Veri İhlali Bildirimi - datagenius.com.tr

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Gardrops Elektronik Hizmetler ve Ticaret Anonim Şirketi

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

Veri sorumlusu sıfatını haiz olan Gardrops Elektronik Hizmetler ve Ticaret Anonim Şirketi tarafından Kurumumuza gönderilen 23.09.2019 tarihli yazıda özetle;

Şirkete 13.09.2019 tarihinde bir e-posta adresinden internet sitesinin hacklendiği iddiasının iletildiği,
Sistemi hacklediğini iddia eden kişi ile yapılan yazışmalar sonucu 25 kişinin verisinin ihlale uğradığının 17.09.2019 tarihinde Şirket tarafından öğrenildiği,
İhlalden etkilenen kişisel verilerin kullanıcılara ait ad, soyad, e-posta adresi ve şifrelenmiş (encrypted) kullanıcı hesabı şifreleri olduğu,
Şirket teknik ekibi tarafından, mevcut güvenlik önlemleri sayesinde iddia sahibinin verilerin tamamını çekemediğinin tespit edildiği,
Yapılan teknik araştırmalara dayanarak azami 257.000 kullanıcının veri sızıntısından etkilenmiş olabileceği ve nihai tespit çalışmalarının devam ettiği,

bilgilerine yer verilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 26.09.2019 tarih ve 2019/286 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Zynga Game Ireland Limited

Veri sorumlusu sıfatını haiz olan Zynga Game Ireland Limited tarafından Kurumumuza gönderilen 23.09.2019 tarihli yazıda özetle;

Kullanıcı adı ve şifrelerini içeren oyuncu hesap bilgilerinin hackerlar tarafından yasa dışı olarak erişilebilmiş olabileceğinin tespit edildiği,
İhlalin 31 Ağustos 2019 tarihinde gerçekleştiği ve bu durumun 2 Eylül 2019 tarihinde tespit edildiği,
İhlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim ve lokasyon bilgileri olduğu,
Etkilenen kişisel verilerin kimlik, iletişim ve konum bilgilerinin olduğu, İhlalden 34.000 Türk vatandaşının etkilendiği, etkilenen kayıt sayısının bu aşamada bilinmediği,
İlgili kişilerin www.zynga.com web adresi üzerinden ihlal hakkında bilgi alabileceği,

bilgilerine yer verilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 26.09.2019 tarih ve 2019/285 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Furtrans Denizcilik Ticaret ve San. A.Ş.

Veri sorumlusu sıfatını haiz olan Furtrans Denizcilik Ticaret ve San. A.Ş. tarafından Kurumumuza gönderilen 12.09.2019 tarihli yazıda özetle;

Şirket sistemlerine siber saldırı gerçekleştiği ve bu durumun 10.09.2019 tarihinde tespit edildiği,
Siber saldırı sonucu Şirketin verilere ulaşımının engellendiği,
İhlalden etkilenen tahmini kişi sayısının 500 olduğu,
İhlalden etkilenen ilgili kişi gruplarının; çalışanlar, kullanıcılar, aboneler/üyeler, öğrenciler, müşteriler olduğu
İhlalden etkilenen kişisel verilerin; kimlik, iletişim, lokasyon, özlük, hukuki işlem, müşteri işlem, fiziksel mekan güvenliği, işlem güvenliği, risk yönetimi, finans, mesleki deneyim, görsel ve işitsel kayıt bilgileri, sağlık bilgileri ve biyometrik veri olduğu,
Verilerin kopyalanmış olabileceği veya üçüncü kişilere aktarılma ihtimalinin olduğu,

bilgilerine yer verilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/281 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – DenizBank A.Ş.

Veri sorumlusu sıfatını haiz olan DenizBank A.Ş. tarafından Kurumumuza gönderilen 31.07.2019 tarihli yazıda özetle;

DenizBank A.Ş. Teftiş Kurulu Başkanlığı tarafından düzenli gerçekleştirilen kontroller kapsamında, Bankanın Beylerbeyi Şubesinde Müşteri İşlem ve Satış Sorumlusu olarak görev yapan Banka çalışanı tarafından, bireysel nitelikli kredi bilgilerini içeren sorgu ekranlarından, işin gereğinden fazla adette sorgulama yapıldığının tespit edildiği ve gerekli incelemelerin başlatıldığı,
Görevi gereği sorgulama ekranına erişim yetkisi bulunan söz konusu çalışanın, bu yetkiyi; Bankanın erişim ve bilgi güvenliği politikalarına aykırı şekilde amacı dışında kullandığı,
Temmuz 2018 – Mayıs 2019 tarihleri arasında gerçekleşen ihlalden Banka müşterisi olan 3.038 kişinin ve Banka müşterisi olmayan 2.851 kişinin etkilendiği bilgilerine yer verilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 31.07.2019 tarih ve 2019/230 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Marriott International Inc. Hakkında Kişisel Verileri Koruma Kurulunun 16.05.2019 Tarih ve 2019/143 Sayılı Karar Özeti

Karar Tarihi	: 16/05/2019
Karar No	: 2019/143
Konu Özeti	: Marriot International Inc.’nin veri ihlal bildirimi hakkında bilgilendirme

Marriott International Inc’in (Marriott) 04.12.2018 ve 28.03.2019 tarihlerinde Kurumumuza intikal eden yazılarında özetle;

2016 yılı Eylül ayında Marriott’un önceden halka açık ve ayrı bir konaklama şirketi olan Starwood Hotels & Resorts Worldwide Inc’i (Starwood) devralma işlemi gerçekleştirdiği,
Starwood otel markaları arasında St. Regis, Sheraton Hotel & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton and Design Hotels’in bulunduğu,
Starwood misafir veritabanının tutulduğu ağa Temmuz 2014’ten beri yetkisiz erişim olduğu,
Starwood misafir veritabanına yetkisiz erişimin 08.09.2018’de tespit edildiği,
Starwood müşteri rezervasyon veri tabanının Marriott otelleri için değil sadece Starwood otellerindeki rezervasyonlar için kullanıldığı,
Marriott’un yaklaşık 383 milyon müşteri kaydı arasında ülke/bölge adresi Türkiye olan yaklaşık 1.24 milyon müşteri kaydının bulunduğu,
Saldırganın web sunucusuna bir komut istemi yüklediği ve Starwood ağına girdiğinin Marriot tarafından tespit edildiği,
Web sunucusuna erişimin sağlanmasının ardından, saldırgan tarafından web sunucusuna uzaktan erişim sağlayan bir truva atı (RAT) yüklendiği,
İhlal hakkında otel müşterilerini aydınlatmak için, özel bir web sitesinin (info.starwoodhotels.com) kurulduğu

