Ajanda

KİŞİSEL VERİLERİ KORUMA KURULU’NDAN FACEBOOK HAKKINDA KARAR

04.10.2019

Facebook temsilcisi tarafından 14.10.2018 tarihli e posta ile Facebook sisteminin birbirinden farklı üç özelliği olan “başkasının gözünden gör”, “doğum günü kutlayıcı” ve “video yükleyicinin” etkileşimi sonucunda oluşan bir hatadan kaynaklanan veri ihlaline ilişkin Kişisel Verileri Koruma Kurulu’na (“Kurul”) başvuruda bulunulmuş ve Kurul tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında 18.09.2019 tarihli 2019/269 sayılı Karar’a hükmedilmiştir.

Facebook temsilcisinin göndermiş olduğu e postada özetle:

  • Facebook nezdinde 14-28 Eylül tarihleri içerisinde “access token” (erişim jetonları) kullanılmak suretiyle Facebook platformları üzerinden çeşitli Facebook hesabı bilgilerinin ele geçirildiği,
  • 25 Eylül 2018 tarihinde saldırganların erişim jetonları elde etmek için sistemleri üzerindeki üç hata arasındaki kompleks etkileşimden doğan bir zafiyetten faydalandıklarının tespit edildiği ve erişim jetonlarının, aynı dijital bir anahtar gibi Facebook platformları üzerinden çeşitli bilgilerin elde edilebilmesi için kullanıldığı,
  • İncelemeler sonucunda, ilgili zafiyetin Facebook’un kodu içerisinde 21 Temmuz 2017 tarihinde meydana geldiğinin tespit edildiği, ancak erişim jetonlarına yetkisiz olarak erişilmesine sebep olan bu saldırının 14 Eylül 2018 tarihinde başladığı kanaatini taşıdıkları, zira (25 Eylül 2018 tarihinde gerçekleştirilen incelemeler kapsamında) beklentinin üzerinde bir “View As” (Başkasının Gözünden Gör) trafiği artışının bu tarihte başladığının tespit edildiği,
  • 28 Eylül 2018 tarihinde kod üzerindeki zafiyetin düzeltilerek saldırının durdurulduğu, bununla birlikte ihlal hakkındaki incelemelerin devam ettiği,

Kurul’a bildirilmiştir.

Bu kapsamda Kurul tarafından yapılan inceleme neticesinde:

