Kişisel Bilgileri Koruma Kurumu (KVKK), beyaz eşya ve teknoloji şirketi Arçelik’in hedef satış kampanyaları için kullandığı Arçelik BizBize mobil uygulaması ve internet sitesindeki verilerin hackerlar tarafından çalındığını duyurdu.
HardwareHaber’e göre Siber saldırganlar, Almanya’daki bir Arçelik BizBize’ın yönetici paneline erişim sağladı. Siber saldırganlar bu sayede uygulamada yer alan bilgileri ele geçirdi. Arçelik’in açıklamalarına göre sadece bayi ve yetkili servis çalışanlarından oluşan 30 bin kişinin verileri çalındı. Müşteri bilgilerinde rastgele bir sızıntı olmadığı açıklandı.
KVKK tarafından yapılan kamuoyu duyurusu şu şekilde:
“Bilindiği üzere 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12’nci maddesinin (5) numaralı fıkrasında “İşlenen kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde; veri sorumlusu durumu en kısa sürede ilgilisine ve Kurula bildirir…. Kurul, gerekli gördüğü takdirde bu durumu kendi internet sitesinde veya uygun göreceği başka bir yöntemle ilan edebilir.” kararı onaylar.
Veri sorumlusu sıfatına sahip olan Arçelik A.Ş. Özetle, Heyet’e iletilen bilgi ihlali bildiriminde;
-Veri sorumlusunun anlaşmalı olduğu bayi ve yetkili servis çalışanlarının satış amaçları kapsamında ek menfaatler kazanmış olması ve Arçelik Bizbiz mobil uygulamasının bulunduğu tedarikçi sistemlerinde tespit edilen güvenlik açığı nedeniyle kişisel verilere yetkisiz erişim sağlanması. ve web sitesi barındırılıyor,
-İlgili sistemlerin kodu ve mülkiyetinin veri işleyende olması ve veri sorumlusunun sadece kullanma imkanı bulunan bir model ile hizmet alması,
– Yönetici paneline yetkisiz kişilerin erişiminin olduğu ve Almanya’da görünür bir IP adresinden kişisel bilgilerin elde edildiği tespit edilmiştir,
– İhlalden etkilenen ilgili kişi kümelerinin bayiler ve yetkili servis çalışanları olması,
– Kimlik (ad, soyad, TCKN, unvan, doğum tarihi, cinsiyet), İletişim (e-posta adresi, GSM numarası), İşlem Güvenliği (LDAP (Hafif dizin erişim protokolü) kodu (veri saklama ve erişim doğrulama için kullanılır) ihlalden etkilenen kişisel bilgiler.kodu) ve kullanıcı şifresi, kayıt ve güncelleme tarihi, son giriş tarihi, hesap hareket durumu, cihaz modeli, versiyon ve işletim sistemi bilgisi, uygulama versiyon bilgisi, bildirim izin durumu), Diğer (sistem içi, bayiler ve yetkili servis çalışanları, kişisel bilgileri olmasa da puan ve harcama bilgileri, uzmanlık, eğitim, işe giriş tarihi, ilgili kişinin çalıştığı bayi ve mağazanın kodu, adı ve adresi gibi bilgiler kazanabilirler).
-İhlalden etkilenen ilgili kişi sayısı 30.373,
– İlgili kişilerin veri sorumlusunun uygulama panelinden (https://privacyportal-eu.onetrust.com/webform/1ee6a6ce-9b09-49bd-b9e4-a3544706c63e/6361bf5f-8fd5-4af5-) bilgi alabileceği belirtilmiştir. 8c3a-6cd46cddca1b).
Konuyla ilgili soruşturma devam etmekle birlikte Kişisel Verileri Koruma Kurulu’nun 01.06.2023 tarih ve 2023/978 sayılı Kararları ile Bilgi İhlal Bildiriminin Kurumun internet sitesinde duyurulmasına karar verilmiştir.” (HABER MERKEZİ)
