Karar Tarihi: 22.05.2020

Karar No: 2020/421

Konu Özeti: Kişisel bakım sektöründe faaliyet yürüten bir veri sorumlusunun veri ihlali bildirimi hakkında

İhlal Özeti

Veri sorumlusunun Kuruma gönderilen veri ihlal bildiriminde özetle;

06.03.2020 tarihinde veri sorumlusu e-posta adresine kimliği belirsiz bir şahıstan veri sorumlusu web sitesi üyelerinin e-posta adresini/şifrelerini ele geçirdiğine dair bir mesaj geldiği, 

Yapılan incelemelerde, veri sorumlusu ile herhangi bir ilişkisi olmayan üçüncü kişilerin veri sorumlusunun kullanımındaki veri tabanlarından herhangi bir sızıntı olmaksızın dışı kaynaklardan elde ettikleri elektronik posta adresleri/şifreler ile veri sorumlusuna ait internet sitesine giriş yaptıkları,

04.03.2020 tarihinde bu olayın meydana geldiği, anılan kişi veya kişilerin ellerindeki e-posta şifre bilgilerini 14.000'den fazla IP'den bağlantı kurarak ve 500.000’in üzerinde e-posta/şifre kombinasyonunu sitede denedikleri,

Her başarısız denemeden sonra bir başka e-posta/şifre denemesi yaptıkları ve bu yolla 2092 site kullanıcısının hesaplarının şifrelerini doğruladıklarının tespit edildiği,

İhlalden etkilenen kişisel verilerin müşterilere ait ad, soyad, cep telefonu numarası, e-posta adresi, cinsiyet, doğum günü, teslimat/fatura adresleri ve sipariş geçmişi bilgileri olduğu

ifadelerine yer verilmiştir.

Karar Özeti

İhlalin 04.03.2020 tarihinde meydana geldiği, anılan kişi veya kişilerin ellerindeki elektronik posta şifre bilgilerini 14.000'den fazla IP'den bağlantı kurarak sitede denedikleri ve her denemeden sonra başka bir e-posta/şifre denemesi yaptıkları,

Veri sorumlusu tarafından yapılan inceleme neticesinde bu denemelerin sonucunda 2092 kullanıcının hesaplarına başarılı şekilde giriş yapıldığı,

İhlalden veri sorumlusu müşterilerine ait ad-soyad, e-posta, cep telefonu, cinsiyet, doğum günü, teslimat/fatura adresleri ve sipariş geçmişi bilgilerinin etkilendiği,

Veri sorumlusunun kendi olağan trafiğine ek bu trafiğin veri sorumlusunca fark edilmediği ve ihlali gerçekleştiren kimliği belirsiz kişilerce gönderilen e-posta sonucunda ihlalin tespit edilebildiği,

İhlali gerçekleştiren kişi ya da kişiler tarafından veri sorumlusu dışı kaynaklardan elde edildiği belirtilen 500.000’in üzerinde e-posta/şifre kombinasyonuna ilişkin denemeler yapıldığı veri sorumlusu tarafından belirtilmiş olup, Kurumumuz tarafından yayınlanan Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde yer alan 3.2. Kişisel Veri Güvenliğinin Takibi maddesinde “Veri sorumlularının sistemlerinin çoğunlukla hem içeriden hem de dışarıdan gelen saldırılar ve siber suçlara veya kötü amaçlı yazılımlara maruz kalmakta olduğu, çeşitli belirtilere rağmen bu durumun uzun süre fark edilemediği ve müdahale için geç kalınabildiği” ifade edilmekte olup; hesabına giriş yapılan 2092 kullanıcı dışında başarısız denemelerin sayısının fazlalığının veri sorumlusu tarafından fark edilememesinin bilişim ağlarının izlenmesi ve olmaması gereken durumların fark edilmesi hususunda eksiklik olduğu 

hususları dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 210.000 TL idari para cezası uygulanmasına

karar verilmiştir.

Kurumdaki Eksiklikler Neydi?

Veri Sorumlusu tarafından yeterli izlenme sağlanmayarak kendi olağan trafiğine ek olarak meydana gelen olağan dışı trafiğin tespit edilememesi.

Veri Sorumlusu tarafından web sitesi kullanıcı hesaplarına tek şifre ile erişim olanağı tanınarak saldırılar karşısında zafiyete sebep verilmesi.

Başka ortamlardan elde edilen parola bilgilerinin denenmesini önleyecek bir güvenlik tedbirinin alınmaması

Ne Gibi Önlemler Alınmalıydı?

Veri sorumlusu tarafından yetkisiz erişim sağlama girişimlerinin tespit edebilmek için erişim kayıtları düzenli olarak analiz edilmeliydi.

Veri sorumlusu sistemlerine gelen taleplerde oluşabilecek olağandışı eylemler için kurallar sıkılaştırılmalıydı. Örneğin; aynı ip adresinden gelen taleplerin sınırlandırılması, müşteri sayısına oranla oluşabilecek login işlemleri ile gelen login taleplerinin karşılaştırılması, yurtdışı müşteri sayısına oranla gelebilecek yurtdışı login taleplerinin sınırlandırılması vb.

Veri sorumlusu tarafından veri sahiplerinin vermiş olduğu mail, telefon bilgilerinin doğrulaması için SMS doğrulaması, captcha doğrulama ya da 2FA uygulamaları ile iki kademeli doğrulama metodları kullanılmalıydı.

Veri Sorumlusu tarafından web sitesi kullanıcı hesaplarında erişim için kompleks parolalar oluşturulmaya zorlayacak bir altyapı oluşturulmalıydı. Oluşturulan parolalar için parola ömrü belirlenmeliydi. Başka bir cihazdan profile erişim taleplerine karşı onay mailleri gönderimi yapılabilirdi. Önceden login olmamış bir cihazdan profile erişim talebi olması durumunda daha önce sistemde tanımlanmış kullanılmış mail ya da cep telefonu numarasına bilgilendirme ya da uyarı mesajları gönderilebilirdi.

Olağandışı erişimlere zamanında müdahale etme ve doğru analizlerin gerçekleştirilmesi için profesyonel destek ya da SOC hizmeti alınabilirdi.