İnternet sitesi siber saldırıya uğrayan ve bazı müşterilere ait bilgileri ele geçirilen şirkete, “iki faktörlü kimlik doğrulama sistemi”ni uygulamadığı, veri güvenliğine ilişkin tedbirleri almadığı gerekçesiyle 75 bin lira idari para cezası verildi.
Şirketin uğradığı siber saldırıya ilişkin Kurula yaptığı veri ihlal bildiriminde, kötü niyetli kullanıcılar tarafından, başka internet sitelerinden elde edilen kullanıcı adı ve şifrelerin, internet sitelerindeki “üye girişi” bölümünden denenerek 29 müşterinin hesabına yetkisiz erişim gerçekleştiği belirtildi.
Bildirimde, ihlalden etkilenen 29 müşteriye ait “isim, soy isim, elektronik posta, telefon numarası, adres, satın alınan ürün” bilgilerine ulaşıldığı aktarıldı.
Bunun üzerine inceleme başlatan Kurul, Kişisel Verilerin Korunması Kanunu’nun ilgili maddeleri uyarınca veri güvenliğini sağlamaya yönelik gerekli teknik tedbirleri almayan şirketin 75 bin lira idari para cezasına çarptırılmasına hükmetti.
Gerekli teknik tedbirlere başvurulmadığı vurgulandı
Kişisel hesaplara erişimde veri güvenliğinin sağlanması amacıyla kullanıcı kimliklerinin doğrulanması gerektiği belirtilen kararda, sorumlu şirketin veri ihlali öncesinde alması gereken güvenlik önlemlerinden olan “iki faktörlü kimlik doğrulama yöntemini” ihlal sonrasında yayına almayı planladığı dikkate alındığında veri güvenliğini sağlamaya yönelik gerekli teknik tedbirlere başvurulmadığı vurgulandı.
İhlalden etkilenen kişilerin şifrelerinin sadece rakamlar ya da harflerden oluştuğu vurgulanan kararda, müşterilerin hesap açılırken güçlü şifre oluşturmaya da zorlanmadığı kaydedildi.
Kararda, ihlal sırasında “web uygulama güvenlik duvarının” işlemin saldırı ya da normal kullanıcı girişi olup olmadığını tespit edene kadar siber saldırganların bazı hesaba yetkisiz erişim sağladığı, bunun da veri sorumlusunun uygulama güvenliğini sağlayamadığını gösterdiği ifade edildi.