Elektrik Enerjisi Dağıtım Şirketinden Veri İhlali Bildirimi

Kişisel Verileri Koruma Kurulu (KVKK), Kişisel Verilerin Korunması Kanunu’nun 12. madde ve 5. fıkrası, bulundurduğu kişisel verileri yasal olmayan şekillerde başkalarının eline geçen kurumlara, bu konuda KVKK’yı bilgilendirme yükümlülüğü getiriyor. Bu kapsamda son dönemin öne çıkan veri ihlallerinden birinin aktörü 2000’li yılların başında özelleştirilen elektrik enerjisi dağıtım şirketi oldu.

KVKK’da yayınlanan resmi açıklamada belirtilen ayrıntılar şu şekildeydi:

• Veri sorumlusuna ait bir çalışanın kullanıcı adı ve parolasının belirlenemeyen bir şekilde ele geçirildiği ve o kullanıcı hesabı ile sistemde kayıtlı diğer kullanıcı verilerinin bir e-posta adresine gönderim yolu ile sızdırıldığı,
• İhlalin, Bakanlık Siber Güvenlik Operasyon Merkezi tarafından Dark Web’de yapılan istihbarat çalışmaları sırasında tespit edildiği,
• İhlalden etkilenen ilgili kişi gruplarının çalışanlar ve vatandaşlar olduğu,
• İhlalden etkilenen kişisel verilerin isim, soy isim, e-posta adresi ve cep telefonu numarası olduğu,
• İhlalden etkilenen kişi sayısının 208.000 olduğu kaydedildi.

208 bin kişinin etkilendiği gelişmeye ilişkin incelemelerin devam ettiği ifade edilirken söz konusu veri ihlali, KVKK’nın 07.07.2022 tarih ve 2022/686 sayılı Kararı ile kurumun internet sitesinde ilan edildi.

Öte yandan veri ihlalinin ilk işaretleri Temmuz ayının başında ortaya çıkmış ve bir siber saldırı örgütünün web sitesinde, ekran görüntüsü ile birlikte konuya ilişkin kısa bilgi paylaşımı olmuştu.
Doğrulanamayan iddialar, gelişmenin KVKK web sitesinde yayınlanması ile birlikte resmiyet kazandı.