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 16.05.2019 tarih ve 2019/143 sayılı Kararı ile;

Starwood otel markaları arasında Türkiye’de faaliyet gösteren, St. Regis, Sheraton Hotel & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton and Design Hotels’in bulunduğu,
İhlalden etkilenen veri tabanının tutulduğu Starwood Hotels ağına 2014’ten beri yetkisiz erişim olduğu, 2016 yılı Eylül ayında Marriott’un önceden halka açık ve ayrı bir konaklama şirketi olan Starwood’u devralma işlemi gerçekleştirdikten sonra da ihlalin 19.11.2018 tarihine kadar yaklaşık 4 yıl sürmesinin çok ciddi bir güvenlik açığı olduğu ve Şirket tarafından gerekli denetimlerin ve kontrollerin yapılmadığının göstergesi olduğu,
İhlalden etkilenen veriler arasında müşterilere ait ad, soyad, posta adresi, telefon numarası, doğum tarihi, cinsiyet, pasaport numarası, Starwood Preferred Guest (“SPG”) hesap bilgileri, otel ödül bilgileri, otele giriş ve çıkış bilgileri, ödeme kartı numaraları ve ödeme kartı son kullanma tarihleri, rezervasyon tarihi ve iletişim tercihlerini içeren bilgilerin olduğu,
Sistemde şifrelenmiş ödeme kartı bilgilerinin yanında çok sayıda şifrelenmemiş ödeme kartı numaralarının da bulunmasının sistemin tasarım aşamasından itibaren doğru bir şekilde planlanmadığı ve gerekli kontrollerin yapılmadığının göstergesi olduğu, bu durumun ilgili kişiler açısından olumsuz etki oluşturabilecek bir güvenlik açığı olduğu,
İhlalden etkilenen müşterilere ait bilgiler arasında ülke/bölge adresi Türkiye olan yaklaşık 1.24 milyon müşteri kaydının bulunduğu, ancak aynı müşteri için birden fazla kayıt bulunduğu için ihlalden etkilenen Türk müşterilerin sayısının tam olarak tespit edilemediği,
Saldırganın web sunucusuna bir komut istemi yükleyerek Starwood ağına girdiğinin tespit edildiği ve web sunucusuna erişimin sağlanmasının ardından, saldırgan tarafından web sunucusuna uzaktan erişim sağlayan bir truva atı (RAT) yüklendiği, saldırganın daha sonra kimlik bilgilerini toplayan ilave araçlar yüklediği ve sonrasında Starwood ağındaki diğer cihazlara erişim sağlayabilmek için kimlik bilgilerini ve iç ağ bağlanabilirliğini kullandığının tespit edilememesinin alınan teknik ve idari tedbirlerin yetersizliğinin göstergesi olduğu,
2014 yılından itibaren mevcut olan yetkisiz erişim ve komut isteminin kurulumunu gösteren web olay günlüklerinin (log kayıtları) olmasına rağmen, olayın tespit edilememesinin Şirket tarafından alınması gereken teknik ve idari tedbirlerin alınmadığının somut bir göstergesi olduğu

hususları dikkate alınarak

– 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.100.000 TL,

– Şirket tarafından 08.09.2018 tarihinde tespit edilen ihlale ilişkin Kuruma 03.12.2018 tarihinde bildirim yapılmasının, ihlalden etkilenen kişilere ise 30.11.2018 tarihinden sonra bildirimde bulunulmaya başlanmasının, Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle, Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca Şirket hakkında 350.000 TL,

olmak üzere toplam 1.450.000 TL idari para cezası uygulanmasına,

karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Veri İhlali Bildirimine ait 05 Aralık 2018 tarihli Kamuoyu Duyurusu

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Pizza Restaurantları A.Ş. (Domino’s Pizza)

Veri sorumlusu sıfatını haiz olan Pizza Restaurantları A.Ş. (Domino’s Pizza) tarafından Kurumumuza intikal ettirilen 26.06.2019 tarihli yazıda özetle;

Şirkete ait dominos.com.tr internet sitesine giriş ve site üzerinden pizza veya diğer ürün siparişleri için kullanılan, müşterilerin kendileri tarafından belirlenen kullanıcı adı ve şifrenin sızdığına ilişkin şüphe oluştuğu,
Yapılan detaylı teknik inceleme neticesinde 5225 adet müşteriye ait kullanıcı adı ve şifreye deneme yoluyla (brute-force attack) üçüncü kişiler tarafından hukuka aykırı olarak erişildiği ve internet ortamında paylaşıldığının tespit edildiği,
İhlalden etkilenen verilerin kimlik, iletişim, internet sitesi girişi için kullanılan kullanıcı adı (e-posta adresi) ve şifresi, hediye pizza ve indirim hakkı olup olmadığı bilgileri olduğu,
İlgili kişilerin dominoskvk@dominospizza.com.tr e-posta adresinden veri ihlali ile ilgili bilgi alabileceği,

ifadelerine yer verilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 01.07.2019 tarih ve 2019/190 sayılı Kararı ile söz konusu veri ihlalinin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Metro Grosmarket Bakırköy Alışveriş Hiz.Tic.Ltd.Şti.

Veri sorumlusu sıfatını haiz olan Metro Grosmarket Bakırköy Alışveriş Hiz. Tic. Ltd. Şti. tarafından Kurumumuza intikal ettirilen 14.06.2019 tarihli yazıda özetle;

Şirketin bazı mağazalarından 31.05.2019-12.06.2019 tarihleri arasında alışveriş yapan MetroCard sahibi olmayan günlük kart müşterilerinin e-arşiv faturalarının sehven yanlış alıcı adreslerine(8 farklı e-posta hesabına) gönderildiği,
658 kişiye ait toplam 806 adet e-arşiv faturasında, müşterilerden şifahi beyan alınmak suretiyle elde edilmiş olan kimlik bilgilerinin (isim, soy isim ve T.C. Kimlik numarası) yer aldığı,
İlgili kişilerden şifahi olarak alınan bu verilerin doğruluğu, kimlik kontrolü herhangi bir yöntemle teyit edilemediği,
İlgili kişilerin iletişim bilgileri olmadığından doğrudan bildirim yapılamadığı

bilgilerine yer verilmiştir.

