlamda somut olarak bir veri kaybı söz konusu değildir. Dolayısıyla sunucu üzerinde gerekli teknik araştırmalar yapılmakla birlikte bu araştırmaların neticesi de şeffaf bir şekilde paylaşılacaktır.  Diğer sunucularımızın saldırıya uğradığına dair bir iz bulunmamıştır.

Söz konusu veri ihlaline ilişkin öncelikli olarak Veri Sorumlusu sıfatı ile şirket tarafından 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 12. Maddesinin 5. fıkrası uyarınca Kişisel Verileri Koruma Kurulu’na ihlale ilişkin gerekli bildirim yapılmış, Kişisel Verileri Koruma Kurulu nezdinde kurumun web sitesinde durum ve bildirim ilan edilmiştir.

İlgili ihlale ilişkin ayrıca şirket web sayfasından tüm müşterilerimize ve kamuoyuna hitaben işbu bildirimin yayınlanması uygun görülmüştür.

Bu kapsamda bilgilendirilen ihlal ile ilgili olabilecek kişilerin ihtiyaç hissetmesi halinde kişisel verilerinin korunması ile ilgili talep ve/veya sorularını şirketimizin web sayfalarından ulaşabilecekleri Veri Sahibi Başvuru Formu’ nu kullanarak formda belirtilen başvuru yöntemleri ile şirketimize iletebilmeleri mümkündür. İlgili talepler şirket tarafından en kısa süre içerisinde memnuniyetle sonuçlandırılacaktır.

Şirketimiz kişisel verilerin korunmasına gerekli özeni göstermekte ve bunu kişisel verilerin korunması ve işlenmesi hakkında bir şirket politikası haline getirmekle, bu konuda tüm yasal düzenlemelere uyumlu hareket etmektedir.

Buna rağmen, Şirket web sayfasına ait test sunucusuna yasa dışı yollarla (siber saldırı) girilmiş olduğu bildiriminin üzerine gerekli incelemeler başlatılmış şirket tarafından alınmış tüm idari ve teknik tedbirler,  aynı ve/veya benzer bir kişisel veri ihlali yaşanmaması için tekrar gözden geçirilerek ihlalin tekrar gerçekleşmemesi adına şirket nezdinde gerekli bütün adımlar atılmıştır. Bu kapsamda ve gerekiyorsa yeni ve ek tedbirler de alınacaktır.

Kişisel Verilerin Korunması Kanunu kapsamında Doğa Sigorta A.Ş. olarak ilgililerin her türlü kişisel verilerinin hukuka uygun işlenmesine ve güvenliğine büyük önem vermekte olduğumuzu, bu çerçevede söz konusu ihlal durumu ile ilgili yasal müracaatların yapılmış olduğunu ve konunun takipçisi olduğumuzu tüm müşterilerimizin ve kamuoyunun bilgilerine sunarız."

GRATİS'TEN AÇIKLAMA

Haber üzerine Gratis'ten konuya ilişkin bir açıklama yayınlandı. Açıklamada şu ifadelere yer verildi:

"www.gratis.com üye bilgilerinin çalınmış olması söz konusu değildir. Bilgilerine erişildiği iddia edilen 2 bin 92 müşterilerimizin hesabına izinsiz giriş yapılması konusu, şirketimiz ile hiç bir ilişkisi olmayan, kimliği belirlenememiş kişi veya kişilerin, www.gratis.com harici internet ortamlarından ele geçirdikleri elektronik posta ve şifreleri yine www.gratis.com haricinde bir platformda deşifre etmesi ile ortaya çıkmıştır. Bunun sonucunda farklı internet sitelerinde aynı elektronik posta ve şifre kombinasyonunu kullanan kullanıcılarımızın hesaplarına bu şekilde deşifre edilen giriş bilgileri ile erişilebilmesi söz
konusu olmuştur.

Yapılan sistemsel incelemelerde bu kişilerin elde ettikleri eposta/şifre kombinasyonlarını
14.000'den fazla IP'den bağlantı kurarak sitemizde denedikleri, her başarısız denemeden
sonra bir başka elektronik e-posta/şifre denemesi yaptıkları ve sonucunda sınırlı sayıdaki
www.gratis.com üyesinin hesabına izinsiz giriş olduğu tespit edilmiştir. Şirketimiz hemen
gerekli önlemleri almıştır. Tüm müşterilerimizin hesapları sıfırlanmış ve yeni şifre belirlemeleri
istenmiştir.

Üyelerimizin şifre bilgileri tamamen enkripte edilmiş şekilde Gratis çalışanlarının dahi
erişemeyeceği şekilde muhafaza edilmektedir.

Söz konusu durum ilgili mevzuat uyarınca Kişisel Verileri Koruma Kurumu’na bildirilmiştir.
Ardından durumdan etkilenen www.gratis.com üyelerinin tamamıyla direkt telefon ile irtibat
kurulmuş, gerekli bilgilendirmeler yapılmış ve güvenlik tedbirleri için aynı şifreler ile online
platformlarda hesap oluşturmamaları, mevcut hesaplarında şifre değişikliği yapılması
yönünde uyarı yapılmıştır.

Bugüne kadar 8 milyonu aşkın Gratis Kart ve 1 milyonu aşkın www.gratis.com üyesinin
datasını büyük bir titizlikle ve KVKK şartnamelerine tam uyumlu koruyan şirketimiz, bundan
sonra da aynı özen ve hassasiyet ile çalışmalarına devam edecektir."