Scooter Paylaşım Sistemi Şirketinden KVKK’ya Veri İhlali Bildirimi

Kişisel Verileri Koruma Kurulu (KVKK), Kişisel Verilerin Korunması Kanunu’nun 12. madde ve 5. fıkrası, bulundurduğu kişisel verileri yasal olmayan şekillerde başkalarının eline geçen kurumlara, bu konuda KVKK’yı bilgilendirme yükümlülüğü getiriyor. Bu kapsamda tanınmış bir scooter paylaşım sistemi şirketinden KVKK’ya veri ihlali bildiriminde bulunduğu kaydedildi.

Henüz kimliği belirlenemeyen kişi veya kişiler tarafından sistemlerine izinsiz erişim sağlandığı, konuyla ilgili olarak siber saldırgan tarafından 27 Şubat 2022 tarihinde şirkete bir e-posta iletildiği ve veri ihlalinin bu şekilde tespit edildiği kaydedildi.

İhlalden etkilenen kişi grupları ve kişi sayısının henüz tespit edilmediği, ayrıca hangi veri kategorilerinin ihlalden etkilendiğinin bilinmediği belirtildi. İhlalin kaynağı ve gerçekleşme yöntemine ilişkin araştırmaların devam ettiği bilgisi paylaşıldı.

Dolayısıyla veri ihlalinden etkilenen kişi sayısının yanı sıra hangi kişisel verilerin ele geçirildiği bilinmiyor. Şirketin resmi web sayfasında aşağıdaki paylaşım yapıldı:

“Kamuoyuna Duyurulur:

Şirketimiz, 27/02/2022 tarihinde kimliği belirsiz kişi veya kişilerce kişisel verilere erişildiği iddiasıyla bir tehdit e-postası almıştır ve iddianın yer aldığı e-posta Kişisel Verileri Koruma Kurumu’na bildirilmiştir. Şirketimiz tarafından tüm gerekli teknik araştırmalar başlatılmış, önlemler alınmıştır.

Bu noktada, şirketimizin kullanıcılar ile eşleştirilebilir kredi kartı verilerini saklamadığını ve bu bağlamda hiçbir finansal bilgiye erişilmesinin mümkün olmadığını önemle belirtmek isteriz. Buna ek olarak, kullanıcılarımız uygulamamıza tek kullanımlık şifre ile giriş yaptığından 3. kişiler tarafından herhangi bir kullanıcı hesabına erişim mümkün değildir.

Saygılarımızla”

Şirketin KVKK’da yayınlanan resmi açıklamasının tam metni ise şu şekilde:

“Veri sorumlusu sistemlerine yetkisiz kişi/kişiler tarafından erişilmesi suretiyle veri ihlalinin gerçekleştiği,

    Veri ihlalinin yetkisiz erişen kişi/kişiler tarafından iletilen e-posta üzerine 27.02.2022 tarihinde tespit edildiği,

    İhlalden etkilenen ilgili kişi grupları ve kişi sayısının henüz belirlenemediği,

    İhlalden etkilenen kişisel veri kategorilerinin henüz belirlenemediği,

    İhlalin kaynağı ve gerçekleşme yöntemine ilişkin araştırmaların devam ettiği bilgilerine yer verilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 04.03.2022 tarih ve 2022/209 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir. 

Kamuoyuna saygıyla duyurulur.”