Kişisel Verileri Koruma Kurulu, perşembe günü yaptığı duyuruda, Türkiye’de de faaliyet gösteren alan adı ve sunucu barındırma hizmeti GoDaddy ile ilgili bir veri ihlalinin meydana geldiğini duyurdu. Ayrıca Eureko Sigorta ile ilgili bir veri ihlali bildirimi yayınlandı.
Kurum tarafından yapılan resmi açıklamada, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrasının, “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü içerdiği hatırlatılıyor.
Açıklamada, veri sorumlusu sıfatını taşıyan GoDaddy.com, LLC (“GoDaddy”) tarafından Kuruma gönderilen veri ihlali bildiriminde aşağıdaki unsurların yer aldığı belirtiliyor:
- Veri sorumlusunun kullanıcılarına hizmet verdiği bir ortamda şüpheli etkinlikler tespit etmesi sonucu inceleme başlatıldığı ve 06.09.2021 tarihinde veya bu tarih yakınlarında yetkisiz kişilerce kullanıcılara ait birtakım kişisel verilere erişilmesiyle veri ihlali gerçekleştiğinin anlaşıldığı,
- İhlalin veri sorumlusu tarafından 17.11.2021 tarihinde tespit edildiği,
- İhlalden Türkiye’de bulunan 13.382 kullanıcının etkilendiği, bu kullanıcıların içerisinde tüzel kişilerin de bulunduğu,
- İhlalden veri sorumlusu tarafından atanan müşteri numarası, e-posta adresi, varsayılan WordPress yönetici (admin) oturum açma bilgileri, güvenli dosya aktarım protokolü (sFTP) ve veritabanı kullanıcı adları ve şifrelerinin etkilendiği,
- İlgili kişilerin veri ihlali hakkında “+1 480 505 8870” numaralı telefonla GoDaddy çağrı merkezi kanalı üzerinden bilgi alabileceği ifade ediliyor.
Eureko Sigorta için de veri ihlâli bildirimi var
Kurul, Eureko Sigorta A.Ş. ile ilgili veri ihlâli bildiriminde aşağıdaki detayları verdi:
- Daha önce düzenli olarak manuel gönderilen daini mürtehinli dosyalara ait raporun sistemsel gönderiminin yapılmasına yönelik çalışıldığı, bu çerçevede testlerle sürecin başarılı olarak çalıştığının teyit edildiği, ancak parametreler canlı ortamda çalışması için taşınırken sisteme yansımaması sonucu hazırlanan raporun filtrelenmeden alıcılara gönderilmesi sebebiyle veri ihlali gerçekleştiği,
- İhlalin 17.12.2021 tarihinde gerçekleştiği ve aynı gün tespit edildiği,
- İhlalden etkilenen ilgili kişi grubunun müşteriler ve potansiyel müşteriler olduğu,
- İhlalden 601 kişinin etkilendiği,
- İhlalden etkilenen kişisel verilerin ad, soyad, TC kimlik numarası, banka, şube, poliçe bilgileri olduğu,
- İlgili kişilerin veri ihlali hakkında “[email protected]” iletişim kanalı üzerinden bilgi alabileceği ifade edildi.
Kurum, konuya ilişkin incelemenin devam ettiğini, Kişisel Verileri Koruma Kurulunun 23.12.2021 tarih ve 2021/1326 ve 2021/1327 sayılı kararları ile söz konusu veri ihlali bildirimlerinin internet sayfasında ilan edilmesine karar verildiğini kaydetti.