Konuya ilişkin incelemeler devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 18.06.2019 tarih ve 2019/181 sayılı Kararı ile bu aşamada söz konusu veri ihlalinin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Clickbus Seyahat Hizmetleri A.Ş. Hakkında Kişisel Verileri Koruma Kurulunun 16.05.2019 Tarih ve 2019/141 Sayılı Karar Özeti

Karar Tarihi	: 16/05/2019
Karar No	: 2019/141
Konu Özeti	: Clickbus Seyahat Hizmetleri A.Ş.’nin veri ihlal bildirimi hakkında bilgilendirme

Clickbus Seyahat Hizmetleri Anonim Şirketi’nin 07.02.2019 ve 29.03.2019 tarihlerinde Kurumumuza intikal eden yazılarında özetle;

Clickbus tarafından Amazon Web Services (AWS) tarafından internet sistemlerinden biri üzerinde zararlı bir işlem olabileceğine ilişkin aldığı uyarı üzerine, internet platformları ile bağlantılı bazı şüpheli faaliyetlerin tespit edildiği,
Clickbus tarafından, bilgi sistemlerinde veri güvenliğini tehlikeye sokabilecek faaliyetlerden şüphelenilerek, alanında uzman adli bilişim uzmanlarının yardımları ile iç inceleme başlatıldığı,
Clickbus’ın görevlendirdiği adli bilişim uzmanlarının yaptıkları inceleme ile ilgili nihai bir rapor oluşturulduğu,
Clickbus’ın adli bilişim uzmanlarının yardımlarını alarak gerçekleştirdiği ön incelemede, incelenen sunucularda bazı zararlı dosyaların bulunduğu ve bazı meşru kaynak kod dosyalarının Clickbus’ın sunucularına uzaktan erişim sağlanmasına izin veren zararlı kodları içerecek şekilde modifiye edildiğinin tespit edildiği,
Clickbus’ın AWS sisteminde yer alan log ve sistemler üzerinde yaptığı analiz sonrasında, Clickbus kaynaklarından veri sızıntısının 25 Eylül 2018’den 25 Kasım 2018’e kadar geçen sürede gerçekleştiği sonucuna varıldığı ifadelerine yer verilmiştir.

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 16.05.2019 tarih ve 2019/141 sayılı Kararı ile;

Söz konusu ihlalden Türkiye’de yerleşik 67.519 kişinin etkilendiği,
İhlalden etkilenmiş kişilerin farklı kategorilerde ve sayıda kişisel verileri arasında kimlik bilgileri (cinsiyet, ad, soyad, T.C. kimlik numarası, doğum tarihi), iletişim bilgileri (cep telefonu ülke kodu, cep telefonu numarası, sabit hat ülke kodu, sabit hat numarası, sabit hat uzantısı/dahilisi, e-posta adresi, sms gönderi izni, ticari elektronik ileti izni), müşteri işlemleri (ödeme anahtarı, yolculuk numarası, sepet numarası, sipariş numarası, toplam tutar, seyahat türü/kullanılacak araç, kalkış/varış yer ve saati, yolcu başına ücret referans numarası, yolcu türü, oturum simgesi, hata sebebi (uygulanabilir olduğu ölçüde hangi doğrulama adımının hataya sebep verdiği), segmentler), işlem güvenliği bilgileri (ödeme bilgileri; kart üzerinde yazan isim, kart numarası, kartın son kullanma tarihindeki ay ve yıl, kart güvenlik kodu, taksit bilgisi, indirim kodu, seyahat sigortası alınıp alınmadığına ilişkin bilgi, site kullanım koşullarının kullanılma bilgisi) verilerinin olduğu,
İhlalin 25 Eylül 2018’den 25 Kasım 2018’e kadar geçen dönemde 2 (iki) ay boyunca devam etmesinin Şirket tarafından gerekli denetimlerin ve kontrollerin yapılmadığının göstergesi olduğu,
İhlalin 21 Kasım 2018 tarihinde tespit edilmesine rağmen 25 Kasım 2018 tarihine kadar 4 (dört) gün daha devam etmesinin Şirket tarafından alınan idari tedbirlerin yeterince alınmadığının göstergesi olduğu,
Söz konusu yetkisiz kişi veya kişilerin ayrıca Şirketin kaynak koduna (source code) ulaşarak değişiklik yapmasının ciddi bir güvenlik açığı olduğu

hususları dikkate alınarak

– Öte yandan Şirket tarafından 21.11.2018 tarihinde tespit edilen siber saldırıya ilişkin Kurula 07.02.2019 tarihinde bildirim yapılmasının, ihlalden etkilenen ilgili kişilere ise 25.02.2019 tarihinde bildirim yapılmasının; Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca Şirket hakkında 100.000 TL,

olmak üzere toplam 550.000 TL idari para cezası uygulanmasına,

karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – EDS Enjeksiyon Dök.San.Tic.AŞ.

Veri sorumlusu sıfatını haiz olan EDS Enjeksiyon Dök.San.Tic.AŞ. tarafından Kurumumuza gönderilen 17.10.2019 tarihli yazıda özetle;

Şirket sunucularına girilerek dosyaların şifrelendiği ve sistemin kullanım dışı bırakıldığı,
İhlalin 10.10.2019 tarihinde gerçekleştiği ve bu durumun 11.10.2019 tarihinde tespit edildiği,
İhlalden etkilenen ilgili kişi gruplarının çalışanlar, kullanıcılar ve müşteriler olduğu,
İhlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim, lokasyon, özlük, müşteri işlem, finans, pazarlama ile görsel ve işitsel kayıt bilgileri olduğu,
İhlalden etkilenen kişi sayısı ve tahmini kayıt sayısının tam olarak bilinmediği ancak 400 GB boyutunda verinin etkilendiği,

bilgilerine yer verilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 18.10.2019 tarih ve 2019/313 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Premierdc Veri Merkezi A.Ş.

