Arçelik Tedarikçi Sistemi Hacklendi, 30 Binden Fazla Kisinin Verileri Çalindi
Kisisel Verileri Koruma Kurumu (KVKK), beyaz esya ve teknoloji firmasi Arçelik’in tedarikçisinin sisteminin hacklendigi açiklandi. Açiklamada, 30 bin 373 kisinin verilerinin çalindigi belirtildi.
Arçelik BizBize mobil uygulamasi ve internet sitesindeki veriler hackerlar tarafindan çalindi. Konu ile ilgili KVKK’dan yapilan açiklamada su ifadeler ye verildi:
’’Bilindigi üzere, 6698 sayili Kisisel Verilerin Korunmasi Kanununun “Veri güvenligine iliskin yükümlülükler” baslikli 12’nci maddesinin (5) numarali fikrasi “Islenen kisisel verilerin kanuni olmayan yollarla baskalari tarafindan elde edilmesi hâlinde, veri sorumlusu bu durumu en kisa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun görecegi baska bir yöntemle ilan edebilir.” hükmünü amirdir.
Veri sorumlusu sifatini haiz Arçelik A.S. tarafindan Kurula iletilen veri ihlal bildiriminde özetle;
Veri sorumlusunun anlasmali oldugu bayi ve yetkili servis çalisanlarinin satis hedefleri kapsaminda ek menfaat niteliginde ödül kazandiklari, Arçelik Bizbize mobil uygulama ve internet sitesinin barindirildigi tedarikçi sistemlerinde tespit edilen bir güvenlik zafiyeti dolayisiyla kisisel verilere yetkisiz erisim saglandigi,
Ilgili sistemlerin kod ve mülkiyet sahipliginin veri isleyende bulundugu, veri sorumlusunun yalnizca kullanim imkanina sahip oldugu bir modelle hizmet aldigi,
Yetkisiz kisiler tarafindan admin paneline erisim saglandigi ve Almanya’da görünen bir IP adresine kisisel verilerin alindiginin tespit edildigi,
Ihlalden etkilenen ilgili kisi gruplarinin bayi ve yetkili servis çalisanlari oldugu,
Ihlalden etkilenen kisisel verilerin Kimlik (ad, soyadi, TCKN, unvan, dogum tarihi, cinsiyet), Iletisim (elektronik posta adresi, GSM numarasi), Islem Güvenligi (LDAP (Lightweight directory access protocol) kodu (verinin tutulmasi ve erisim dogrulamasi için kullanilan koddur) ve kullanici sifresi, kayit ve güncelleme tarihi, son giris tarihi, hesabinin aktiflik durumu, cihaz modeli, versiyonu ve isletim sistemi bilgisi, uygulama versiyon bilgisi, bildirim izin durumu), Diger (sistem kapsaminda, bayi ve yetkili servis çalisanlarinin puan kazanim ve harcama bilgileri, uzmanlik, egitim, ise baslama tarihi, ilgili kisinin sahsi bilgileri olmamakla beraber çalismakta oldugu bayi ve magazasinin kodu, adi ve adresi) oldugu,
Ihlalden etkilenen ilgili kisi sayisinin tahmini 30.373 kisi oldugu,
Ilgili kisilerin veri sorumlusunun basvuru panelinden (https://privacyportal-eu.onetrust.com/webform/1ee6a6ce-9b09-49bd-b9e4-a3544706c63e/6361bf5f-8fd5-4af5-8c3a-6cd46cddca1b) bilgi alabilecekleri bilgilerine yer verilmistir.
Konuya iliskin inceleme devam etmekle birlikte, Kisisel Verileri Koruma Kurulunun 01.06.2023 tarih ve 2023/978 sayili Kararlari ile söz konusu veri ihlal bildiriminin Kurumun internet sayfasinda ilan edilmesine karar verilmistir’’
