Bugün Ferdî Bilgileri Muhafaza Konseyi yahut bilinen kısaltmasıyla KVKK, Getir Perakende Lojistik Anonim Şirketi ve Bitaksi Taşınabilir Teknoloji Anonim Şirketi için data ihlali bildirimi yaptı. Yani uygulamalarda güvenlik açığı olduğu kullanıcıların şahsî bilgilerinin çalındığını söyledi. İşte resmi açıklama…
KVKK, Getir ve BiTaksi için bilgi ihlali bildirimi yaptı!
Yapılan açıklamaya geçmeden evvel kısaca özetleyecek olursak, BiTaksi’nin hacklenmediği belirtiliyor. Lakin 5 bin 98 Getir kullanıcısının kimlik, iletişim, hesap, müşteri işlem ve başka bilgilerinin ele geçirildiği söyleniyor.
KVKK tarafından Getir ve BiTaksi için yapılan bilgi ihlali bildirimi içerisinde şu duyuruya yer verildi:
“Bilindiği üzere, 6698 sayılı Ferdî Dataların Korunması Kanununun “Veri güvenliğine ait yükümlülükler” başlıklı 12 nci hususunun (5) numaralı fıkrası “İşlenen şahsî dataların yasal olmayan yollarla öbürleri tarafından elde edilmesi hâlinde, data sorumlusu bu durumu en kısa müddette ilgilisine ve Heyete bildirir. Şura, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği öbür bir prosedürle ilan edebilir.” kararını amirdir.
Veri sorumlusu sıfatını haiz Getir Perakende Lojistik Anonim Şirketi (Getir) ve Bitaksi Taşınabilir Teknoloji Anonim Şirketi (BiTaksi) tarafından Heyete iletilen data ihlal bildirimi ve takip bildiriminde özetle;
- 11.03.2023 tarihinde Getir’in üst idaresine ulaşan bir e-postada, makus niyetli üçüncü bir şahsın BiTaksi (Getir’in kurucusu tarafından kurulan bir teknoloji şirketi) kullanıcılarına ilişkin birtakım şahsî dataları elinde bulundurduğunu sav ettiği ve örnek olarak birtakım data satırlarını paylaştığı,
- 23.03.2023 tarihinde bir Getir yetkilisine ve 25.03.2023 tarihinde Getir’in kurumsal e-posta adresine makûs niyetli üçüncü kişi tarafından iletilen iki farklı e-postada, darkwebde Getir hakkında ferdî dataların ihlale uğradığına dair argümanlara yer verildiği ve Getir müşterilerine ilişkin olduğu sav edilen şahsî bilgi içeren ilişkilerin (URL) paylaşıldığı,
- Darkwebde yer alan içeriklerin Getir bünyesindeki müdahale takımı tarafından incelenmeye başlandığı; log kayıtlarının aktarıldığı yazılımların birinde yer alan dataların, ilgili darkweb gönderilerinde yer alan datalarla örtüştüğünün tespit edildiği,
- Öte yandan, darkwebde paylaşılan dataların Bitaksi sistemlerinde yer alan datalarla örtüşmediği ve Bitaksi kullanıcılarının ferdî bilgilerinin ihlal edilmediği,
- İhlalden etkilenen şahsî dataların, Getir kullanıcıları için; kimlik (ad, soyad, TC kimlik numarası, cinsiyet), bağlantı (GSM numarası, e-posta adresi, teslimat adresi) hesap (Getir müşteri numarası ve hesap oluşturma tarihi), müşteri süreç (Getir uygulamasından verilen son sipariş tarihi ve numarası, sipariş verilen Getir dikeyi [Getir, Getir Büyük, Getir Yemek vb.], sipariş içeriği, iptal edilen sipariş sayısı ve toplam sipariş sayısı), başka (Getir uygulamasına son giriş yapılan tarih ve pozisyon, Getir’e verilen irtibat izinleri) bilgiler olduğu, Getir bayilerine hizmet veren kuryeler için ise; kimlik (ad, soyad), irtibat (GSM numarası), görsel ve işitsel kayıtlar (profil fotoğrafı), öbür (anlık pozisyon bilgisi ve Getir çalışan numarası) bilgiler olduğu,
- İhlalden etkilenen kestirimi kişi sayısının 5098 olduğu; lakin etkilenen her bilgi kategorisinin tüm ilgili şahıslar için geçerli olmadığı,
- İlgili şahısların ihlal ile ilgili olarak [email protected] e-posta adresinden yahut Etiler Mah. Tanburi Ali Efendi Sok. Maya Residences Sitesi, T Blok, No:13 İç Kapı NO:334 Beşiktaş/İstanbul adresinden bilgi alabilecekleri
Konuya ait inceleme devam etmekle birlikte, Şahsî Bilgileri Müdafaa Şurasının 30.03.2023 tarih ve 2023/496 sayılı Kararı ile kelam konusu data ihlal bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir. Kamuoyuna hürmetle duyurulur.”
