Dünyada Neler Oluyor?

Veri Koruma alanı ülkemizde ivme kazanan bir hızla gelişirken, dünya çapındaki yenilikler Kişisel Verileri Koruma Kurumu’nun (“Kurum“) radarında kalmaya devam ediyor.

Daha önce defaten karşılaştığımız örneklerden Kurum’un Avrupa Veri Koruma Tüzüğü (General Data Protection Regulation, “GDPR”) düzenlemeleri başta olmak üzere dünya gündemine ayak uydurduğuna ve hızlı hareket eden veri gizliliği dünyasının gereklerini yakalamaya çalıştığına şahit oluyoruz.

Dünya gündemini GRC Legal Hukuk Bürosu olarak yakından takip ediyor ve güncelden seçkileri bu içeriğimizle bilgilerinize sunuyoruz.

Aşağıda yer alan haberler 2022 Eylül ayına aittir.

G7 x Sınır Ötesi Veri Aktarımı

Yedi ülke arasında kurulan uluslararası bir birlik olan G7’den veri gizliliği hakkında düzenleme yapmaya yetkili otoritelerin temsilcileri, küresel zenginliğin %64’lük kısmına sahip ülkeler arasındaki veri aktarımlarını daha makul ve uygulanabilir hale getirecek yolları tartışmak üzere Almanya’nın Bonn şehrinde bir araya geldi.

Amerika Birleşik Devletleri (“ABD”), İngiltere, Almanya, İtalya, Fransa, Japonya ve Kanada‘dan oluşan G7’nin çoğu üyesi arasında ikili veri aktarımlarını destekleyen anlaşmalar halihazırda mevcuttu. Ancak müzakerecilerin 2022 Mart ayında bir ön anlaşmaya vardıklarını söylemelerinin ardından yeni bir ABD – Avrupa Birliği(“AB”) anlaşmasının nihai ve hukuken geçerli metni henüz yayınlanmadı.Yapbozun eksik olan tek parçasının Atlantik ötesi anlaşma olduğu belirtildi.

Avrupa Birliği Adalet Divanı (Court of Justice of the European Union), 2020 yılında ABD ile AB arasında akdedilen ve Gizlilik Kalkanı olarak anılan bir önceki veri aktarım anlaşmasının yasal olmadığına hükmetti çünkü Gizlilik Kalkanı’na karşı çıkan kesimde bulunanlar, Avrupa vatandaşlarına ait kişisel verilerin ABD’ye aktarımı durumunda ABD hükümet gözetiminin, Avrupalıların gizliliğine yönelik bir tehdit oluşturduğuna dair argümanlarını mahkeme karşısında başarılı bir şekilde savundu. Bu nedenle yeni anlaşma yayınlandıktan sonra bile, Avrupa ülkelerindeki yetkililerin bu anlaşmayı onaylaması gerekmekteydi. Gizlilik Kalkanı’nın kaldırılmasının bütün uluslararası şirketlerinin veri aktarımlarını belirsizlikte bıraktığı düşünülüyor.

G7 toplantısına ev sahipliği yapan Almanya Federal Veri Koruma Komiseri Ulrich Kelber, toplantıların amacının, her bir yargı alanındaki yerel kuralları daha iyi anlamak ve regülatörlerin gizliliğe yönelik yaklaşımlarını kademeli olarak uyumlu hale getirmek olduğunu söyledi. Bununla birlikte verileri düzgün bir şekilde anonimleştirme teknikleri veya bir bireyi tanımlayan ayrıntıları ayıklama teknikleri, antitröst (tekelcilik karşıtı) ve gizlilik regülatörleri arasında daha yakın iş birliğine yönelik eğilim hakkında görüşmeler yapıldığını söyledi.

Regülatörler, toplantı bittikten sonra yayınlanan sonuçlarda, verileri taşımak için hukuka uygun yöntemler üzerinde iş birliği yapmayı ve “işletmelerin iş ihtiyaçlarına uygun sınır ötesi aktarım araçlarını seçmeleri için seçenekler yaratmayı” taahhüt etti. Bununla birlikte ülkelerin, bireylerin kişisel verilerine yalnızca ulusal güvenlik amaçları için kesinlikle gerekli olduğu durumlarda erişilmesini garanti eden mevzuatlara ihtiyaçları olduğu da belirtildi.

Şirketler, ABD’li ve Avrupalı yetkilileri, binlerce işletmenin kişisel verileri taşımak için kullandığı Gizlilik Kalkanı‘nın yerini alacak yeni anlaşmanın görüşmelerini hızlandırmaya çağırdı. Mahkeme kararının ardından Avrupalı kanun koyucular ABD istihbarat uygulamalarını eleştirdi ve bazıları hakları garanti eden bir ABD Federal Gizlilik Yasası çağrısında bulundu.

