Amerika merkezli büyük telekomünikasyon şirketi AT&T, çalınan müşteri verilerini silmesi için bir hacker’a ödeme yapmış.
AT&T bu aralar çok kötü haberlerle gündeme geliyor. Kısa süre önce bir açıklama yapan şirket, siber saldırı sonrasında hücresel ağını kullanan neredeyse tüm müşterilerinin arama kayıtlarını ve mesajlarını çaldırdığını duyurdu. Bunun üzerine ise firmanın çalınan müşteri verilerini silmesi için bir hacker’a 370 bin dolar verdiği (ilk aşamada 1 milyon dolar istenmiş) ortaya çıktı. Bu ödemeyi kripto para “bitcoin” üzerinden yapan şirket, bilgisayar korsanından anlaşmanın kanıtı olarak verilerin silinme anının videosunu göndermesini istemiş. Şirketler genelde hacker’lara bu tarz ödemeler yapmıyor çünkü verilerin silindiğinden yüzde 100 emin olunamıyor. Geçtiğimiz günlerde de Türkiye ve Uber merkezli bir sızıntı gündeme gelmişti. Kişisel Verileri Koruma Kurumu tarafından Uber için geçilen veri ihlal bildirimi şöyle olmuştu: “Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12’nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir. Veri sorumlusu sıfatını haiz olan Uber Technologies Inc. tarafından Kurula iletilen veri ihlal bildiriminde özetle;
- -Veri sorumlusunun 2 Temmuz 2024 tarihinde, Uber kaynaklı olabilecek kişisel verileri kamuya açık hale getirme niyetini ortaya koyan bir kişiden e-posta almış olduğu,
- -Veri ihlalinin ne zaman gerçekleştiğinin ve ihlalin kaynağının ne olduğunun henüz tespit edilemediği, araştırmaların devam ettiği,
- -İhlalden Uber kullanıcıları (yolcular ve/veya yemek siparişi veren kişiler) ve/veya sürücüler ve/veya teslimat yapan kişilerin etkilendiği,
- -İhlalden etkilenen veriler hususunda;
- <Uber kullanıcılarının (yolcular ve/veya yemek siparişi veren kişiler) verilerine dair ekran görüntülerinde isim, e-posta adresi, telefon numarası, profil fotoğrafı, kayıt tarihi ve puan bilgilerinin bulunduğunun öngörüldüğü,
- <Uber platformundaki sürücüler ve/veya teslimat yapan kişiler bakımından ise ihlalden etkilendiği öngörülen verilerin; ekran görüntülerindeki sürücü ehliyeti, sigorta, kimlik kartı, araç kaydı ve özen yükümlülüğü kapsamındaki kontroller gibi belgeler kapsamındaki veriler olduğu ancak etkilenen kişisel verilerin an itibariyle tam olarak bilinmediği,
–İhlalden etkilenen kişi sayısının henüz tespit edilemediği bilgilerine yer verilmiştir. Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 10.07.2024 tarih ve 2024/1161 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sitesinde ilan edilmesine karar verilmiştir. Kamuoyuna saygıyla duyurulur.
