19.09.2019, 20:59

Amerikalı firmaya 1 milyon 450 bin TL Ceza

Kişisel Verileri Koruma Kurumu tarafından tarihi bir cezaya imza attı. Geçtiğimiz günlerde Marriott Hotel grubu, 500 milyona yakın müşterisinin kişisel bilgilerinin çalınmış olabileceğini duyurdu. Tarihin en büyük veri hırsızlığı niteliğindeki bu eylem Amerikalı otel gurubuna pahalıya mal oldu.

Peki, dünyanın en büyük otel zincirlerinden biri olan Marriott Hotel, Hacker’ların Starwood otellerinin müşteri rezervasyon veri tabanına ulaşmasına nasıl mani olamadı?

Starwood misafir veri tabanının tutulduğu ağa Temmuz 2014'ten beri yetkisiz erişim olmasına rağmen veri tabanına yetkisiz erişimin olduğu 08.09.2018'de tespit edilebilmiştir.

Marriott’un yaklaşık 383 milyon müşteri kaydı arasında ülke/bölge adresi Türkiye olan yaklaşık 1.24 milyon müşteri kaydının bulunduğu tespitine bakılır ise veri hırsızlığına uğraya bir o kadar kişi bulunmaktadır.

Saldırganın web sunucusuna bir komut istemi yüklediği ve Starwood ağına girdiğinin Marriott tarafından tespit edilmiş olup Web sunucusuna erişimin sağlanmasının ardından, saldırgan tarafından web sunucusuna uzaktan erişim sağlayan bir truva atı (RAT) yüklenmiştir.

Tüm bu eylemlere kayıtsız kalmayan Kişisel Verileri Koruma Kurumu tarihi bir karara imza atarak 1 milyon 450.000 TL para cezasına hükmetti.

- 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.100.000 TL,

- Şirket tarafından 08.09.2018 tarihinde tespit edilen ihlale ilişkin Kuruma 03.12.2018 tarihinde bildirim yapılmasının, ihlalden etkilenen kişilere ise 30.11.2018 tarihinden sonra bildirimde bulunulmaya başlanmasının, Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle, Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca Şirket hakkında 350.000 TL,

olmak üzere toplam 1.450.000 TL idari para cezası uygulanmasına karar verilmiştir.

İhlalden etkilenen veriler arasında müşterilere ait ad, soyad, posta adresi, telefon numarası, doğum tarihi, cinsiyet, pasaport numarası, Starwood Preferred Guest (“SPG”) hesap bilgileri, otel ödül bilgileri, otele giriş ve çıkış bilgileri, ödeme kartı numaraları ve ödeme kartı son kullanma tarihleri, rezervasyon tarihi ve iletişim tercihlerini içeren bilgilerin olduğu,

Sistemde şifrelenmiş ödeme kartı bilgilerinin yanında çok sayıda şifrelenmemiş ödeme kartı numaralarının da bulunmasının sistemin tasarım aşamasından itibaren doğru bir şekilde planlanmadığı ve gerekli kontrollerin yapılmadığının göstergesi olduğu, bu durumun ilgili kişiler açısından olumsuz etki oluşturabilecek bir güvenlik açığı olduğu tespit edilmiştir.

Kurum, 2014 yılından itibaren mevcut olan yetkisiz erişim ve komut isteminin kurulumunu gösteren web olay günlüklerinin (log kayıtları) olmasına rağmen, olayın tespit edilememesinin Şirket tarafından alınması gereken teknik ve idari tedbirlerin alınmadığının somut bir göstergesi olduğu kanaatine varmıştır.

Av. Çiğdem KEKEÇ

Yorumlar (1)
Şule Ağyar 5 ay önce
Türkiye'de bütün işler testi kırıldıktan sonra düzene biner.
Zahmetlidir, zordur bedeli ağırdır
Fakat gelişmiş ülkeler bunları yaşadı ve şimdi doğrusunu yapıyor.
Biz de yapmalıyız.
Teşekkürler.
parçalı az bulutlu
Namaz Vakti 25 Şubat 2020
İmsak 05:42
Güneş 07:02
Öğle 12:50
İkindi 15:58
Akşam 18:29
Yatsı 19:44
Puan Durumu
Takımlar O P
1. Başakşehir 23 46
2. Trabzonspor 22 45
3. Galatasaray 23 45
4. Sivasspor 23 45
5. Alanyaspor 23 39
6. Fenerbahçe 23 38
7. Beşiktaş 23 37
8. Göztepe 22 34
9. Gaziantep FK 23 31
10. Gençlerbirliği 23 27
11. Antalyaspor 23 25
12. Malatyaspor 22 24
13. Denizlispor 23 24
14. Çaykur Rizespor 22 24
15. Konyaspor 23 21
16. Ankaragücü 23 20
17. Kasımpaşa 23 19
18. Kayserispor 23 16
Takımlar O P
1. Hatayspor 23 45
2. Erzurum BB 23 42
3. Bursaspor 23 39
4. Adana Demirspor 23 37
5. Altay 23 34
6. Fatih Karagümrük 23 34
7. Keçiörengücü 23 32
8. Ümraniye 23 32
9. Akhisar Bld.Spor 23 32
10. Menemen Belediyespor 23 32
11. Balıkesirspor 23 31
12. Giresunspor 22 28
13. İstanbulspor 22 27
14. Altınordu 23 24
15. Osmanlıspor 23 21
16. Adanaspor 23 18
17. Boluspor 23 17
18. Eskişehirspor 23 16
Takımlar O P
1. Liverpool 27 79
2. Man City 27 57
3. Leicester City 27 50
4. Chelsea 27 44
5. M. United 27 41
6. Tottenham 27 40
7. Sheffield United 27 40
8. Wolverhampton 27 39
9. Arsenal 27 37
10. Burnley 27 37
11. Everton 27 36
12. Southampton 27 34
13. Crystal Palace 27 33
14. Newcastle 27 31
15. Brighton 27 28
16. Bournemouth 27 26
17. Aston Villa 27 25
18. West Ham 27 24
19. Watford 27 24
20. Norwich City 27 18
Takımlar O P
1. Barcelona 25 55
2. Real Madrid 25 53
3. Atletico Madrid 25 43
4. Sevilla 25 43
5. Getafe 25 42
6. Real Sociedad 24 40
7. Villarreal 25 38
8. Valencia 25 38
9. Granada 25 36
10. Levante 25 32
11. Athletic Bilbao 25 31
12. Osasuna 25 31
13. Real Betis 25 30
14. Deportivo Alaves 25 30
15. Real Valladolid 25 29
16. Eibar 24 24
17. Celta de Vigo 25 24
18. Mallorca 25 22
19. Leganés 25 19
20. Espanyol 25 19