İTÜ ETA Vakfı Doğa Koleji KVKK'ya veri ihlal bildiriminde bulundu.
Bilindiği üzere veri sorumluları; işledikleri kişisel verilerin kanundışı yollarla üçüncü kişilerin eline geçmesi halinde bu durumu en kısa süre içerisinde Kişisel Verileri Koruma Kurulu'na ("KVKK") bildirmekle yükümlüdür. Haberimize konu olan Arı İnovasyon ve Bilim Eğitim Hizmetleri Anonim Şirketi'ne bağlı Doğa Koleji sistemlerine yetkisiz erişen hackerların, 79.997 kişiye ait kişisel verileri yetkisiz ele geçirdiği saptanmıştır. KVKK'ya iletilen ihlal bildirimi sonrası KVKK gerekli incelemeleri başlatmış; KVKK'nın resmi internet sitesinde sürece ilişkin duyuru yayımlanmıştır.
KVKK tarafından yayımlanan ihlal bildirimi aşağıdaki şekildedir;
Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Arı İnovasyon ve Bilim Eğitim Hizmetleri Anonim Şirketi (İTÜ ETA Vakfı Doğa Koleji)
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz Arı İnovasyon ve Bilim Eğitim Hizmetleri Anonim Şirketi tarafından Kurula iletilen veri ihlal bildiriminde özetle;
- Veri sorumlusu sistemlerinde yetkili bir kullanıcıya ait e-posta erişim şifresinin ele geçirildiği,
- Saldırganın e-posta şifresini elde ettikten sonra bu Portal uygulamasına giriş yaparak diğer uygulamalara erişim sağladığı ve kullanıcı yetkilerine bağlı olarak bilgilere eriştiği ve verileri sızdırdığı,
- İhlalden etkilenen ilgili kişi gruplarının çalışanlar, öğrenciler ve öğrenci velileri olduğu,
- İhlalden; çalışanlara ait ad, soyad, TC kimlik numarası, çalıştığı birim ve brüt ücretleri; öğrencilere ait ad soyad, TC kimlik numarası, anne-baba adı; öğrenci velilerine ait ad, soyad, TC kimlik numarası, meslek ve kayıt tutarları bilgilerinin etkilendiği,
- İhlalden etkilenen kişi sayısının 79.997 olduğu,
- İlgili kişilerin [email protected] e-posta adresinden ihlale ilişkin bilgi alabilecekleri
bilgilerine yer verilmiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 17.02.2022 tarih ve 2022/157 sayılı Kararı ile söz konusu veri ihlal bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.
Kamuoyuna saygıyla duyurulur.