Veri sorumlusu sıfatını haiz olan Premierdc Veri Merkezi A.Ş.tarafından Kurumumuza gönderilen 14.10.2019 tarihli yazıda özetle;

Bir kısım kişi ya da kişiler tarafından Şirket’in güvenlik duvarı yıkılarak tüm bilgi ve belgelere ulaşıldığının düşünüldüğü,
Veri ihlalinin kaynağının araştırılmakta olduğu,
İhlalin 09.10.2019 tarihinde gerçekleştiği ve bu durumun 11.10.2019 tarihinde tespit edildiği,
İhlalden etkilenen kişisel veri kategorilerinin tespit edilmeye çalışıldığı,
İhlalden etkilenen kişi sayısı ve tahmini kayıt sayısının henüz tespit edilemediği,
İhlal ile ilgili tespit çalışmalarının devam ettiği,

bilgilerine yer verilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 18.10.2019 tarih ve 2019/311 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Edenred Kurumsal Çözümler A.Ş.

Veri sorumlusu sıfatını haiz olan Edenred Kurumsal Çözümler A.Ş. tarafından Kurumumuza gönderilen 26.11.2019 tarihli yazıda özetle;

21.11.2019 saat 17:00’da Şirket’in dahil olduğu şirketler grubunun (“Edenred Global”) bilişim sistemlerine bir şifreleme virüsü saldırısı (cryptolocker attack, ransomware) gerçekleştirildiği,
Siber saldırıdan, Türkiye dahil Edenred Global yapısı içinde dünyanın çeşitli ülkelerinde bulunan aktif iş birimlerine ait bilgisayar ve sunucuların etkilendiği,
Siber saldırının, hem Edenred Türkiye hem de Edenred Global bünyesinde yer alan mevcut çalışanların iş için tahsis edilen bilgisayarlarında bulunan belgelere erişememesi sonucu anlaşıldığı,
İhlalden etkilenen kişi sayısı, tahmini kayıt sayısı ve kişisel veri kategorilerini belirlemek için incelemelerin devam ettiği,
İlgili kişilerin, kişisel verilerin korunması ile ilgili her türlü taleplerini ve sorularını yazılı olarak Esentepe Mahallesi Talatpaşa Cad. No:5 Kat:1, 34394, Şişli, İstanbul adresine veya 0947004343100016.edenred@hs02.kep.tr kayıtlı elektronik posta adresine veya bilgi-tr@edenred.com elektronik posta adresine elektronik posta yoluyla iletebileceği,

bilgilerine yer verilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 26.11.2019 tarih ve 2019/360 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – T. Garanti Bankası A.Ş.

Veri sorumlusu sıfatını haiz olan T. Garanti Bankası A.Ş. tarafından Kurumumuza gönderilen 06.12.2019 tarihli yazıda özetle;

Bir Banka personelinin, 346 adet banka müşterisinin şube no, hesap no, cep telefonu numarası ve bu müşterilerin Banka hesaplarından bir yatırım firması hesabına gönderdikleri yatırım işlemi tutarı bilgilerini, bir yatırım firmasında çalıştığını ve arkadaşı olduğunu iddia ettiği bir kişinin e-posta adresine gönderdiği,
İhlalin 31.10.2019 tarihinde gerçekleştiği ve 04.12.2019 tarihinde tespit edildiği,
Banka harici bir adrese gönderilen e-postaların kontrolüne yönelik iç süreçlerin dizayn edildiği süreçte ihlalin tespit edildiği,
İhlalinden 346 müşteriye ait kimlik, iletişim, müşteri işlem, finans verilerinin etkilendiği,

bilgilerine yer verilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 12.12.2019 tarih ve 2019/381 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Küçükçekmece Belediyesi

Veri sorumlusu sıfatını haiz olan Küçükçekmece Belediyesi tarafından Kurumumuza gönderilen 13.12.2019 tarihli yazıda özetle;

İhlalin Küçükçekmece Belediyesi’nin SMS hizmeti aldığı yüklenici firmanın web ara yüzünden kullanıcı adı ve parola ele geçirilerek servis üzerinde kayıtlı olan herkese SMS gönderilmesi şeklinde meydana geldiği,
İhlalin 12.12.2019 tarihinde 05:42’de gerçekleştiği ve aynı gün saat 06:30’da tespit edildiği,
İhlalden etkilenen kişisel verilerin iletişim bilgileri olduğu,
İhlalden etkilenen tahmini kişi sayısının 285.000 olduğu,
İhlalden etkilenen kişilerin ilçe vatandaşı olduğu,

bilgilerine yer verilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 17.12.2019 tarih ve 2019/384 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Doğuş Planet Elektronik Ticaret ve Bilişim Hizmetleri A.Ş. (n11.com)

Veri sorumlusu sıfatını haiz olan Doğuş Planet Elektronik Ticaret ve Bilişim Hizmetleri A.Ş. tarafından Kurumumuza gönderilen 20.12.2019 tarihli yazıda özetle;

Şirket ile bağlantısı olmayan üçüncü kişiler tarafından 832 adet n11.com üyesine ait e-posta adreslerinin internet ortamında ele geçirildiği,
Söz konusu e-posta adresleri kullanılarak şifre deneme yoluyla üyelerin n11.com hesaplarına giriş yapıldığı,
İhlalden etkilenen kişisel verilerin kimlik, iletişim ve müşteri işlem bilgileri olduğu,
İhlalin 17.12.2019 tarihinde gerçekleştiği ve aynı gün tespit edildiği,
Konu ile ilgili araştırmaların devam ettiği,
İlgili kişilerin veri ihlaliyle ilgili olarak kisiselverilerim@n11.com e-posta adresinden bilgi alabilecekleri

bilgilerine yer verilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 26.12.2019 tarih ve 2019/401 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – CM Holding A.Ş. ve Grup Şirketleri

Veri sorumlusu sıfatını haiz olan CM Holding A.Ş. ve grup şirketleri olan Lotus Teknik Tekstil Sanayi ve Tic. A.Ş., Multipark Ambalaj Sanayi ve Tic. A.Ş., Sapro Temizlik Ürünleri Sanayi ve Tic. A.Ş. ve Tetra Paz. ve Dış Tic. A.Ş. tarafından Kurumumuza gönderilen 25.12.2019 tarihli yazılarında özetle;

İhlalin 23.12.2019 tarihinde gerçekleştiği ve aynı gün tespit edildiği,
İhlalin IFS Proud sunucusunun Cryptolocker olarak tabir edilen hack saldırısı ile dosyaların şifrelenmesi şeklinde gerçekleştiği,
İhlalden etkilenen kişisel veri kategorilerinin henüz tespitinin yapılmadığı,
İhlalden etkilenen tahmini kişi ve kayıt sayısının henüz tespitinin yapılmadığı

anlaşılmıştır.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 26.12.2019 tarih ve 2019/406-407-408-409-410 sayılı Kararları ile söz konusu veri ihlali bildirimlerinin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Exeltis İlaç Sanayi ve Ticaret A.Ş.

