Kişisel Verileri Koruma Kurumu bugün bir duyuru daha geçti. Buna göre SunExpress adı kullanılarak 2 milyona yakın oltalama e-postası gönderildi.
Kişisel Verileri Koruma Kurumu tarafından SunExpress özelinde geçilen veri ihlal bildirim şöyle oldu: “Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir. Veri sorumlusu sıfatını haiz Güneş Ekspres Havacılık A.Ş. (SunExpress) tarafından Kurula iletilen veri ihlal bildiriminde özetle;
- -Bir siber saldırganın, bir yönetici hesabının giriş bilgilerini ele geçirerek veri sorumlusunun kullandığı kampanya yönetim platformuna yetkisiz erişim sağladığı ve bu hesap üzerinden oltalama amaçlı e-postalar gönderdiği,
- -İhlalin 15.07.2024 tarihinde gerçekleştiği ve aynı gün tespit edildiği,
- -Siber saldırganın, 596.659 tekil e-posta adresine toplamda 1.986.293 e-posta gönderdiği,
- -İhlalden etkilenen ilgili kişi gruplarının; çalışanlar, müşteriler ve potansiyel müşteriler olduğu,
- -İhlalden etkilenen kişisel veri kategorisinin iletişim (e-posta) bilgisi olduğu,
- -Siber saldırganın e-posta gönderdiği 596.659 e-posta adresinin;
- –86 adedinin çalışanlara (mevcut ve eski çalışanlar), 249.668 adedinin müşterilere ait olduğu,
- –346.905 e-posta adresinin ise kaynağının bilinmediği ve siber saldırgan tarafından saldırı esnasında sisteme yüklenen e-posta adresleri olduğu,
- -İlgili kişilerin, veri sorumlusunun internet sitesinde (https://www.sunexpress.com/tr-tr/verilerin-korunmasi/) yer alan form aracılığıyla veri ihlali hakkında bilgi alabilecekleri bilgilerine yer verilmiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 18.07.2024 tarih ve 2024/1230 sayılı Kararı ile söz konusu veri ihlal bildiriminin Kurumun internet sitesinde ilan edilmesine karar verilmiştir. Kamuoyuna saygıyla duyurulur.”
Kişisel Verileri Koruma Kurumu bundan önce Uber için şu veri ihlal bildirimini geçmişti: “Veri sorumlusu sıfatını haiz olan Uber Technologies Inc. tarafından Kurula iletilen veri ihlal bildiriminde özetle;
- -Veri sorumlusunun 2 Temmuz 2024 tarihinde, Uber kaynaklı olabilecek kişisel verileri kamuya açık hale getirme niyetini ortaya koyan bir kişiden e-posta almış olduğu,
- -Veri ihlalinin ne zaman gerçekleştiğinin ve ihlalin kaynağının ne olduğunun henüz tespit edilemediği, araştırmaların devam ettiği,
- -İhlalden Uber kullanıcıları (yolcular ve/veya yemek siparişi veren kişiler) ve/veya sürücüler ve/veya teslimat yapan kişilerin etkilendiği,
- -İhlalden etkilenen veriler hususunda;
- <Uber kullanıcılarının (yolcular ve/veya yemek siparişi veren kişiler) verilerine dair ekran görüntülerinde isim, e-posta adresi, telefon numarası, profil fotoğrafı, kayıt tarihi ve puan bilgilerinin bulunduğunun öngörüldüğü,
- <Uber platformundaki sürücüler ve/veya teslimat yapan kişiler bakımından ise ihlalden etkilendiği öngörülen verilerin; ekran görüntülerindeki sürücü ehliyeti, sigorta, kimlik kartı, araç kaydı ve özen yükümlülüğü kapsamındaki kontroller gibi belgeler kapsamındaki veriler olduğu ancak etkilenen kişisel verilerin an itibariyle tam olarak bilinmediği,
–İhlalden etkilenen kişi sayısının henüz tespit edilemediği bilgilerine yer verilmiştir. Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 10.07.2024 tarih ve 2024/1161 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sitesinde ilan edilmesine karar verilmiştir. Kamuoyuna saygıyla duyurulur.