Kişisel Verileri Koruma Kurumu (KVKK) bugün iki değişik veri ihlali bildirimi yapmış oldu. Bu bildirimlerden ilki bir gezim firmasına işaret ederken diğeri ise direkt olarak PTT‘yi gösteriyor. KVKK, resmi web sitesi üstünde devamlı olarak bu tür bilgilendirmeler paylaşıyor.

KVKK, PTT’de veri ihlali yapıldığını deklare etti

Bir veri ihlali bildiriminde PTT şeklinde bir kurumun da yer alması ise şaşkınlık yarattı. Posta ve Telgraf Teşkilatı Biriktirme ve Yardım Sandığı için piyasaya sürülen ihlal bildiriminde KVKK tarafınca şu ifadelere yer verilmiş durumda:

Bilinmiş olduğu suretiyle, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafınca elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi web sitesinde ya da uygun göreceği başka bir yöntemle duyuru edebilir.” hükmünü amirdir.

Posta ve Telgraf Teşkilatı Biriktirme ve Yardım Sandığı tarafınca Kurula iletilen veri ihlal bildiriminde özetle;

• Zararı dokunan yazılımlar vasıtasıyla üyelerin bilgilerinin bulunmuş olduğu sisteme yetkisiz erişim sağlandığı,
• Yetkisiz kişiler tarafınca, anne kızlık soyadı, cilt seri no şeklinde PTT çalışanlarının kişisel verilerinin, 3.2 gb veri tabanı yedeğinin ve sitenin tüm dosyalarının ele geçirildiğinin iddia edilmiş olduğu,
• İhlalin 29.08.2022 ile 30.08.2022 tarihleri içinde gerçekleştiği ve 30.08.2022 tarihinde tespit edilmiş olduğu,
• İhlalden etkilenen kişisel verilerin kimlik ve üyelik işlemlerine ilişik bilgiler olduğu,
• İhlalden ortalama 38.000 kaydın etkilendiği,
• İhlal ile ilgili çalışmaların devam etmekte olduğu

bilgilerine yer verilmiştir.

Mevzuya ilişkin araştırma devam etmekle beraber, Kişisel Verileri Koruma Kurulunun 01.09.2022 tarih ve 2022/891 sayılı Sonucu ile söz mevzusu veri ihlali bildiriminin Kurumun web sayfasında duyuru edilmesine karar verilmiştir. Kamuoyuna saygıyla duyurulur.

Bir öteki ihlal bildirimi ise Biblos Alaçatı Gezim Yatırımları A.Ş adına yapılmış oldu. KVKK tarafınca paylaşılan resmi yazıda ise şu ifadeler kullanıldı:

Bilinmiş olduğu suretiyle, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafınca elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi web sitesinde ya da uygun göreceği başka bir yöntemle duyuru edebilir.” hükmünü amirdir.

Veri sorumlusu sıfatını haiz olan Biblos Alaçatı Gezim Yatırımları A.Ş. tarafınca Kurula iletilen veri ihlal bildiriminde özetle;

• İhlalin kaynağının fidye yazılımı saldırısı ve parola saldırısı olduğu,
• İhlalin 19.08.2022 tarihinde başladığı, aynı tarihte veri sorumlusunun iş telefonlarına gönderilen mesajlar ve personeline gönderilen e-postalar vasıtasıyla siber saldırının tespit edilmiş olduğu,
• İhlalden etkilenen kişisel veri kategorilerinin kimlik, yazışma, satın alan işlem, finans, pazarlama, görsel ve işitsel kayıtlar olduğu,
• İhlalden etkilenen hususi nitelikli kişisel veri kategorilerinin sıhhat detayları ve biyometrik veriler olduğu,
• Öte taraftan insan kaynakları, ön ofis ve finans departmanlarında kullanılan programlar vasıtasıyla personel bordro kayıtlarının, konuk verilerinin ve firmanın mali verilerinin ihlale maruz kalmasının olasılık dahilinde olduğu,
• İhlalden etkilenen ilgili şahıs gruplarının çalışanlar, müşteriler ve potansiyel müşteriler olduğu,
• İhlalden etkilenen tahmini şahıs sayısının 450 olduğu, sadece siber saldırıya uğrayan programlar ve verilerle ilgili envanter çalışmasının devam etmiş olduğu,
• İlgili kişilere ilişik verilerin siber hücum sonucunda silinmesi sebebiyle bildirim yapılamadığı

bilgilerine yer verilmiştir. Mevzuya ilişkin araştırma devam etmekle beraber, Kişisel Verileri Koruma Kurulunun 01.09.2022 tarih ve 2022/882 sayılı Sonucu ile söz mevzusu veri ihlali bildiriminin Kurumun web sayfasında duyuru edilmesine karar verilmiştir. Kamuoyuna saygıyla duyurulur.

KVKK tarafınca belli aralıklarla kamuoyunu bilgilendirmek için bu tür paylaşımlar yapılıyor. Peki siz PTT kurumunda meydana getirilen veri ihlali hakkında ne düşünüyorsunuz? Görüşlerinizi yorumlar kısmında bizimle paylaşabilirsiniz.