Veri sorumlusu sıfatını haiz olan Exeltis İlaç Sanayi ve Ticaret A.Ş. tarafından Kurumumuza gönderilen 14.01.2020 tarihli yazıda özetle;

İhlalin zararlı yazılımlardan ve fidye yazılımlarından kaynaklı bir siber saldırı olarak şirketin yetkili kullanıcı şifresi ele geçirilerek meydana geldiği,
İhlalin 11.01.2020 tarihi saat 22.00’da başladığı, 12.01.2020 tarihi saat 03.00’da sona erdiği ve 12.01.2020 tarihi saat 13.05’te tespit edildiği,
İhlalden etkilenen kişisel verilerin kimlik, iletişim, lokasyon, özlük, hukuki işlem, müşteri işlem, işlem güvenliği, risk yönetimi, finans ve pazarlama bilgileri; ihlalden etkilenen özel nitelikli kişisel verilerin ise sağlık, ceza mahkûmiyeti ve güvenlik tedbirleri bilgileri olduğu,
İhlalden etkilenen kişilerin çalışanlar, kullanıcılar, müşteriler ve potansiyel müşteriler olduğu,
İhlalden etkilenen tahmini kişi sayısının yaklaşık 1.000 civarı olduğu ve kesin sayının henüz tespit edilemediği,
İlgili kişilerin veri ihlaliyle ilgili olarak Bilişim Departmanı yardım masası veya KVKK Komitesi’nden e-posta veya telefon ile bilgi alabilecekleri

bilgilerine yer verilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 16.01.2020 tarih ve 2020/46 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Microsoft Corporation

Veri sorumlusu sıfatını haiz olan Microsoft Corporation tarafından Kurumumuza gönderilen 29.01.2020 tarihli yazılarında özetle;

İhlalin 05.12.2019 ile 31.12.2019 tarihleri arasında gerçekleştiği ve 26.01.2020 tarihinde tespit edildiği,
İhlalin güvenlik kurallarının yanlış yapılandırılması nedeniyle Microsoft destek hizmetleri temsilcilerinin müşteriler ile gerçekleştirdikleri etkileşimlere ilişkin bilgileri içeren bir veri tabanının internet vasıtasıyla erişilebilir olması dolayısıyla gerçekleştiği,
İhlalden etkilenen kişisel veri kategorilerinin iletişim, müşteri işlem, işlem güvenliği, finans verileri olduğu,
İhlalden etkilenen tahmini kişi sayısının Türkiye’den 158 kullanıcı olduğu,
İlgili kişilerin veri ihlaliyle ilgili olarak https://msrc-blog.microsoft.com/2020/01/22/access-misconfiguration-for-customer-support-database/ adresinden bilgi alabilecekleri

bilgilerine yer verilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 04.02.2020 tarih ve 2020/82 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Doğa Sigorta A.Ş.

Veri sorumlusu sıfatını haiz olan Doğa Sigorta AŞ tarafından Kurumumuza gönderilen 06.03.2020 tarihli yazıda özetle;

İhlalin 28.02.2020 tarihinde gerçekleştiği ve aynı gün tespit edildiği,
İhlalin, Şirketin web sayfasına ait test sunucusunun hacklenmesi dolayısıyla gerçekleştiği,
İhlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim, araç plakası, araç ruhsat, elektronik posta ve finans olduğu,
İhlalden etkilenen tahmini kişi sayısının 300 olduğu,
İlgili kişilerin veri ihlaliyle ilgili olarak www.dogasigorta.com adresinden bilgi alabilecekleri

ifade edilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 09.03.2020 tarih ve 2020/206 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Türk Ekonomi Bankası A.Ş.

Veri sorumlusu sıfatını haiz olan Türk Ekonomi Bankası AŞ tarafından Kurumumuza gönderilen 05.03.2020 tarihli yazılarında özetle; İhlalin 01.01.2018 ile 28.01.2020 tarihleri arasında gerçekleştiği ve 02.03.2020 tarihinde tespit edildiği,

İhlalin Banka çalışanlarının kendilerine tanımlanan Kredi Kayıt Bürosu skoru olarak da bilinen Türkiye Bankalar Birliği Risk Merkezi Raporu sorgulama sonuç bilgilerini şahsi telefonları aracılığıyla üçüncü kişilerle paylaşması şeklinde gerçekleştiği,
İhlalden etkilenen kişisel verilerin, ilgili kişilerin kredibiliteleri hakkındaki bilgiler (Kredi Verilebilir, Kredi Verilemez) olduğu,
İhlalden etkilenen ilgili kişi sayısının tam olarak tespit edilemediği ancak Banka müşterisi olmayan 2.317 kişinin, Banka müşterisi olan 6.917 kişinin ihlalden etkilenmiş olabileceği,
İlgili kişilerin veri ihlaliyle ilgili olarak Müşteri Memnuniyeti Departmanı/Çağrı Merkezi (0850 200 0 666), kvkkbasvuru@teb.com.tr e-posta adresinden ve www.teb.com.tr internet adresinden bilgi alabileceği

ifade edilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 09.03.2020 tarih ve 2020/207 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Gratis İç ve Dış Tic. A.Ş.

