Bilgisayar korsanlarının teknoloji ve beyaz eşya titanı Arçelik'in hedef alındığı saldırılar, Arçelik'in BizBize mobil platformu ve web sitesi üzerinden yürüttüğü satış hedefi kampanyalarının duyurulmasına zemin hazırladı. Buna dair rapor, Kişisel Verileri Koruma Kurumu (KVKK) tarafından açıklandı.
KVKK, Arçelik'in BizBize mobil platformu ve internet sitesindeki verilerin, hackerlar tarafından çalındığını kamuoyuna duyurdu. Ek olarak, siber korsanlar Arçelik BizBize'nin Almanya'daki yönetici paneline nüfuz etmeyi başardılar.
Korsanların böylece uygulamada barınan bilgileri zaptettikleri belirtilirken, Arçelik'in ifadelerine dayanarak, yalnızca bayi ve yetkili servis çalışanlarından müteşekkil 30 bin kişinin verisinin yağmalandığı ifade edildi. Müşteri verilerinde herhangi bir sızma olmadığı açıklandı.
KVKK'dan bir açıklama geldi. İlan edilen açıklamada şu ifadelere yer verildi:
"6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12’nci maddesinin (5) numaralı fıkrası gereği, yasa dışı yöntemlerle kişisel verilere ulaşılması durumunda, veri sorumlusu bu durumu en kısa sürede Kurula ve ilgililere bildirir. Kurul, gerektiğinde, internet sitesinde veya başka bir yöntemle bu durumu ilan edebilir.
Arçelik A.Ş., veri ihlal bildiriminin özeti olarak, satış hedeflerine ulaşan bayi ve yetkili servis çalışanlarına ek yararlar sağladıkları, Arçelik Bizbize mobil uygulama ve internet sitesini barındıran tedarikçi sistemlerinde bir güvenlik açığı tespit edilerek kişisel verilere yetkisiz erişim sağlandığını iletti.
Veri sorumlusunun yalnızca kullanım imkanına sahip olduğu bir modelle hizmet aldığı ve veri işlemcisinin kod ve mülkiyet sahipliğini taşıdığı belirtildi. Ayrıca, yetkisiz kişilerin yönetici paneline erişim sağlandığı ve Almanya'da belirlenen bir IP adresine kişisel verilerin aktarıldığı belirlendi.
İhlalden etkilenen ilgili kişi gruplarının bayi ve yetkili servis çalışanları olduğu ifade edildi. İhlalden etkilenen kişisel verilerin Kimlik (ad, soyadı, TCKN, unvan, doğum tarihi, cinsiyet), İletişim (elektronik posta adresi, GSM numarası), İşlem Güvenliği (LDAP (Hafif dizin erişim protokolü) kodu ve kullanıcı şifresi, kayıt ve güncelleme tarihi, son giriş tarihi, hesabının aktiflik durumu, cihaz modeli, versiyonu ve işletim sistemi bilgisi, uygulama versiyon bilgisi, bildirim izin durumu), Diğer (sistem kapsamında, bayi ve yetkili servis çalışanlarının puan kazanım ve harcama bilgileri, uzmanlık, eğitim, işe başlama tarihi, ilgili kişinin şahsi bilgileri olmamakla beraber çalışmakta olduğu bayi ve mağazasının kodu, adı ve adresi) olduğu ifade edildi.
İhlalden etkilenen ilgili kişi sayısının tahmini olarak 30.373 kişi olduğu bildirildi. İlgili kişilerin, Arçelik'in başvuru panelinden bilgi alabilecekleri belirtildi.
Konu hakkında inceleme devam ederken, Kişisel Verileri Koruma Kurulunun 01.06.2023 tarih ve 2023/978 sayılı kararlarına dayanarak, ilgili veri ihlal bildiriminin Kurumun internet sayfasında duyurulmasına karar verildiğini belirtildi.
