Bugün Kişisel Verileri Koruma Kurulu yada malum kısaltmasıyla KVKK, Getir Perakende Lojistik Anonim Şirketi ve Bitaksi Mobil Teknoloji Anonim Şirketi için veri ihlali bildirimi yapmış oldu. Kısaca uygulamalarda güvenlik açığı olduğu kullananların kişisel verilerinin çalındığını söylemiş oldu. İşte resmi izahat…
KVKK, Getir ve BiTaksi için veri ihlali bildirimi yapmış oldu!
Meydana getirilen açıklamaya geçmeden ilkin özetlemek gerekirse özetleyecek olursak, BiTaksi’nin hacklenmediği belirtiliyor. Fakat 5 bin 98 Getir kullanıcısının kimlik, yazışma, hesap, alan kişi işlem ve öteki bilgilerinin ele geçirildiği söyleniyor.
KVKK tarafınca Getir ve BiTaksi için meydana getirilen veri ihlali bildirimi içinde şu duyuruya yer verildi:
“Bilinmiş olduğu suretiyle, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafınca elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi web sitesinde ya da uygun göreceği başka bir yöntemle duyuru edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz Getir Perakende Lojistik Anonim Şirketi (Getir) ve Bitaksi Mobil Teknoloji Anonim Şirketi (BiTaksi) tarafınca Kurula iletilen veri ihlal bildirimi ve takip bildiriminde özetle;
- 11.03.2023 tarihinde Getir’in üst yönetimine ulaşan bir e-postada, fena niyetli üçüncü bir şahsın BiTaksi (Getir’in kurucusu tarafınca kurulan bir teknoloji şirketi) kullanıcılarına ilişik bazı kişisel verileri elinde bulundurduğunu iddia etmiş olduğu ve örnek olarak bazı veri satırlarını paylaşmış olduğu,
- 23.03.2023 tarihinde bir Getir yetkilisine ve 25.03.2023 tarihinde Getir’in kurumsal e-posta adresine fena niyetli üçüncü şahıs tarafınca iletilen iki ayrı e-postada, darkwebde Getir hakkında kişisel verilerin ihlale uğradığına dair iddialara yer verildiği ve Getir müşterilerine ilişik olduğu iddia edilen kişisel veri içeren bağlantıların (URL) paylaşılmış olduğu,
- Darkwebde yer edinen içeriklerin Getir bünyesindeki müdahale ekibi tarafınca incelenmeye başlandığı; log kayıtlarının aktarıldığı yazılımların birinde yer edinen verilerin, ilgili darkweb gönderilerinde yer edinen verilerle örtüştüğünün tespit edilmiş olduğu,
- Öte taraftan, darkwebde paylaşılan verilerin Bitaksi sistemlerinde yer edinen verilerle örtüşmediği ve Bitaksi kullanıcılarının kişisel verilerinin ihlal edilmediği,
- İhlalden etkilenen kişisel verilerin, Getir kullanıcıları için; kimlik (ad, soyad, TC kimlik numarası, cinsiyet), yazışma (GSM numarası, e-posta adresi, teslimat adresi) hesap (Getir alan kişi numarası ve hesap oluşturma zamanı), alan kişi işlem (Getir uygulamasından verilen son sipariş zamanı ve numarası, sipariş verilen Getir dikeyi [Getir, Getir Büyük, Getir Yemek vb.], sipariş içinde ne olduğu, iptal edilen sipariş sayısı ve toplam sipariş sayısı), öteki (Getir uygulamasına son giriş meydana getirilen tarih ve konum, Getir’e verilen yazışma izinleri) bilgiler olduğu, Getir bayilerine hizmet veren kuryeler için ise; kimlik (ad, soyad), yazışma (GSM numarası), görsel ve işitsel kayıtlar (profil fotoğrafı), öteki (anlık konum bilgisi ve Getir çalışan numarası) bilgiler olduğu,
- İhlalden etkilenen tahmini şahıs sayısının 5098 olduğu; sadece etkilenen her veri kategorisinin tüm ilgili kişiler için geçerli olmadığı,
- İlgili kişilerin ihlal ile ilgili olarak [email protected] e-posta adresinden yada Etiler Mah. Tanburi Ali Efendi Sok. Maya Residences Sitesi, T Blok, No:13 İç Kapı NO:334 Beşiktaş/İstanbul adresinden data alabilecekleri
Mevzuya ilişkin araştırma devam etmekle beraber, Kişisel Verileri Koruma Kurulunun 30.03.2023 tarih ve 2023/496 sayılı Sonucu ile söz mevzusu veri ihlal bildiriminin Kurumun web sayfasında duyuru edilmesine karar verilmiştir. Kamuoyuna saygıyla duyurulur.”
Kaynak: teknolojipusulasi.com