Veri sorumlusu sıfatını haiz olan Gratis İç ve Dış Tic. AŞ tarafından Kurumumuza gönderilen 09.03.2020 tarihli yazıda özetle;

İhlalin 04.03.2020 ile 06.03.2020 tarihleri arasında gerçekleştiği ve 06.03.2020 tarihinde tespit edildiği,
06.03.2020 tarihinde Şirket e-posta adresine kimliği belirsiz bir şahıstan Şirket web sitesi üyelerinin e-posta adresinin/şifrelerinin ele geçirildiğine dair bir elektronik posta geldiği,
Şirket dışı kaynaklardan elde edilen e-posta adresleri/şifreler ile şirkete ait Gratis.com sitesine birden fazla IP’den giriş denemeleri yapıldığı, her başarısız denemeden sonra bir başka elektronik e-posta/şifre denemesi yapıldığı, bu yolla 2092 site kullanıcısının site hesaplarının şifrelerini doğruladıkları,
İhlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim ve müşteri işlem verileri olduğu,
İhlalden 2092 kişinin etkilendiği,
İlgili kişilerin veri ihlaliyle ilgili olarak info@gratis.com aracılığıyla ve 0 850 210 69 00 telefon numarası vasıtası ile çağrı merkezinden bilgi alabilecekleri

ifade edilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 09.03.2020 tarih ve 2020/211 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Turkon Holding A.Ş. ve Grup Şirketleri

Veri sorumlusu sıfatını haiz olan Turkon Holding A.Ş. ve grup şirketleri olan Turkon Konteyner Taşımacılık ve Denizcilik A.Ş., Turkon Demiryolu Taşımacılık A.Ş., Turkon Lojistik A.Ş., Turkon Taşımacılık A.Ş., Anadolu Turizm Yatırımları A.Ş., Kanlıca Denizcilik ve Ticaret A.Ş. ve Kaşif Denizcilik A.Ş. tarafından Kurumumuza gönderilen 13.04.2020 tarihli yazılarda özetle;

Terminal sunucu üzerindeki bir kullanıcının oltalama saldırısına maruz kalması sonucu, Turkon lokal ağında yer alan sunucu ve yedekleme sistemlerinin şifrelenmesi neticesinde ihlalin gerçekleştiği,
İhlalin 05.04.2020 tarihinde gerçekleştiği ve 06.04.2020 tarihinde tespit edildiği,
İhlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim, hukuki işlem, müşteri işlem, finans, pazarlama ile görsel ve işitsel kayıtlar olduğu,
İhlalden etkilenen tahmini kişi ve kayıt sayısının henüz tespitinin yapılmadığı

ifade edilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 16.04.2020 tarih ve 2020/290 sayılı Kararı ile söz konusu veri ihlal bildirimlerinin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – EasyJet Plc

Veri sorumlusu sıfatını haiz olan EasyJet Plc (EasyJet) tarafından Kurumumuza gönderilen 26.05.2020 tarihli yazıda özetle;

EasyJet’in üst düzey saldırganlar tarafından gerçekleştirilen ve kişisel verilere erişilmesine yol açan bir bilgi güvenliği sorununa maruz kaldığı,
İhlalin 17.10.2019 ile 04.03.2020 tarihleri arasında gerçekleştiği,
EasyJet’in sistemlerine yetkisiz erişimden ilk olarak 22.01.2020 tarihinde haberdar olduğu, 10.03.2020 tarihinde yolcu rezervasyon bilgilerini elde eden özel üretim bir kötü amaçlı yazılımın tespit edildiği,
20.05.2020 tarihinde saldırıdan etkilenen kişiler arasında 6.846 tanesinin Türkiye’de mukim olduğunun (müşteriler tarafından rezervasyon yapılırken bildirilen fatura adreslerine istinaden) tespit edildiği,
İhlalden Türkiye’de mukim 3 kişinin irtibat bilgileri (adı, soyad ve e-posta adresi), uçuş bilgileri (uçak kalkış tarihi, kalkış noktası, varış noktası ve bilet referansı), işlem bilgileri (işlem tutarı ve cinsi) ve ödeme bilgilerinin (bilet alan kişinin tokenlaştırılmamış düz metin halinde kart numarası, son kullanma tarihi ve cvv bilgisi) etkilendiği, 6843 kişinin ise irtibat bilgileri (adı, soyad ve e-posta adresi), uçuş bilgileri (uçak kalkış tarihi, kalkış noktası, varış noktası ve bilet referansı), işlem bilgilerinin (işlem tutarı ve cinsi) etkilendiği

ifade edilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 28.05.2020 tarih ve 2020/443 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Halk Sigorta A.Ş.

Veri sorumlusu sıfatını haiz olan Halk Sigorta A.Ş. (Halk Sigorta) tarafından Kurumumuza gönderilen yazıda özetle;

İhlalin, istifa ederek iş akdi sona erdiren bir çalışanın, iş ilişkisi sona erdikten sonra daha önce sorgu yapmak için yetkili olduğu yazılımdaki trafik ve kasko sigortası dosyalarına yetkisiz bir şekilde erişmesi sonucu meydana geldiği,
İhlalin 30.01.2020 ve 08.04.2020 tarihleri arasında gerçekleştiği,
İhlalin 10.04.2020 tarihinde Halk Sigorta tarafından yapılan periyodik kontrol sırasında tespit edildiği,
İhlalden etkilenen kişi gruplarının, sigortalılar, kaza mağdurları, eksperler, acente çalışanları, sürücüler, servis çalışanları, tedarikçi çalışanları olduğu,
İhlalden etkilenen kişisel verilerin, sigorta hasar dosyasında bulunan ad, soyad, adres, telefon no, vergi kimlik numarası, T.C. kimlik numarası, plaka, şase no, ruhsat, eski hasar bilgileri ve ehliyet bilgisi olduğu, ihlalden etkilenen özel nitelikli kişisel verilerin ise engellilik bilgisi, sağlık bilgisi ve alkol raporu olduğu,
İş akdi sona erdirilen kişiye ait kullanıcı bilgisi ile işten ayrılma tarihinden sonra 6933 adet farklı eksper dosyasına erişim gerçekleştirildiği,
İhlali gerçekleştiren kişi hakkında savcılığa suç duyurusunda bulunulduğu

ifade edilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 16.06.2020 tarih ve 2020/468 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Sezgi Dental Ağız ve Diş Sağlığı Polikliniği

Veri sorumlusu sıfatını haiz olan Sezgi Dental Ağız ve Diş Sağlığı Polikliniği (Sezgi Dental) tarafından Kurumumuza gönderilen yazıda özetle;

Sezgi Dental eski çalışanı diş hekiminin işten çıkartılması sonrasında poliklinik hastaları ile ilgili verileri yetkisiz olarak elde ettiği ve işten ayrıldığı,
İşten ayrılan diş hekiminin Sezgi Dental kliniği hastalarına yeni açmış olduğu iş yeri ile ilgili tanıtıcı reklam amaçlı mesaj gönderdiği,
Klinikte hasta kayıtlarının barındırıldığı bir otomasyon sisteminin kullanıldığı, bu otomasyon sisteme tüm diş hekimlerinin kendilerine özel olarak verilen kullanıcı adı ve şifre ile erişim sağlandığı,
Söz konusu diş hekiminin çalıştığı dönem içerisinde bu otomasyon sistemine erişim yetkisinin bulunduğu, kendisine işten çıkartılması ile ilgili bildirim yapılmasından sonra hasta verilerini kopyalamış olduğunun tahmin edildiği,
İhlalin 02.06.2020 tarihinde tespit edildiği,
İhlalden etkilenen kişisel verilerin, kimlik ve iletişim verileri olduğu,
İhlalden etkilenen kişi sayısının tahmini 2.500 olduğu, otomasyon sistemine kayıtlı bulunan tüm hastalara sms gitmemesi sebebiyle kişi ve kayıt sayısının tespit edilemediği

ifade edilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 23.06.2020 tarih ve 2020/485 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Avivasa Emeklilik ve Hayat A.Ş.