  • Veri ihlalinin, Facebook sisteminin birbirinden farklı üç özelliği olan Başkasının Gözünden Gör modu, Doğum Günü Kutlayıcı ve Video Yükleyicinin etkileşimi sonucunda oluşan bir zafiyetten kaynaklandığı, bu durumun bir kullanıcının kendi profilini Başkasının Gözünden Gör modunda görüntülediğinde; (i) gelen ekranda kullanıcının doğum gününün görünür olduğu arkadaşlarına doğum günü mesajı gönderme opsiyonunun verildiği, (ii) doğum günü mesajı gönderme opsiyonunun Video Yükleyici ile kullanıldığı takdirde, başkasının Gözünden Gör modu için video yükleyicisinin bir erişim jetonu ürettiği, (iii) bu erişim jetonunun doğum günü mesajının gönderileceği kullanıcının arkadaşına ait olduğu, (iv) üretilen bu erişim jetonu sonucunda karşı tarafın profil bilgilerini elde etmek üzere kullanılabildiği göz önünde bulundurulduğunda, bu tip hataların test aşamasında tespit edilerek değişiklik yayına alınmadan evvel düzeltilmesi gerektiği dikkate alınarak Şirket’in bahse konu veri ihlali kapsamında KVKK’nın 12. maddesinin (1) numaralı fıkrasında belirtilen teknik ve idari tedbirleri almakta kusurlu olduğu,
  • İlgili zafiyetin 21 Temmuz 2017 tarihinden 27 Eylül 2018 tarihine kadar yaklaşık 14 ay boyunca devam etmesinin gerekli denetim ve kontrollerin yapılmadığının göstergesi olduğu, bu durumun ise KVKK’nın 12. maddesinin (1) ve (3) numaralı fıkralarında belirtilen tedbirlerin alınması hususunda Facebook’un kusurlu olduğunu gösterdiği,
  • İlgili zafiyetten kaynaklı olarak ihlalin 14-27 Eylül 2018 tarihleri arasında 13 gün boyunca gerçekleştiği Şirket tarafından belirtilmiş olup, (i) 27 Eylül 2018 tarihinde güvenlik açığına yönelik yama geliştirildiği ancak 25 Eylül 2018 tarihinde Facebook tarafından ihlalin tespit edilmesine rağmen 2 gün boyunca ihlalin devam ettiği, (ii) 28 Eylül 2018 tarihinde geçici olarak “Başkasının Gözünden Gör” özelliğinin bütünüyle devre dışı bırakıldığı, bahse konu devre dışı bırakma işleminin tespitten itibaren 3 gün sonra yapılmış olduğu, (iii) potansiyel olarak etkilendikleri belirlenen hesaplara ait erişim jetonlarının (yaklaşık 90 milyon) 27 Eylül 2018 tarihinden başlayarak 29 Eylül 2018 tarihine kadar devre dışı bırakıldığı, (iv) 14 Eylül 2018 tarihinde başlamış olan olağandışı bir aktivite sonrası ihlalin tespit edilmiş olduğu, olağandışı aktivitenin olmadığı 21 Temmuz 2017 - 14 Eylül 2018 tarihleri arasında da veri ihlalinin gerçekleşmiş olabileceği göz önüne alındığında, ihlale zamanında müdahale edilmediği ve bu konuda teknik ve idari tedbirlerin alınmasında eksikliklerin göstergesi olduğu ve bu durumun veri sorumlusunun KVKK’nın 12. maddesinin (1) numaralı fıkrasında belirtilen teknik ve idari tedbirleri almakta kusurlu olduğunu gösterdiği,
  • İhlalden etkilenen ve Facebook’u Türkçe olarak kullanan 280.959 kullanıcıdan; 133.510 kullanıcının temel profil bilgilerine (isim, telefon numarası veya eposta bilgileri) ulaşıldığı, 143.974 kullanıcı için temel profil bilgilerine ek olarak, aşağıda yer alan bilgilere de erişilmiş olunabileceği (ilgili alanlarda kullanıcı tarafından bilgi sağlanmış olması şartıyla);
  • Kullanıcı adı, Ad [profilinde kullanıcı tarafından belirlenmiş olan takma ad
  • Cinsiyet
  • Yerel ayarlar [kullanıcı tarafından seçilen dil]
  • İlişki durumu
  • Din bilgisi
  • Memleket
  • Konum
  • Doğum günü
  • Cihazlar [kullanıcı tarafından Facebook’a erişmek için kullanılan cihazlar – alanlar işletim sistemi (örn. iOS) ve donanım (örn. iPhone) bilgilerini içermektedir]
  • Eğitim geçmişi
  • İş geçmişi
  • Web sitesi
  • Kimlik doğrulama
  • Kullanıcının son zamanlarda bulunduğunu bildirdiği yerlerin listesi
  • Facebook’ta son zamanlarda yapılan aramalar
  • Kullanıcının takip ettiği 500’e kadar başlıca hesaplar 
  • 3.475 kullanıcının ise ilk iki grubun erişilen veri türlerine ilave olarak profil sayfalarındaki verilerinin de riske maruz kaldığı, göz önünde bulundurulduğunda, Facebook kullanıcılarına ait kişisel verileri ile özel nitelikli kişisel verilerine bu zafiyeti kullanan kişiler tarafından erişilebildiği, bu durumun “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kurul’un 31/01/2018 tarihli ve 2018/10 sayılı Karar’ın (3) numaralı maddesine ve KVKK’nın 12. Maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği,
  • İhlalden etkilenen kişilere ait çok sayıda kişisel verilerin elde edildiği dikkate alındığında, bu verilere yetkisiz bir şekilde erişenler tarafından ilgili kişiler hakkında profilleme yapılabileceği ve bu faaliyetlerin bu kişilerin aleyhine bir sonuç oluşturabileceği,
  • Veri ihlali hakkında Facebook tarafından Kurul’a bildirim yapılmadığı,

tespit edilmiştir.

Bu kapsamda Kurul tarafından;

  • Şirket’in bahse konu veri ihlali kapsamında KVKK’nın 12. maddesi (1) numaralı fıkrasında belirtilen teknik ve idari tedbirlerde kusurunun bulunması nedeniyle, KVKK’nın 18. maddesinin (1) numaralı fıkrasının (b) bendi uyarınca Şirket hakkında 1.150.000 TL,
  • Söz konusu veri ihlalinin 25 Eylül 2018 tarihinde tespit edilmesine rağmen KVKK’nın 12. maddesinin (5) numaralı fıkrası gereğince veri ihlali hakkında Kurul’a bildirim yapılmadığı hususu da dikkate alınarak, Şirket hakkında KVKK’nın 18. maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 450.000 TL,

idari para cezası uygulanmasına oybirliğiyle karar verilmiştir.

Daha detaylı bilgiye buradan ulaşabilirsiniz.

NAZALI HUKUK

info@nazali.com
Yukarıda yer verilen açıklamalarımız, hukuki görüş ve tavsiye niteliğinde olmayıp, konuya ilişkin genel bilgiler içermektedir; bu sebeple belirtilen konularda bir aksiyon almadan önce, bir uzmana danışmanızı tavsiye ederiz. NAZALI’ya işbu dokümanın içeriğinden kaynaklanan veya içeriğine ilişkin olarak ortaya çıkan sonuçlardan dolayı herhangi bir sorumluluk iddiasında bulunulamaz