KİŞİSEL VERİLERİ KORUMA KURULU'NUN, BİR E-TİCARET PLATFORMUNA GERÇEKLEŞTİRİLEN SİBER SALDIRIYA İLİŞKİN GEREKLİ TEKNİK VE İDARİ TEDBİRİN ALINMAMASI NEDENİYLE UYGULADIĞI İDARİ PARA CEZASINA İLİŞKİN KARAR

02.01.2025

 

Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından, veri sorumlusu hukuki statüsünü haiz ve satıcı konumundaki kullanıcıların ürünlerini satabildikleri bir elektronik ticaret platformunun (“E-ticaret Platformu”), satıcı portalına yönelik gerçekleştirilen siber saldırıya ilişkin, veri ihlali bildiriminde bulunması üzerine yapılan değerlendirme neticesinde, 08.08.2024 tarihli ve 2024/1385 sayılı kararı ile söz konusu E-ticaret Platformu hakkında idari yaptırım uygulanmasına karar verilmiştir. İlgili karar ile E-ticaret Platformu tarafından veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığı gerekçesiyle 3.250.000,00 TL tutarında yayımlanan en yüksek ikinci idari para cezası uygulanmıştır. Söz konusu karar ve Kurul’un ihlale ilişkin incelemeleri kapsamında dikkate aldığı başlıca hususlar aşağıda özetlenmektedir:

 

• Kişisel Verileri Koruma Kurumuna E-ticaret Platformu tarafından yapılan veri ihlali bildiriminde, yetkisiz kişiler tarafından diğer platform ve mecralarda satıcılar tarafından kullanılan kullanıcı adı ve şifre bilgilerinin ele geçirildiği ve söz konusu bilgiler ile E-ticaret Platformu’na ait satıcı portalında denemeler gerçekleştirilerek bazı satıcı hesaplarına yetkisiz erişimin gerçekleştiği belirtilmiştir.
• E-ticaret Platformu tarafından yapılan log kayıtları analizleri sonucunda, söz konusu ihlalin 02.02.2024 ile 06.02.2024 tarihleri arasında gerçekleştiği ve bu ihlal kapsamında, 673 satıcı (satıcı yetkilileri ve gerçek kişi satıcılar) ve ilgili satıcı mağazaları üzerinden yakın zamanda alışveriş yapan 7202 müşterinin etkilendiği 06.02.2024 tarihinde tespit edilmiştir. İhlalden etkilenen veriler arasında, satıcıların kimlik, iletişim ve finans bilgileri ile müşterilerin kimlik, iletişim, müşteri işlem ve finans bilgilerinin yer aldığı veri ihlal bildiriminde belirtilmiştir.
• Yukarıda açıklanan veri ihlaline ilişkin Kurul tarafından gerçekleştirilen incelemeler sonucunda, siber saldırganların, E-ticaret Platformu’nun satıcı portalındaki zafiyeti kullanarak satıcılara ait diğer platformlardan elde ettikleri e-posta adreslerinin, E-ticaret Platformu’nun satıcı portalında bulunup bulunmadığını kontrol edebildikleri ve akabinde hedefli saldırıların yürütüldüğü tespit edilmiştir.
• Satıcı portalı girişlerinde, E-ticaret Platformu tarafından bot trafiğini engellemeye yönelik kullanılan güvenlik servisinin saldırganlar tarafından aşılabildiği ve bu uygulamanın güvenlik açısından yetersiz olduğu belirtilmiştir.
• Kurul, söz konusu kararında özellikle, ihlalin gerçekleşmesinden önce alınması gereken teknik tedbirlerin eksikliğine dikkat çekmiştir. Bu noktada, satıcıların portala ilk kez giriş yapmaları veya farklı bir IP adresi üzerinden giriş denemeleri halinde, tek seferlik parola sisteminin bulunmadığı ancak ihlalden sonra devreye alındığı belirtilmiştir. Benzer şekilde, ihlalin başladığı tarihte (02.02.2024) ve ertesi gün (03.02.2024), aynı IP adresi üzerinden 400'den fazla kullanıcı girişi (çok sayıda farklı kullanıcı adına olmak üzere) gerçekleştirilmesine rağmen, veri sorumlusu tarafından ihlalin ancak 06.02.2024 tarihinde müşteri ve satıcılardan gelen şikayetler sonucunda tespit edilebildiği hususunun altı çizilmiştir.
• Ek olarak, kullanıcı hesaplarına giriş sonrası bilgi değişikliği ve giriş süreçlerine yönelik çift faktörlü kimlik doğrulama (2FA) aşamasının yalnızca ihlalin ardından uygulanmaya başlanması, Kurul tarafından ihlalin etkilerinin azaltılabilmesi için gereken adımların zamanında atılmaması olarak değerlendirilmiştir.
• Kurul tarafından, Kişisel Verilerin Korunması Kanunu 12’nci maddesinde düzenlenen veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan E-ticaret Platformu’nun (i) kabahatin haksızlık içeriği, (ii) kusuru ve (iii) ekonomik durumu hususları göz önünde bulundurularak 3.250.000,00 TL idari para cezası uygulanmasına karar verilmiştir.

 

Kurul’un hükmettiği bu oldukça yüksek idari para cezasına gerekçe olarak üzerinde durduğu önemli hususları özetlemek gerekir ise, siber saldırıların önüne geçilebilmek adına alınması gereken teknik ve idari tedbirlerin (örn. tek seferlik parola, çift faktörlü kimlik doğrulama) veri ihlalleri öncesinde yerine getirilmesi ve olumsuz etkilerinin azaltılabilmesi adına veri ihlalinin hızlı şekilde tespitinin önemi vurgulanmıştır.

 

İlgili karara buradan ulaşabilirsiniz.