Karar Tarihi: 17.09.2020

Karar No: 2020/715

Konu Özeti: Bir e-ticaret şirketinin veri ihlal bildirimi

İhlal Özeti

Veri sorumlusunun Kuruma gönderilen veri ihlal bildiriminde özetle;

• • İhlalin, kaynağı ve zamanı tahmin edilemeyen şekilde internet üzerinde ifşa olmuş kullanıcı e-posta adresleri ve şifrelerinin, veri sorumlusunun internet sitesinin giriş ekranında, robot bir uygulama vasıtasıyla denenmesi şeklinde gerçekleştiği,
• • İhlalin, veri sorumlusunun bilgi güvenliği ekibi tarafından, olayın gerçekleştiği gecenin sabahı, mesai başlangıcında yapılan rutin kontroller sırasında tespit edildiği, müteakiben vaka hakkında detaylı araştırma başlatıldığı, 
• • İhlalden etkilenen kişi ve kayıt sayısının 832 olduğu,
• • İhlalle ilişkili 832 hesabın kullanıcısına e-posta aracılığıyla bildirimde bulunulduğu, bildirimlerin, olaya ilişkin inceleme ve tespitler tamamlandıktan sonra derhal yapıldığı, 
• • İhlale konu olan platformun işleyişi kapsamında, giriş yapmak isteyen kullanıcıların e-posta ve şifrelerini girerek ilk olarak ana ekrana, bu ana ekranı geçtikten sonra da üyelik hesaplarının bulunduğu ekranlara ulaşabildiği

ifadelerine yer verilmiştir.

Karar Özeti

• • Veri sorumlusu tarafından her ne kadar bahsi geçen e-posta adreslerinin ve şifrelerinin internet sitesi üzerinden ele geçirilmediği ve ihlalden etkilenen herhangi bir kimlik, iletişim veya müşteri işlem bilgisinin bulunmadığı belirtilse de ilgili kişilerin hesaplarına yetkisiz kişilerce erişimde bulunulduğu, kişisel verilerin gizliliğinin bozulduğu ve söz konusu durumun da veri ihlali oluşturduğu,
• • Veri sorumlusunun aynı IP adresinden başarısız oturum açma girişim sayısının veri ihlalinden sonra sınırlandırıldığı, bahsi geçen sınırlandırma tedbirini önceden almış olması halinde internet ortamında sıkça rastlanan saldırı neticesinde ihlalin gerçekleşmesinin önlenebileceği ya da ihlalin etkisinin azaltılabileceği, bunun da veri sorumlusunun veri ihlali öncesinde veri güvenliğini sağlamaya yönelik alması gereken teknik tedbirleri yeterli ve gerekli düzeyde almadığının göstergesi olduğu,
• • İhlalden 832 kişiye ait e-posta adresi ve şifre bilgilerinin etkilenmiş olduğunun beyan edildiği,
• • Veri sorumlusu tarafından kullanıcıların belirli zaman aralıklarında şifrelerini değiştirmelerinin sağlanmadığı,
• • “Web uygulaması güvenlik duvarı” [WAF (Web Application Firewall)] üzerinde aynı IP ile başarılı oturum açma işleminin engellenmesi kural tanımının veri ihlali gerçekleşmeden önce alınması gerekirken veri ihlalinin gerçekleşmesinden sonra alındığı, 
• • İhlale konu olayda ilgili kişiler önemli bir zarara uğramamış olsa da bahsi geçen internet sitesinin kullanım düzeyi ve içerisinde yer alan kişisel veriler düşünüldüğünde veri sorumlusunun ilgili tedbirleri almamasının ihlal sonucunda potansiyel tehdit açısından ciddi bir risk taşıdığı

değerlendirmelerinden hareketle; 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 165.000 TL idari para cezası uygulanmasına,

• • İhlalin 17.12.2019 tarihinde gerçekleştiği, 17.12.2019 tarihinde tespit edildiği ve 20.12.2019 tarihinde Kurumumuza bildirildiği dikkate alındığında Kanunun 12 inci maddesinin (5) numaralı fıkrası kapsamında Kurulun 24/01/2019 tarih ve 2019/10 sayılı Kararı ile belirlenen veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde veri sorumlusunun bildirimde bulunduğu, öte yandan veri sorumlusu tarafından ilgili kişilere bildirim yapıldığı 

dikkate alındığında, veri sorumlusu hakkında Kanunun 12 nci maddesinin (5) numaralı fıkrası kapsamında yapılacak bir işlem bulunmadığına

karar verilmiştir.

Kurumdaki Eksiklikler Neydi?

• • Veri Sorumlusu tarafından kişisel veri güvenliğine ilişkin politikaların etkin şekilde uygulanamaması.
• • Veri Sorumlusu tarafından yeterli izlenme sağlanmayarak kendi olağan trafiğine ek olarak meydana gelen olağan dışı trafiğin tespit edilememesi.
• • Veri Sorumlusu tarafından web sitesi kullanıcı hesaplarına sadece şifre ile erişim olanağı tanınarak saldırılar karşısında zafiyete sebep verilmesi.
• • Başka ortamlardan elde edilen parola bilgilerinin denenmesini önleyecek bir güvenlik tedbirinin alınmaması
• • Sızma testi kapsamında web sitesinin olmaması ya da sızma testi kapsamının yetersiz belirlenmiş olması

Ne Gibi Önlemler Alınmalıydı?

• • Veri sorumlusu tarafından veri sahiplerinin web sitesine erişimleri sırasında captcha ya da SMS doğrulama gibi iki kademeli güvenlik önlemleri alınmalıydı.
• • Veri Sorumlusu tarafından web sitesi kullanıcı hesaplarında erişim için kompleks parolalar oluşturulmaya zorlayacak bir altyapı oluşturulmalıydı. Oluşturulan parolalar için parola ömrü belirlenmeliydi. Başka bir cihazdan profile erişim taleplerine karşı onay mailleri gönderimi yapılabilirdi.
• • Önceden login olmamış bir cihazdan profile erişim talebi olması durumunda daha önce sistemde tanımlanmış kullanılmış mail ya da cep telefonu numarasına bilgilendirme ya da uyarı mesajları gönderilebilirdi.
• • Olağandışı erişimlere zamanında müdahale etme ve doğru analizlerin gerçekleştirilmesi için profesyonel destek ya da SOC hizmeti alınabilirdi.
• • Mevcut WAF uygulamasında sıkılaştırma önlemleri alınmalıydı. Örneğin; aynı ip adresi üzerinden gelen hatalı denemelerde ilgili ip adresi bloklanabilirdi. Ayrıca gelen login olma taleplerindeki artışlar analiz edilebilir ve anormal istekler için uyarı alarm oluşturulabilirdi.
• • Sızma testi kapsamına web sitesi de eklenebilirdi. Web sitesinde kullanıcı erişimi sağlanan ortamların güvenliğine ilişkin sıkılaştırma yapılabilirdi.
• • Sızma testlerinde çıkan bulguların hızlı bir şekilde kapatılabilmesi için sorumlular tam belirlenmesi (üçüncü taraf hizmet sağlayıcıları dahil) gerekirdir.
• • Açıklıkların kapatılması için üçüncü taraf hizmet sağlayıcılar varsa ilgili tarafla yapılan sözleşmelerin içeriğine tespit edilen zafiyetlerin kapatılmasına ilişkin SLA süreleri ve sorumluklar verilmeliydi.