Clickbus Seyahat Hizmetleri A.Ş. hakkında Kişisel Verileri Koruma Kurulunun 16.05.2019 tarih ve 2019/141 sayılı Karar Özeti

Karar Tarihi : 16/05/2019
Karar No : 2019/141
Konu Özeti : Clickbus Seyahat Hizmetleri A.Ş.’nin veri ihlal bildirimi hakkında bilgilendirme

 

Clickbus Seyahat Hizmetleri Anonim Şirketi’nin 07.02.2019 ve 29.03.2019 tarihlerinde Kurumumuza intikal eden yazılarında özetle;

  • Clickbus tarafından Amazon Web Services (AWS) tarafından internet sistemlerinden biri üzerinde zararlı bir işlem olabileceğine ilişkin aldığı uyarı üzerine, internet platformları ile bağlantılı bazı şüpheli faaliyetlerin tespit edildiği,
  • Clickbus tarafından, bilgi sistemlerinde veri güvenliğini tehlikeye sokabilecek faaliyetlerden şüphelenilerek, alanında uzman adli bilişim uzmanlarının yardımları ile iç inceleme başlatıldığı,
  • Clickbus’ın görevlendirdiği adli bilişim uzmanlarının yaptıkları inceleme ile ilgili nihai bir rapor oluşturulduğu,
  • Clickbus’ın adli bilişim uzmanlarının yardımlarını alarak gerçekleştirdiği ön incelemede, incelenen sunucularda bazı zararlı dosyaların bulunduğu ve bazı meşru kaynak kod dosyalarının Clickbus’ın sunucularına uzaktan erişim sağlanmasına izin veren zararlı kodları içerecek şekilde modifiye edildiğinin tespit edildiği,
  • Clickbus’ın AWS sisteminde yer alan log ve sistemler üzerinde yaptığı analiz sonrasında, Clickbus kaynaklarından veri sızıntısının 25 Eylül 2018’den 25 Kasım 2018’e kadar geçen sürede gerçekleştiği sonucuna varıldığı ifadelerine yer verilmiştir.

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 16.05.2019 tarih ve 2019/141 sayılı Kararı ile;

  • Söz konusu ihlalden Türkiye’de yerleşik 67.519 kişinin etkilendiği,
  • İhlalden etkilenmiş kişilerin farklı kategorilerde ve sayıda kişisel verileri arasında kimlik bilgileri (cinsiyet, ad, soyad, T.C. kimlik numarası, doğum tarihi), iletişim bilgileri (cep telefonu ülke kodu, cep telefonu numarası, sabit hat ülke kodu, sabit hat numarası, sabit hat uzantısı/dahilisi, e-posta adresi, sms gönderi izni, ticari elektronik ileti izni), müşteri işlemleri (ödeme anahtarı, yolculuk numarası, sepet numarası, sipariş numarası, toplam tutar, seyahat türü/kullanılacak araç, kalkış/varış yer ve saati, yolcu başına ücret referans numarası, yolcu türü, oturum simgesi, hata sebebi (uygulanabilir olduğu ölçüde hangi doğrulama adımının hataya sebep verdiği), segmentler), işlem güvenliği bilgileri (ödeme bilgileri; kart üzerinde yazan isim, kart numarası, kartın son kullanma tarihindeki ay ve yıl, kart güvenlik kodu, taksit bilgisi, indirim kodu, seyahat sigortası alınıp alınmadığına ilişkin bilgi, site kullanım koşullarının kullanılma bilgisi) verilerinin olduğu,
  • İhlalin 25 Eylül 2018’den 25 Kasım 2018’e kadar geçen dönemde 2 (iki) ay boyunca devam etmesinin Şirket tarafından gerekli denetimlerin ve kontrollerin yapılmadığının göstergesi olduğu,
  • İhlalin 21 Kasım 2018 tarihinde tespit edilmesine rağmen 25 Kasım 2018 tarihine kadar 4 (dört) gün daha devam etmesinin Şirket tarafından alınan idari tedbirlerin yeterince alınmadığının göstergesi olduğu,
  • Söz konusu yetkisiz kişi veya kişilerin ayrıca Şirketin kaynak koduna (source code) ulaşarak değişiklik yapmasının ciddi bir güvenlik açığı olduğu

hususları dikkate alınarak

– 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 450.000 TL,

– Öte yandan Şirket tarafından 21.11.2018 tarihinde tespit edilen siber saldırıya ilişkin Kurula 07.02.2019 tarihinde bildirim yapılmasının, ihlalden etkilenen ilgili kişilere ise 25.02.2019 tarihinde bildirim yapılmasının; Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca Şirket hakkında 100.000 TL,

olmak üzere toplam 550.000 TL idari para cezası uygulanmasına,

karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

 

Veri İhlali Bildirimine ait14 Şubat 2019 tarihli Kamuoyu Duyurusu

https://www.kvkk.gov.tr/Icerik/5478/2019-141