Veri sorumlusu sıfatını haiz olan Avivasa Emeklilik ve Hayat A.Ş. (Avivasa) tarafından Kurumumuza gönderilen yazı ve ekinde özetle;

Bir e-posta kullanıcısı tarafından 12 Haziran 2020 tarihinde Avivasa’ya iletilen ihbar sonucu inceleme çalışmalarının başlatıldığı, iletilen ihbarda bir internet sitesi üzerinden Avivasa’ya ait kişisel verilerin para karşılığında satıldığı iddiasının yer aldığı,
İhlalden etkilenen kişisel veri kategorilerine yönelik ihbarda bilgi bulunmadığı,
İhlalden etkilenen kişi ve kayıt sayısının bilinmediği,
Konunun aynı zamanda adli makamlara da iletildiği,
İlgili Sulh Ceza Hakimliğinin söz konusu internet sayfasına yönelik erişim engelleme Kararının bulunduğu

bilgilerine yer verilmiş olup, yazı ekinde yer alan ilgili erişim engelleme Kararında “…erişimin engellenmesi talebine konu olan içerik incelendiğinde, içerikte talepte bulunan şirketin müşterilerine ait olduğu değerlendirilen müşterilerin yaşadıkları şehir, yaş ve cep telefonu numarası gibi kişisel nitelikteki bir kısım verilerin liste halinde siteye konulduğu…” tespitlerinin yer aldığı anlaşılmıştır.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 23.06.2020 tarih ve 2020/486 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Avon Kozmetik Ürünleri Sanayi ve Ticaret A.Ş.

Veri sorumlusu sıfatını haiz olan Avon Kozmetik Ürünleri Sanayi ve Ticaret A.Ş (Avon Türkiye) tarafından Kurumumuza gönderilen yazıda özetle;

Avon Türkiye’nin bağlı olduğu İngiltere’de yerleşik Avon Cosmetics Limited’e (Avon Global) 7 Haziran 2020 tarihinde fidye yazılımı saldırısının gerçekleştiği,
Saldırının bazı sistemlerin kesintiye uğramasına ve Türkiye’de dahil Avon’un uluslararası operasyonlarında belirli verilerin şifrelenmesine neden olduğu, etkilenen sistemlerdeki belirli verilerin tehdit aktörü tarafından kopyalanmış olması ve bu verilerin kişisel veriler içermesi ihtimalinin bulunduğu,
Avon Türkiye’nin bağlı bulunduğu İngiltere’de yerleşik Avon Global ile aynı yazılımları kullandığı,
Etkilenen kişisel veri kategorisi belirleme çalışmalarının devam ettiği,
Etkilenen kişi sayısı ve kişilere ait kayıt sayısını belirleme çalışmalarının devam ettiği,
Avon Türkiye’nin ağırlıklı olarak çalışanların ve Avon ürünlerini doğrudan satış yolu ile tüketicilere tali satıcılığını yapmakta olan Avon temsilcilerinin verilerine sahip olduğu

bilgilerine yer verilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 23.06.2020 tarih ve 2020/487 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Doktor Atadan Egemen KOYUNCU

Veri sorumlusu sıfatını haiz olan Doktor Atadan Egemen KOYUNCU tarafından Kurumumuza gönderilen yazıda özetle;

Hasta bilgilerinin tutulduğu sistemin 05.07.2020 tarihinde bir siber saldırıya (fidye saldırısı) maruz kaldığı,
İhlalin 06.07.2020 tarihinde hasta programının silindiğinin fark edilmesi sonucu tespit edildiği,
İhlalden etkilenen kişi sayısının tahmini 10.000 olduğu, hasta programına girilemediği için tam sayının bilinmediği,
İhlalden etkilenen kişisel verilerin hastalara ait kimlik bilgileri, e-posta adresleri, telefon numaraları, sağlık ile ilgili detaylı bilgiler, tıbbi geçmişler, muayene bulguları, laboratuvar sonuçları ve cinsel sorunları içeren veriler olduğu,

ifade edilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 09.07.2020 tarih ve 2020/540 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Mert Grup Sigorta Aracılık Hizmetleri Ltd. Şti.

Mert Grup Sigorta Aracılık Hizmetleri Ltd. Şti. (Mert Grup)tarafından Kurumumuza gönderilen yazıda özetle;

Mert Grup’un acentesi olduğu Atlas Mutuel Sigorta ile Corpus Sigorta sistemlerine girilerek bazı kişilerin kredi kartlarından 1,5,10,15,25,30,50 TL gibi tutarların çekildiği,
İhlalin 11.07.2020 tarihinde gerçekleştiği ve 13.07.2020 tarihinde tespit edildiği,
İhlalden etkilenen kişisel verilerin kimlik, iletişim ve finans verileri olduğu,
İhlalden etkilenen kişi sayısının 707 olduğu

ifade edilmiştir.

