KVKK Mayıs 2024: Üçüncü parti ve ransomware kaynaklı veri ihlalleri damga vurdu
Kişisel Verileri Koruma Kurumu (KVKK) tarafından Mayıs ayı içerisinde 12 tane veri ihlali yayınladı. Bir önceki ay ile kıyaslandığında Mayıs ayında üçüncü parti kaynaklı ve ransomware kaynaklı veri ihlalleri damga vurdu. Ek bir bilgi olarak ransomware kaynaklı açıklanan şirketlerden hiçbiri bilinen ransomware grupları tarafından duyurulmadı.
Ransomware kaynaklı gerçekleşen saldırılara baktığımız zaman, saldırıların başlama ve tespit edilme tarihlerinin aynı olduğu gözüküyor. Her ne kadar belirtilmese de bu şirketlerin ortak hizmet aldığı bir partnerden dolayı olma olasılığı yüksek gibi gözüküyor. Yapılan bildirimlere baktığımız zaman:
– Abi İnternational Dış Ticaret Ltd: İhlalin 13 Nisan’da başladığı belirtilirken, 22 Nisan’da tespit edilmiş. İhlalden etkilenen kişi ve kayıt sayısı tespit edilememiş.
– Akıl Plastik Sanayi ve Ticaret Ltd: İhlalin 13 Nisan’da başladığı belirtilirken, 22 Nisan’da tespit edilmiş. İhlalden etkilenen kişi ve kayıt sayısı tespit edilememiş.
– Hamra Global Dış Ticaret ve Sanayi Ltd: 1İhlalin 13 Nisan’da başladığı belirtilirken, 22 Nisan’da tespit edilmiş. İhlalden etkilenen kişi ve kayıt sayısı tespit edilememiş.
– Karcam Plastik ve Cam Sanayi Ticaret Ltd: İhlalin 13 Nisan’da başladığı belirtilirken, 22 Nisan’da tespit edilmiş. İhlalden etkilenen kişi ve kayıt sayısı tespit edilememiş.
– Titiz Bebek ve Sağlık Ürünleri A.Ş.: İhlalin 13 Nisan’da başladığı belirtilirken, 22 Nisan’da tespit edilmiş. İhlalden etkilenen kişi ve kayıt sayısı tespit edilememiş.
– Titiz Gayrimenkul Yatırım ve İnşaat Sanayi Ticaret A.Ş.: İhlalin 13 Nisan’da başladığı belirtilirken, 22 Nisan’da tespit edilmiş. İhlalden etkilenen kişi ve kayıt sayısı tespit edilememiş.
T-Soft (Tekrom Teknoloji A.Ş) kaynaklı veri ihlalleri
Üçüncü parti kaynaklı saldırı ve veri ihlali tarafında ise Mayıs ayına T-Soft (Tekrom Teknoloji A.Ş) damga vurdu. 2 Mayıs’ta duyurulan veri ihlali bildiriminde, 25 şirket açıklandı. Yapılan açıklamalarda ise şunlar yer aldı:
– Veri işleyen konumudaki Tekrom Teknoloji Anonim Şirketi (“T-soft”) tarafından veri sorumlularına sağlanan yönetim paneline sızılması yöntemi ile veri sorumluları nezdindeki verilerin ele geçirildiği,
– İhlalin, siber saldırgan veri sorumlusu sistemlerinde kayıtlı bir kullanıcı adı ve şifresinin elde edilerek sistemde kayıtlı diğer kullanıcılara ait verilerin ele geçirilmesi neticesinde gerçekleştiği,
– Veri sorumlularının T-Soft’tan E-Ticaret altyapısı ile ilgili hizmet aldığı,
– İhlal her bir veri sorumlusu tarafından farklı tarihlerde tespit edilmiş olmakla birlikte, gelen bildirimlerden ihlalin genel olarak 20 Nisan 2024 tarihinden sonra tespit edildiği,
– İhlalden etkilenen ilgili kişi gruplarının çalışanlar, kullanıcılar, aboneler, müşteriler olmak üzere veri sorumluları açısından farklılık arz ettiği, ortak etkilenen ilgili kişi grubunun ise müşteriler olduğu
anlaşılmıştır diye belirtildi.
23 Mayıs tarihinde açıklanan yeni 3 şirketin eklenmesiyle T-Soft kaynaklı veri ihlalinden etkilenen toplam sayı 28’e çıktı. Ortaya çıkan veri ihlallerinden toplamda 700 binden fazla kişi etkilenmiş. Ki henüz “Bilinmiyor” diye belirtilen şirketleri de hesaba katarsak bu sayının daha fazla olması içten bile değil. Çok fazla şirket tarafından açıklanmayan diğer bir detay ise kullanıcılara ilişkin kayıt sayıları.
eClinical Solutions kaynaklı veri ihlali
Üçüncü parti kaynaklı diğer bir veri ihlali de eClinical Solutions LLC kaynaklı oldu. Bu kapsamda duyurulan veri ihlaline baktığımız zaman:
– Alexion İlaç Ticaret Ltd: İhlalin 13.02.2024-21.02.2024 tarihleri arasında gerçekleştiği ve 05.05.2024 tarihinde tespit edilmiş. Veri işleyenin (eClinical Solutions) sFTP sunucusunda tutulan verilerin yetkisiz kişi/kişiler tarafından dışarı sızdırıldığının tespit edilmiş. İhlalden, 150’si klinik araştırma katılımcısı/gönüllüsü olmak üzere toplam 607 kişinin etkilenmiş.
Diğerlerinden farklı olarak Mayıs 2024’de duyurulan en son veri ihlali bildirimi şu şekilde oldu:
– Pınar Tekstil Tuh. İnş. ve Paz. Tic. Ltd. Şti: İhlalin 23.04.2024-25.04.2024 tarihleri arasında gerçekleştiği ve 24.04.2024 tarihinde tespit edildiği, veri sorumlusunun kullandığı sisteme bir admin hesabının kullanıcı bilgilerini ele geçiren siber saldırgan tarafından erişilmesi sonucunda ihlalin meydana geldiği, ihlalden etkilenen kişisel veri kategorilerinin; kimlik (ad, soyadı), iletişim (cep telefonu numarası, e-posta adresi) ve müşteri işlem (gerçek ve tüzel kişilerin alışveriş geçmişi) bilgileri olduğu, İhlalden etkilenen kişi sayısının 36.956 olduğu belirtildi.