KVKK tarafından yayımlanan yeni bir duyuruya göre Arçelik veri sızıntısı yaşadı. Arçelik, KVKK’ye veri ihlali bildirimi yaptıktan sonra KVKK tarafından yapılan duyuruda sızıntının detayları da paylaşıldı.
Kanuna göre işlenen kişisel verilerin yasa dışı yollarla başkaları tarafından ele geçirilmesi hâlinde veri sorumlusunun yaşanan durumu en kısa sürede KVKK’ye (Kişisel Verileri Koruma Kurulu) bildirmesi gerekiyor. Arçelik de bu sorumluluk kapsamında yaşanan veri ihlalini kurula bildirdi.
Arçelik Veri Sızıntısı Kimleri Etkiledi?
Duyuruya göre ihlalden etkilenenler bayi ve yetkili servis çalışanlarından oluşuyor. İhlalden etkilenen kişisel verilerin kimlik (adı, soyadı, T.C. kimlik numarası, unvan, doğum tarihi, cinsiyet), iletişim (e-posta, telefon numarası), işlem güvenliği (LDAP) kodu ve kullanıcı şifresi, kayıt ve güncelleme tarihi, son giriş tarihi, cihaz modeli, versiyonu ve işletim sistemi bilgisi, hesabın aktiflik durumu ve diğer verilerden oluştuğu aktarıldı.
Veri ihlalinden etkilenen kişi sayısının 30 bin 373 kişi olduğu tahmin ediliyor. Veri sorumlusu anlaşmalı olduğu bayi ve yetkili servis çalışanlarının çeşitli faktörlere göre ödül kazandığı, Arçelik Bizbize mobil uygulama ve web sitesinin barındırıldığı tedarikçi sistemlerinde bir güvenlik açığı tespit edildi.
Bu açık, kişisel verilere yetkisiz erişim sağlanmasına neden oldu. Almanya’da göründüğü belirlenen bir IP adresine kişisel verilerin alındığı tespit edildi.
Arçelik Veri İhlali Hakkında Açıklama Yaptı
“Bazı bayi ve yetkili servis çalışanlarımızın kişisel verilerine erişilmesiyle ilgili paylaşımlar üzerine açıklama yapma lüzumu doğmuştur” ifadesini kullanan Arçelik, yaşanan veri ihlali hakkındaki açıklamasında şu sözlere yer verdi:
“Şirketimiz bünyesinde kullanılan bir uygulamaya siber saldırı gerçekleştirilmiştir. Uygulamamıza erişim pek çok başka şirket ve markaya da hizmet veren bir tedarikçimizin sisteminden kaynaklı olup, gerekli tüm teknik ve yasal önlemler alınmıştır. Kişisel verilerin korunması ve siber güvenlik şirketimizin en önemli öncelikleri arasındadır. Olayın etkilediği sistemler ödeme ve finansal bilgileri içermemektedir. Hâlihazırda kişisel verilere erişim ile ilgili zafiyet bulunmamaktadır.”