İnceleme
( Kullanıcı Oyu)Siber saldırganların son amacı Arçelik oldu. Beyaz eşya ve teknoloji firmasının satış amacı kampanyaları haberi için kullandığı Arçelik BizBize mobil uygulaması ve internet sitesindeki datalar hackerlar tarafından çalındı.
DonanımHaber’in aktardığı bilgilere nazaran siber saldırganlar Almanya’daki bir Arçelik BizBize’nin admin paneline erişim sağladı. Bu sayede de siber saldırganlar uygulamada yer alan bilgileri ele geçirdi.
Arçelik’in açıklamalarına nazaran yalnızca bayi ve yetkili servis çalışanlarından oluşan 30 bin kişinin verisi çalındı. Müşteri bilgilerinde ise rastgele bir sızıntı olmadığı açıklandı.
KVKK tarafından yayınlanan kamuoyu duyurusu ise şöyle:
“Bilindiği üzere, 6698 sayılı Şahsî Bilgilerin Korunması Kanununun “Veri güvenliğine ait yükümlülükler” başlıklı 12’nci unsurunun (5) numaralı fıkrası “İşlenen şahsî dataların yasal olmayan yollarla diğerleri tarafından elde edilmesi hâlinde, bilgi sorumlusu bu durumu en kısa müddette ilgilisine ve Şuraya bildirir. Konsey, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği öbür bir prosedürle ilan edebilir.” kararını amirdir.
Veri sorumlusu sıfatını haiz Arçelik A.Ş. tarafından Konseye iletilen data ihlal bildiriminde özetle;
-Veri sorumlusunun mutabakatlı olduğu bayi ve yetkili servis çalışanlarının satış maksatları kapsamında ek menfaat niteliğinde ödül kazandıkları, Arçelik Bizbize taşınabilir uygulama ve internet sitesinin barındırıldığı tedarikçi sistemlerinde tespit edilen bir güvenlik zafiyeti hasebiyle şahsî datalara yetkisiz erişim sağlandığı,
-İlgili sistemlerin kod ve mülkiyet sahipliğinin bilgi işleyende bulunduğu, data sorumlusunun sırf kullanım imkanına sahip olduğu bir modelle hizmet aldığı,
-Yetkisiz şahıslar tarafından admin paneline erişim sağlandığı ve Almanya’da görünen bir IP adresine ferdî bilgilerin alındığının tespit edildiği,
-İhlalden etkilenen ilgili kişi kümelerinin bayi ve yetkili servis çalışanları olduğu,
-İhlalden etkilenen şahsî dataların Kimlik (ad, soyadı, TCKN, unvan, doğum tarihi, cinsiyet), Bağlantı (elektronik posta adresi, GSM numarası), Süreç Güvenliği (LDAP (Lightweight directory access protocol) kodu (verinin tutulması ve erişim doğrulaması için kullanılan koddur) ve kullanıcı şifresi, kayıt ve güncelleme tarihi, son giriş tarihi, hesabının etkinlik durumu, aygıt modeli, versiyonu ve işletim sistemi bilgisi, uygulama versiyon bilgisi, bildirim müsaade durumu), Öbür (sistem kapsamında, bayi ve yetkili servis çalışanlarının puan kazanım ve harcama bilgileri, uzmanlık, eğitim, işe başlama tarihi, ilgili kişinin şahsi bilgileri olmamakla birlikte çalışmakta olduğu bayi ve mağazasının kodu, ismi ve adresi) olduğu
-İhlalden etkilenen ilgili kişi sayısının iddiası 30.373 kişi olduğu,
-İlgili şahısların bilgi sorumlusunun müracaat panelinden (https://privacyportal-eu.onetrust.com/webform/1ee6a6ce-9b09-49bd-b9e4-a3544706c63e/6361bf5f-8fd5-4af5-8c3a-6cd46cddca1b) bilgi alabilecekleri bilgilerine yer verilmiştir.
Konuya ait inceleme devam etmekle birlikte, Ferdî Dataları Muhafaza Şurasının 01.06.2023 tarih ve 2023/978 sayılı Kararları ile kelam konusu bilgi ihlal bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.”
ARÇELİK’TEN AÇIKLAMA GELDİ
Arçelik bu argümanlara karşı siber saldırıyı doğruladı. Uygulamanın bir tedarikçi sisteminden kaynaklı olduklarını söz etti.
Konuyla ilgili Arçelik’ten yapılan açıklamanın tamamı şu biçimde:
“Bazı bayi ve yetkili servis çalışanlarımızın ferdî datalarına erişilmesiyle ilgili paylaşımlar üzerine açıklama yapma gereği doğmuştur.
Şirketimiz bünyesinde kullanılan bir uygulamaya siber atak gerçekleştirilmiştir. Uygulamamıza erişim pek çok öbür şirket ve markaya da hizmet veren bir tedarikçimizin sisteminden kaynaklı olup, gerekli tüm teknik ve yasal tedbirler alınmıştır. Ferdî dataların korunması ve siber güvenlik şirketimizin en kıymetli öncelikleri ortasındadır. Olayın etkilediği sistemler, ödeme ve finansal bilgileri içermemektedir. Halihazırda ferdî bilgilere erişimle ilgili zafiyet bulunmamaktadır.
Kamuoyuna hürmet ile duyurulur.”
