HUKUK & DANIŞMANLIK
Yazılım Şirketi MongoDB Tarafından Veri İhlal Bildiriminde Bulunuldu
Yazılım şirketi MongoDB tarafından veri ihlal bildiriminde bulunuldu. MongoDB isimli Amerikan yazılım şirketi tarafından Kurul’a iletilen veri ihlal bildiriminde; kullanıcılardan birinin hesabında olağan dışı sorgular yapıldığının tespit edildiği ve araştırmaya geçildiğini, kimliği belirsiz üçüncü kişilerce sınırlı sayıda veri sorumlusu çalışanının kullanıcı hesaplarına yetkisiz erişim sağlandığı ve bir kısım hizmetlerin kullanıcılarına ilişkin kişisel verilere erişildiği ve bu verilerin indirildiğine dair bulgulara rastlandığı, incelemeler esnasında müşteri iletişim bilgilerinin ve ilgili hesaplara ait meta verilerinin CRM uygulamasından ve müşteri destek uygulamasından sızdırıldığının tespit edildiği belirtilmiştir.
Etkilenen kişisel veriler içerisinde ad, soy ad, adres ve e-posta adreslerinin (genellikle iş adresi) bulunduğu bildirilirken bunlarla beraber CRM uygulaması ve müşteri destek uygulamasında bunlara ilaveten başkaca veri alanlarının da yer aldığı, uygulamalarda ise aşağıdaki verilerin etkilendiği bildirilmiştir;
- CRM uygulamasında; hitap, ad, soy ad, unvan, hesap no., şirket adı, adres, telefon numarası (esas, mobil, fax), e-posta, satış temsilcisi (MongoDB) adı, soy adı, verilerinin,
- Müşteri destek uygulamasında; kullanıcı adı (e-posta adresi), son başarılı kimlik doğrulama zamanı, kullanılan son kimlik doğrulama yöntemi, kullanıcının tercih ettiği saat dilimi için tanımlayıcı, kullanıcının tercih ettiği saat dilimi için alfabetik kod, kullanıcının kaydolma tarihi, kullanıcının adı, soy adı, benzersiz kullanıcı ID, kullanıcının davet edildiği ancak henüz daveti kabul etmediği bilgisi, kullanıcının sınırlı izinleri olduğu, sayfanın kullanıcı tarafından en son görüntülendiği zaman, bir kullanıcının oturum açma sayısı, kullanıcının otomatik veya manuel olarak engellendiği ve kullanıcının silinip silinmediği bilgisi, silindiği zaman, e-posta doğrulama tarihi, e-posta doğrulama gerektirdiği bilgisi, alternatif eposta, çok faktörlü kimlik doğrulamayı etkinleştirdiği bilgisi gibi verilerin etkilenmiş olduğu,
- Kullanımdan kaldırılan çok faktörlü kimlik doğrulama (MFA) sisteminin kullanıcıları için yer alan veri alanlarının ise kullanımdan kaldırılan MFA için kullanılan telefon numarası, kullanımdan kaldırılan MFA için kullanılan telefon numarası uzantısı, kullanımdan kaldırılan MFA için kullanılan alternatif telefon numarası, kullanımdan kaldırılan MFA için kullanılan alternatif telefon numarası uzantısı, kullanımdan kaldırılan MFA için bir kimlik doğrulayıcı cihazın kullanılıp kullanılmadığı, kullanımdan kaldırılmış MFA kullanıcısının sesli arama almak isteyip istemediği bilgisi gibi verilerin etkilenmiş olduğu,
Bildirilerek, Türkiye’de ihlalden etkilenen kişi sayısının 130.000 – 160.000 olabileceği, ihlal hakkında firmanın internet sitesi üzerinden duyuru paylaşıldığı belirtilmiştir. İlgili bildirim üzerine ihlal bildirimine ilişkin kamuoyu duyurusu Kurul’un resmi internet adresi ilan edilmiştir.
Kurul’un yapacağı inceleme ile veri sorumlusu MangoDB yazılım şirketi aleyhine idari para cezası yaptırımı söz konusu olabilecektir. Bunun yanında, ihlalden zarar gören 130.000 – 160.000 kişinin görünen zararın niteliğine göre yine şirkete maddi ve manevi tazminat talebinin olması da gündeme gelecektir.
İlginizi Çekebilir: