Kişisel Verileri Koruma Kurulu (“KVK Kurulu”), Sahibinden Bilgi Teknolojileri Paz. ve Tic. A.Ş. (Sahibinden.com), Getir Perakende Lojistik Anonim Şirketi – Bitaksi Mobil Teknoloji Anonim Şirketi ve Destek Bilgisayar ve İletişim Hizmetleri Tic. A.Ş. hakkında veri ihlali bildirimine ilişkin kamuoyu duyurusu yayımladı.

 

  1. Sahibinden Bilgi Teknolojileri Paz. ve Tic. A.Ş.’ye ilişkin yapılan duyuruda;

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“6698 sayılı Kanun”) “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12’nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmü hatırlatılarak, Veri sorumlusu tarafından Kurula iletilen veri ihlal bildiriminde özetle;

Veri sorumlusunun siber saldırıya uğraması sonucu veri ihlali gerçekleştiği,

  • İhlalden etkilenen kişisel verilerin internette paylaşıldığının 27.03.2023 tarihinde tespit edildiği, ancak ihlalin başlama tarihinin henüz tam olarak tespit edilemediği,

Yapılan araştırmada;

  • Sahibinden mağaza verilerinin (e-posta adresi verileri dışında kalan veriler) Sahibinden’in internet sitesi ve mobil uygulamasındaki ara yüzlerin çalışması için gerekli web service içeriklerinin kopyalanması suretiyle elde edildiğinin anlaşıldığı,
  • Kurumsal kullanıcılara ait e-posta adresi verilerinin kötü niyetli üçüncü kişilerce kullanıcılara şifre yenileme iletileri gönderilmesi suretiyle şifre yenileme servisinin sonuç çıktısından elde edildiğinin anlaşıldığı,
  • İhlalden etkilenen kişisel verilerin genel kapsamda Sahibinden mağaza bilgileri ve kurumsal kullanıcılara ait e-posta adresi olmak üzere; kullanıcı ID, kullanıcı adı, soyadı, mağaza adı, telefon numarası, e-posta adresi, hesap kayıt tarihi, konum, kullanıcı tipi, mağaza numarası, paket kategorisi, paket statüsü, paket periyodu, mağaza ürün türü, kayıt periyodu, açılış tarihi, mağaza taahhüt başlangıç tarihi bilgileri olduğu,
  • İhlalden veri sorumlusunun kurumsal kullanıcılarının etkilendiği, bu kapsamda şahıs şirketlerine ait verilerin de etkilendiği,
  • İhlalden etkilenen tahmini ilgili kişi sayısının tahmini 71.422 olduğu,
  • İhlalden etkilenen ilgili kişilerin ihlale ile ilgili bilgiyi “yaziliiletisim@sahibinden.com” e-posta adresi veya çağrı merkezi telefon numarası (0850 222 44 45) aracılığıyla alabileceği bilgilerine yer verilmiştir.

 

  1. Getir Perakende Lojistik A.Ş. – Bitaksi Mobil Teknoloji A.Ş.’ye ilişkin yapılan duyuruda;

6698 sayılı Kanun’un “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12’nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmü hatırlatılarak, veri sorumlusu sıfatını haiz Getir Perakende Lojistik Anonim Şirketi (Getir) ve Bitaksi Mobil Teknoloji Anonim Şirketi (BiTaksi) tarafından Kurula iletilen veri ihlal bildirimi ve takip bildiriminde özetle;

  • 03.2023 tarihinde Getir’in üst yönetimine ulaşan bir e-postada, kötü niyetli üçüncü bir şahsın BiTaksi (Getir’in kurucusu tarafından kurulan bir teknoloji şirketi) kullanıcılarına ait bazı kişisel verileri elinde bulundurduğunu iddia ettiği ve örnek olarak bazı veri satırlarını paylaştığı,
  • 03.2023 tarihinde bir Getir yetkilisine ve 25.03.2023 tarihinde Getir’in kurumsal e-posta adresine kötü niyetli üçüncü kişi tarafından iletilen iki ayrı e-postada, darkwebde Getir hakkında kişisel verilerin ihlale uğradığına dair iddialara yer verildiği ve Getir müşterilerine ait olduğu iddia edilen kişisel veri içeren bağlantıların (URL) paylaşıldığı,
  • Darkwebde yer alan içeriklerin Getir bünyesindeki müdahale ekibi tarafından incelenmeye başlandığı; log kayıtlarının aktarıldığı yazılımların birinde yer alan verilerin, ilgili darkweb gönderilerinde yer alan verilerle örtüştüğünün tespit edildiği,
  • Öte yandan, darkwebde paylaşılan verilerin Bitaksi sistemlerinde yer alan verilerle örtüşmediği ve Bitaksi kullanıcılarının kişisel verilerinin ihlal edilmediği,
  • İhlalden etkilenen kişisel verilerin, Getir kullanıcıları için; kimlik (ad, soyad, TC kimlik numarası, cinsiyet), iletişim (GSM numarası, e-posta adresi, teslimat adresi) hesap (Getir müşteri numarası ve hesap oluşturma tarihi), müşteri işlem (Getir uygulamasından verilen son sipariş tarihi ve numarası, sipariş verilen Getir dikeyi [Getir, Getir Büyük, Getir Yemek vb.], sipariş içeriği, iptal edilen sipariş sayısı ve toplam sipariş sayısı), diğer (Getir uygulamasına son giriş yapılan tarih ve konum, Getir’e verilen iletişim izinleri) bilgiler olduğu, Getir bayilerine hizmet veren kuryeler için ise; kimlik (ad, soyad), iletişim (GSM numarası), görsel ve işitsel kayıtlar (profil fotoğrafı), diğer (anlık konum bilgisi ve Getir çalışan numarası) bilgiler olduğu,
  • İhlalden etkilenen tahmini kişi sayısının 5098 olduğu; ancak etkilenen her veri kategorisinin tüm ilgili kişiler için geçerli olmadığı,
  • İlgili kişilerin ihlal ile ilgili olarak kisiselveriler@getir.com e-posta adresinden veya Etiler Mah. Tanburi Ali Efendi Sok. Maya Residences Sitesi, T Blok, No:13 İç Kapı NO:334 Beşiktaş/İstanbul adresinden bilgi alabilecekleri bilgilerine yer verilmiştir.

 

  1. Destek Bilgisayar ve İletişim Hizmetleri Tic. A.Ş.’ye ilişkin yapılan duyuruda;

6698 sayılı Kanun’un “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12’nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmü hatırlatılarak, Veri sorumlusu tarafından Kurula iletilen veri ihlal bildiriminde özetle;

  • İhlalin; veri sorumlusunun kullanmakta olduğu sunucu, depolama üniteleri ve bazı kullanıcı makinelerindeki veri şifrelenmesi ve silinmesi ile sistemde kayıtlı olan verilerin dışarı çıkarılması ve karşılığında fidye talep edilmesi şeklinde gerçekleştiği,
  • Veri ihlalinin 23.03.2023 tarihinde başladığı ve aynı tarihte tespit edildiği,
  • İhlalden etkilenen kişi sayının şifreleme ve blokajdan dolayı henüz tespit edilemediği,
  • İhlalden etkilenen kişisel veri kategorilerinin finans, pazarlama, mesleki deneyim, görsel ve işitsel kayıtlar olduğu,
  • İhlalden etkilenen ilgili kişi gruplarının çalışanlar, müşteriler ve potansiyel müşteriler olduğu,
  • İlgili kişilerin www.destek.as, info@destek.as, kvk@destek.as, callcenter@destek.as adreslerinin yanı sıra (yardım masası), müşteri hizmetleri numarası 0312 473 51 00 ile çağrı merkezi numarası 444 37 85 üzerinden bilgi alabilecekleri ifade edilmiştir.