Konuya ilişkin ilgili veri sorumluları hakkında inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 16.07.2020 tarih ve 2020/554 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Fluke Corporation ve Fluke Electronics Corporation

Veri sorumlusu sıfatını haiz olan Fluke Corporation ve Fluke Electronics Corporation tarafından Kurumumuza gönderilen yazıda özetle;

İhlalin, veri sorumlusunun web servisi yönetici hesabının ele geçirilmesi ve Fluke Connect ortamına erişilmesi ile gerçekleştirildiği,
Veri ihlalinin gerçekleşme tarihinin belirsiz olduğu, bu hususta araştırmaya devam edildiği, ihlalin 29.06.2020 tarihinde tespit edildiği,
İhlalden etkilenen kişisel verilerin, e-posta adresleri, telefon numaraları, şirket adları, kişisel ve/veya şirket adresleri, iletişim bilgileri, Fluke Connect el aletlerinden ve Fluke Connect Sensörlerinden elde edilen ölçüm verileri, abonelik bilgileri ve şifrelenmiş parolaların olduğu,
Veri sorumlusunun kayıtlarına göre ihlalden etkilenen kişi sayısının Türkiye’de yerleşik 4.282 kullanıcı olduğu,
İlgili kişilerin veri ihlaliyle ilgili olarak connect@fluke.com adresinden bilgi alabilecekleri

ifade edilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 16.07.2020 tarih ve 2020/555 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Penti Giyim Sanayi ve Ticaret Anonim Şirketi ve İştirakleri

Veri sorumlusu sıfatını haiz olan Penti Giyim Sanayi ve Ticaret Anonim Şirketi (Türkiye) ve iştirakleri olan Penti Çorap Sanayi ve Ticaret Anonim Şirketi (Türkiye), SC Penti World SRL (Romanya), Penti World LLC (Kazakistan) ve Penti Giyim Ticaret Anonim Şirketi (Kuzey Kıbrıs Türk Cumhuriyeti) tarafından Kurumumuza gönderilen yazılarda özetle;

İhlalin; Penti Giyim Sanayi ve Ticaret Anonim Şirketinin sistemlerine yapılan fidye saldırısı neticesinde gerçekleştiği,
İhlalin 31.07.2020 tarihinde gerçekleştiği ve aynı tarihte tespit edildiği,
İhlal sonucunda; Penti Giyim Sanayi ve Ticaret Anonim Şirketinin tahmini 650 kullanıcısına ait kimlik ve iletişim verilerinin, Penti Çorap Sanayi ve Ticaret Anonim Şirketinin tahmini 130 kullanıcısına ait kimlik ve iletişim verilerinin, SC Penti World SRL’nin tahmini 45.228 çalışan, müşteri ve potansiyel müşterilerine ait kimlik, iletişim ve müşteri işlem verilerinin, Penti World LLC’nin tahmini 14 çalışanına ait kimlik ve iletişim verilerinin, Penti Giyim Ticaret Anonim Şirketinin tahmini 4 kullanıcısına ait kimlik, iletişim ve müşteri işlem verilerinin etkilendiği,
İncelemelerin devam ettiği ihlalden etkilenen kişi sayısının henüz tespit edilemediği,
İhlal hakkında incelemenin Penti Giyim Sanayi ve Ticaret Anonim Şirketi nezdinde devam ettiği,

ifade edilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 06.08.2020 tarih ve 2020/600-601-602-603-604 sayılı Kararları ile söz konusu veri ihlali bildirimlerinin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Barilla Gıda A.Ş.

Veri sorumlusu sıfatını haiz olan Barilla Gıda A.Ş. tarafından Kurumumuza gönderilen yazıda özetle;

İhlalin; 12.08.2020 tarihinde gerçekleştirilen siber saldırı ile sunucularda fidye yazılımı çalıştırılarak dosyaların ve disklerin erişilemez olmasının sağlandığı,
Fidyecilerin bildirimi ve IBM’in yaptığı incelemeye göre 4 GB kadar bir verinin dışarıya çıkartıldığı,
Verinin içeriğinin henüz saptanamadığı, incelemelerin devam ettiği,
İhlalden etkilenen ilgili kişi gruplarının, kişi sayısının ve ihlalden etkilenen kişisel verilerin henüz tespit edilemediği

ifade edilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 18.08.2020 tarih ve 2020/631 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Kariyer.net Elektronik Yayıncılık ve İletişim Hiz. A.Ş.

Veri sorumlusu sıfatını haiz olan Kariyer.net Elektronik Yayıncılık ve İletişim Hiz. AŞ tarafından Kurumumuza gönderilen yazıda özetle;

İhlalin Kariyer.Net’e tedarikçi olarak hizmet veren bir danışman tarafından 12 Ağustos 2020 tarihinde Kariyer.net’in bir çalışanına, adı geçen sitede üyeliği bulunan 50.000 kişiye ait olduğu iddia edilen bir dosyanın aynı gün internette bir siteye yüklendiği bilgisinin aktarılmasıyla tespit edildiği,
İhlalin 10.08.2020 tarihinde gerçekleştiği, Kariyer.net tarafından 12.08.2020 tarihinde tespit edildiği,
İhlalden etkilenen verilerin, “email adresi”, “kullanıcı şifresi”, “isim soyad”, “doğum tarihi”, “telefon numarası”, “profil fotografı” URL link bilgisi, “yaşadığı il”, “yaşadığı ilçe” bilgileri olduğu,
İhlalden etkilenen kişi sayısının 40.955, kayıt sayısının 53.149 olduğu,
İlgili kişilerin veri ihlaliyle ilgili olarak adaydestek@kariyer.net adresinden ve 0 216 468 76 00 numarasından bilgi alabilecekleri

ifade edilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 18.08.2020 tarih ve 2020/634 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Dap Rotana Dalga ve Vazo Rezidans Toplu Yapı Yöneticiliği

Veri sorumlusu sıfatını haiz olan Dap Rotana Dalga ve Vazo Rezidans Toplu Yapı Yöneticiliği tarafından Kurumumuza gönderilen yazıda özetle;

İhlalin; kat maliklerine ait kişisel verilerin bir çalışan tarafından üçüncü kişiler ile paylaşılması neticesinde gerçekleştiği,
İhlalin 05.03.2020 tarihinde saat 9:00 ile 17:00 arasında gerçekleştiği ve 13.08.2020 tarihinde bilişim hizmeti alınan şirketten rapor istenilmesi ve gelen rapor üzerine yönetim kurulunun bilgilendirilmesiyle tespit edildiği,
İhlalden etkilenen kişisel verilerin; kimlik, iletişim, lokasyon ve hukuki işlem veri kategorileri (ad, soyadı, T.C. Kimlik numarası, adres, cep telefonu ve varsa araç plaka bilgileri) olduğu,
İhlalden etkilenen kişilerin kat malikleri ve sakinlerinden oluştuğu,
İhlalden etkilenen kişi sayısının 2328, kayıt sayısının 11640 olduğu

ifade edilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 18.08.2020 tarih ve 2020/635 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.