Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz MongoDB Limited tarafından Kurula iletilen veri ihlal bildiriminde özetle;
- Bir kullanıcı hesabının olağandışı ve şüpheli sorgular yaptığının 13 Aralık 2023 tarihinde fark edildiği ve bunun üzerine araştırmanın derinleştirildiği,
- Bilinmeyen üçüncü tarafın sınırlı sayıda veri sorumlusu çalışanının kullanıcı hesaplarına yetkisiz erişim sağladığı ve bir kısım hizmetlerin kullanıcılarına ilişkin kişisel verilere eriştiğine ve bu verileri indirdiğine dair bulgulara rastlandığı,
- İncelemeler devam etmekle birlikte, müşteri iletişim bilgilerinin ve ilgili hesaplara ait meta verilerinin CRM uygulamasından ve müşteri destek uygulamasından sızdırıldığının 20 Aralık 2023 tarihinde tespit edildiği,
- Etkilenen kişisel veriler içerisinde ad, soyad, adres ve e-posta adreslerinin (genellikle iş adresi) bulunduğu; ancak CRM uygulaması ve müşteri destek uygulamasında bunlara ilaveten başkaca veri alanlarının da yer aldığı; bu verilerin;
- CRM uygulamasında yer alan veri alanlarının; hitap, ad, soyad, unvan, hesap no, şirket adı, adres, telefon numarası (esas, mobil, fax), eposta, satış temsilcisi (MongoDB) adı, soyadı,
- Müşteri Destek uygulamasında yer alan veri alanlarının; kullanıcı adı (e-posta adresi), son başarılı kimlik doğrulama zamanı, kullanılan son kimlik doğrulama yöntemi, kullanıcının tercih ettiği saat dilimi için tanımlayıcı, kullanıcının tercih ettiği saat dilimi için alfabetik kod, kullanıcının kaydolma tarihi, kullanıcının adı, soyadı, benzersiz kullanıcı ID, kullanıcının davet edildiği ancak henüz daveti kabul etmediği bilgisi, kullanıcının sınırlı izinleri olduğu, sayfanın kullanıcı tarafından en son görüntülendiği zaman, bir kullanıcının oturum açma sayısı, kullanıcının otomatik veya manuel olarak engellendiği ve kullanıcının silinip silinmediği bilgisi, silindiği zaman, e-posta doğrulama tarihi, e-posta doğrulama gerektirdiği bilgisi, alternatif eposta, çok faktörlü kimlik doğrulamayı etkinleştirdiği bilgisi,
- Kullanımdan kaldırılan çok faktörlü kimlik doğrulama (MFA) sisteminin kullanıcıları için yer alan veri alanlarının; kullanımdan kaldırılan MFA için kullanılan telefon numarası, kullanımdan kaldırılan MFA için kullanılan telefon numarası uzantısı, kullanımdan kaldırılan MFA için kullanılan alternatif telefon numarası, kullanımdan kaldırılan MFA için kullanılan alternatif telefon numarası uzantısı, kullanımdan kaldırılan MFA için bir kimlik doğrulayıcı cihazın kullanılıp kullanılmadığı, kullanımdan kaldırılmış MFA kullanıcısının sesli arama almak isteyip istemediği bilgisi
- İhlalden Türkiye’den 130.000 ile 160.000 arasında kullanıcının etkilenmiş olabileceği,
- İhlal hakkında 16 Aralık 2023 tarihinde https://www.mongodb.com/alerts#general-alert adresinden kamuoyu duyurusu yayınlandığı,
- İlgili kişilerin privacy@mongodb.com elektronik posta adresinden ihlal ile ilgili bilgi alabileceği
bilgilerine yer verilmiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 28.12.2023 tarih ve 2023/2233 sayılı Kararı ile söz konusu veri ihlal bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.
Kamuoyuna saygıyla duyurulur.
Kaynak: kvkk.gov.tr