Bildiğiniz üzere, bilgi güvenliği ciddiyetini gün geçtikçe arttırıyor. Geçtiğimiz Şubat ayı yalnızca bir adet veri ihlali bildirimi yayınlayan kurum, Mart ayı için iyi bir tablo göstermiyor. Bugünkü bildirimde spor kültürünü yaygınlaştırmayı hedefleyen Adım Adım Kuruluşu web sitesi üzerinden SQL injection yöntemiyle veri tabanına yetkisiz erişim sağlandığı bildiriliyor. Websitesinde aktarılan bilgiye göre 89.047.286 TL bağış toplayan kuruluşun, yetkisiz erişimden tahmini 733.000 kişinin etkilendiği ve bu bilgilerinde sosyal ortamlarda yayınlanması sonucu fark edildiği bildirildi.
Kişisel Verileri Koruma Kurumu’nun paylaştığı tüm metni aşağıda okuyabilirsiniz.
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz olan Adım Adım Oluşumu tarafından Kuruma gönderilen kişisel veri ihlali bildiriminde özetle;
- İhlalin, siber saldırganların ipk.adimadim.org web sayfası veri tabanına yetkisiz erişim sağlayarak kişisel verilere hukuka aykırı erişimleri sonucu gerçekleştiği,
- İhlalin, bir internet sitesinde veri sorumlusuna ait verilerin yayınlanmasının sosyal medyadaki paylaşımlar sonucunda fark edilerek veri tabanında inceleme başlatılması ile tespit edildiği,
- İhlalin kaynağı hakkında teknik incelemelerinin devam ettiği,
- İhlalden etkilenen verilerin kimlik, iletişim, müşteri işlem, işlem güvenliği, mesleki deneyim, diğer (Eğitim bilgisi, forma ebatları ve ilgili kişilerin adına koştuğu Sivil Toplum Kuruluşu’na ilişkin bilgiler) bilgiler olduğu,
- İhlalden etkilen kişi grubunun kullanıcılar ve aboneler/üyeler olduğu,
- Etkilenen kişi sayısının henüz tam olarak tespit edilemediği ve bu konuda çalışmaların devam ettiği, etkilenen kayıt sayısının tahmini 733.000 olduğu,
- İlgili kişilerin veri ihlali ile ilgili olarak www.adimadim.org internet sayfası, [email protected] e-posta adresi, sosyal medya hesapları ve 0532 623 39 02 nolu telefondan bilgi alabilecekleri
ifade edilmiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 09.03.2021 tarih ve 2021/222 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.
Kamuoyuna saygıyla duyurulur.
