KİŞİSEL VERİLERİN KORUNMASI KURUMU
Veri İhlali Bildirimi
Yayın Tarihi | : | 28.05.2020 |
Veri Sorumlusu | : | Easy Jet |
Bildirim Tarihi | : | 13.04.2020 |
İhlalin Açıklaması | : | EasyJet’in üst düzey saldırganlar tarafından gerçekleştirilen ve kişisel verilere erişilmesine yol açan bir bilgi güvenliği sorununa maruz kaldığı, İhlalin 17.10.2019 ile 04.03.2020 tarihleri arasında gerçekleştiği, EasyJet’in sistemlerine yetkisiz erişimden ilk olarak 22.01.2020 tarihinde haberdar olduğu, 10.03.2020 tarihinde yolcu rezervasyon bilgilerini elde eden özel üretim bir kötü amaçlı yazılımın tespit edildiği, 20.05.2020 tarihinde saldırıdan etkilenen kişiler arasında 6.846 tanesinin Türkiye’de mukim olduğunun (müşteriler tarafından rezervasyon yapılırken bildirilen fatura adreslerine istinaden) tespit edildiği,İhlalden Türkiye’de mukim 3 kişinin irtibat bilgileri (adı, soyad ve e-posta adresi), uçuş bilgileri (uçak kalkış tarihi, kalkış noktası, varış noktası ve bilet referansı), işlem bilgileri (işlem tutarı ve cinsi) ve ödeme bilgilerinin (bilet alan kişinin tokenlaştırılmamış düz metin halinde kart numarası, son kullanma tarihi ve cvv bilgisi) etkilendiği, 6843 kişinin ise irtibat bilgileri (adı, soyad ve e-posta adresi), uçuş bilgileri (uçak kalkış tarihi, kalkış noktası, varış noktası ve bilet referansı), işlem bilgilerinin (işlem tutarı ve cinsi) etkilendiği ifade edilmiştir. |
Uzman Yorumu | : | KVKK Madde 12, Veri Sorumlularının, Veri Güvenliğine İlişkin Yükümlülüklerini açık bir şekilde belirtiyor. Tekrar yükümlülükleri tekrar hatırlatacak olursak; (Madde.12.1.b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, (Madde.12.1.c) Kişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
“KVKK Uyum Süreçlerinin özellikle teknik tedbirleri ayağının ISO27001 BGYS ile entegre edilmesinin” gerekli olduğunu bu veri ihlali ile bir kez daha anlamış oluyoruz. |