Yine veri ihlali… 160 bin kişinin tüm verileri çalındı

Dijital verilerimiz çalınmaya devam ediyor. KVKK’nın yayınladığı bildirime göre Mongo DB isimli şirketin verilerine sızıldı. Sızıntıda 160 bin kişinin verileri çalındı.

Kişisel Verileri Koruma Kurulu (KVKK), internet sitesinde yaşanılan veri ihlallerini yayınlıyor. Kurulun yayınladığı 28 Aralık tarihli bildirime göre Mongo DB Limited isimli şirketin verileri ihlal edildi. İhlalden 130 bin-160 bin kişi etkilendi. 13 Aralık’ta fark edilen ihlalde bilinmeyen üçüncü tarafın sınırlı sayıda veri sorumlusu çalışanının kullanıcı hesaplarına yetkisiz erişim sağladığı ve bir kısım hizmetlerin kullanıcılarına ilişkin kişisel verilere eriştiğine ve bu verileri indirdiğine dair bulgulara rastlandığı tespit edildi.

Bildirimde hangi verilerin çalındığıyla ilgili şunlar yazıldı:

• Bir kullanıcı hesabının olağandışı ve şüpheli sorgular yaptığının 13 Aralık 2023 tarihinde fark edildiği ve bunun üzerine araştırmanın derinleştirildiği,

• Bilinmeyen üçüncü tarafın sınırlı sayıda veri sorumlusu çalışanının kullanıcı hesaplarına yetkisiz erişim sağladığı ve bir kısım hizmetlerin kullanıcılarına ilişkin kişisel verilere eriştiğine ve bu verileri indirdiğine dair bulgulara rastlandığı,

• İncelemeler devam etmekle birlikte, müşteri iletişim bilgilerinin ve ilgili hesaplara ait meta verilerinin CRM uygulamasından ve müşteri destek uygulamasından sızdırıldığının 20 Aralık 2023 tarihinde tespit edildiği,

• Etkilenen kişisel veriler içerisinde ad, soyad, adres ve e-posta adreslerinin (genellikle iş adresi) bulunduğu; ancak CRM uygulaması ve müşteri destek uygulamasında bunlara ilaveten başkaca veri alanlarının da yer aldığı; bu verilerin;

• CRM uygulamasında yer alan veri alanlarının; hitap, ad, soyad, unvan, hesap no, şirket adı, adres, telefon numarası (esas, mobil, fax), eposta, satış temsilcisi (MongoDB) adı, soyadı,

• Müşteri Destek uygulamasında yer alan veri alanlarının; kullanıcı adı (e-posta adresi), son başarılı kimlik doğrulama zamanı, kullanılan son kimlik doğrulama yöntemi, kullanıcının tercih ettiği saat dilimi için tanımlayıcı, kullanıcının tercih ettiği saat dilimi için alfabetik kod, kullanıcının kaydolma tarihi, kullanıcının adı, soyadı, benzersiz kullanıcı ID, kullanıcının davet edildiği ancak henüz daveti kabul etmediği bilgisi, kullanıcının sınırlı izinleri olduğu, sayfanın kullanıcı tarafından en son görüntülendiği zaman, bir kullanıcının oturum açma sayısı, kullanıcının otomatik veya manuel olarak engellendiği ve kullanıcının silinip silinmediği bilgisi, silindiği zaman, e-posta doğrulama tarihi, e-posta doğrulama gerektirdiği bilgisi, alternatif eposta, çok faktörlü kimlik doğrulamayı etkinleştirdiği bilgisi,

• Kullanımdan kaldırılan çok faktörlü kimlik doğrulama (MFA) sisteminin kullanıcıları için yer alan veri alanlarının; kullanımdan kaldırılan MFA için kullanılan telefon numarası, kullanımdan kaldırılan MFA için kullanılan telefon numarası uzantısı, kullanımdan kaldırılan MFA için kullanılan alternatif telefon numarası, kullanımdan kaldırılan MFA için kullanılan alternatif telefon numarası uzantısı, kullanımdan kaldırılan MFA için bir kimlik doğrulayıcı cihazın kullanılıp kullanılmadığı, kullanımdan kaldırılmış MFA kullanıcısının sesli arama almak isteyip istemediği bilgisi olduğu,

• İhlalden Türkiye’den 130.000 ile 160.000 arasında kullanıcının etkilenmiş olabileceği,

• İhlal hakkında 16 Aralık 2023 tarihinde https://www.mongodb.com/alerts#general-alert adresinden kamuoyu duyurusu yayınlandığı,

• İlgili kişilerin [email protected] elektronik posta adresinden ihlal ile ilgili bilgi alabileceği

bilgilerine yer verilmiştir.

Haber Kaynağı : 12punto