Tanınmış Sigorta Şirketinden KVKK’ya Veri İhlali Bildirimi

Kişisel Verileri Koruma Kurulu (KVKK), Kişisel Verilerin Korunması Kanunu’nun 12. madde ve 5. fıkrası, bulundurduğu kişisel verileri yasal olmayan şekillerde başkalarının eline geçen kurumlara, bu konuda KVKK’yı bilgilendirme yükümlülüğü getiriyor. Bu kapsamda son dönemin öne çıkan veri ihlallerinden birinin aktörü Quick Sigorta oldu.

KVKK’da yayınlanan resmi açıklamada belirtilen ayrıntılar şu şekildeydi:

• Veri sorumlusunun anlaşmalı olduğu yazılım firması tarafından yönetilen hasar yönetimi programında yer alan maddi araç hasarlarına ilişkin görsellerin yer aldığı URL’nin yetkisiz kişiler tarafından ele geçirildiği,
• Yetkisiz kişiler tarafından çeşitli ihbar ID numaraları denenerek görsellere erişilmesi ile ihlalin gerçekleştiği,
• Yapılan incelemelerde saldırganın sisteme giriş yapma denemelerinin 18.08.2022 tarihinde başarılı olduğu ve 21.08.2022 tarihinde veri çekme girişimlerine başladığının anlaşıldığı,
• İlgili programın çoğunlukla, kazaya karışmış hasarlı araçlara ait görüntülerden oluştuğu; halihazırda konuya ilişkin inceleme devam etmekle birlikte, hasar dosyasında yer alan bilgiler kapsamında:
• Sürücülerin kimlik görseli iletmesi halinde; isim, soy isim, T.C kimlik numarası, doğum yeri, doğum tarihi, anne adı, baba adı, cinsiyeti ve fotoğrafı,
• Sürücülerin ehliyet görseli iletmesi halinde; isim, soy isim, doğum tarihi, doğum yeri, T.C. kimlik numarası, kan grubu ve fotoğrafı,
• Trafik kaza tespit tutanağı kapsamında adres bilgisinin bulunduğu,
• İhlalden etkilenen ilgili kişi sayısını tespit çalışmalarının devam etmekte olduğu,
• İhlalden etkilenen ilgili kişi grubunun müşteriler/potansiyel müşteriler ve trafik kazasına karışan taraflar olduğu kaydedildi.

Konuya ilişkin incelemenin devam ettiği ifade edilirken söz konusu veri ihlali KVKK’nın 07.10.2022 tarih ve 2022/1096 sayılı Kararı ile kurumun internet sitesinde ilan edildi.