Kâr amacı gütmeyen Access Now‘un küresel veri koruma lideri Estelle Massé, Gerçekte olan şey, bu yetki alanlarının birbirleri arasında veri taşıma konusunda yaşadıkları zorlukların kabul edilmesidir.” dedi ve Regülatörler arasındaki uluslararası görüşmeler gerginliği giderebilir ve verileri taşımanın yollarını bulmayı kolaylaştırabilir” diye de ekledi.

Birçok şirket için uluslararası ticareti kolaylaştıran veri aktarımı anlaşmalarında bile, ulusal güvenlik bilgileri gibi bazı hassas verilerin tek bir yargı alanında kalmasının gerekebileceği vurgulandı. G7 ülkelerinden regülatörlerin, iç hukuk kurallarının bazı tür bilgileri nasıl etkilediğini, kişisel sağlık ve tıbbi veriler gibi verilerin nasıl kullanılabileceğinin ve satılabileceğinin daha iyi anlanması gerektiğini belirterek “Şu anda yedi ülke arasında bu tür veriler için böyle bir pazar oluşturmaya hazır olduğumuzu düşünmüyoruz.” şeklinde bir açıklama gerçekleştirdi.

Almanya x Çerez Politikası

Alman medyasında yapılan birkaç habere göre Alman hükümeti, çerezlerin ve buna benzer teknolojilerin yerleştirilmesi amacıyla internet sitesi kullanıcılarının onaylarını toplamaya ve saklamaya yönelik hizmetleri kapsayan “izin yönetimi hizmetleri” gerekliliklerini belirleyecek bir düzenleme üzerine çalışmaya başladı.

Bu hizmetlerin, çerez panellerine birer alternatif olarak hizmet etmesi ve diğerlerinden farklı olarak, birden çok internet sitesi için tek seferde çerez izni toplayabilmesi planlandı. Bu hizmetler, özel yazılım uygulamaları aracılığıyla kullanıcıların bir internet sitesi için vermiş olduğu izinleri diğer bir internet sitesi için de verilmiş kabul edecek, izinleri cihaz veya internet sitesi kategorilerince genelleştirmeye ve sıralamaya imkân sağlayacak olduğu bilgisine ulaşıldı.

Hazırlanan bu düzenleme taslağında ayrıca, bir seferde toplanan bu çerez izinlerinin kullanıcıları yanıltması veya aleyhine kullanılmasının önüne geçecek bir tedbir de düşünüldü. Buna göre, ilgili kullanıcılardan her altı ayda bir vermiş oldukları çerez izinlerini gözden geçirmeleri istenecek.

Hükümet, izin yönetimi hizmetlerini düzenleyerek internet sitelerini kullanmaya teşvik etmeyi ve böylece internetteki çerez panellerinin miktarını azaltmayı amaçladı. Ancak, reklamlarla finanse edilen internet sitelerinin, bu şekilde tek yoldan izin toplama hizmetinden muaf tutulması gerektiğine karar verildi, yani reklamlarla finanse edilen internet siteleri kullanıcılardan ayrı ayrı çerez izni toplamaya devam edecek. Alman yasalarının da izin verdiği şekilde, reklamlarla finanse edilen bu tür internet siteleri, kullanıcılarına, reklam çerezlerini içeren ücretsiz kullanım ile belirli bir ücret karşılığında reklamsız kullanım şeklinde iki farklı seçenek sunacak.

Çerez yönetimi hizmet sağlayıcılarının, düzenlemeye uyması ve düzenlemeye göre kurulacak bağımsız bir kuruluşa kayıt yaptırma zorunluluğu altında olması planlanıyor. Henüz taslak halinde olduğundan başka ne gibi zorunluluklar getireceği henüz belli olmasa da çerez yönetimi hizmet sağlayıcılarının izin toplarken ve verileri yönetirken ekonomik çıkar gözetmemesinin şimdiden öngörülen bir şart olduğu söyleniyor.

Alman hükümetinin, taslak düzenlemeyi yakında gözden geçirilmek üzere iş dünyası dernekleri ve federal eyaletlerle paylaşması bekleniyor. Yapılacak detaylı incelemelerin ardından taslak teklif, ek yorumlar için Avrupa Birliği Komisyonu’na (European Union Commission) da gönderilecek. Hükümet gerekli değerlendirme ve düzenlemelerden sonra taslak düzenlemeyi 2023 yılına kadar hayata geçirmeyi planlıyor.

Twitter x Zatko

Twitter’ın eski güvenlik şefi olarak çalışan ve ortaya attığı iddiaların ardından kovulan Peiter Zatko, ABD’li milletvekilleriyle yaptığı görüşmede Twitter yetkililerinin platformun güvenliği konusunda halkı nasıl yanılttığına dair açıklamalarda bulundu. Twitter’ın güvenlik standartlarının “10 yıl geriden” seyrettiğini, kullanıcıların verilerinin yeterince iyi korunmadığını ve çok sayıda personelin bu verilere erişiminin olduğunu iddia ederek sosyal ağ içerisindeki güvenlik uygulamaları hakkında 84 sayfalık bilgi ifşası amaçlı bir şikâyet gerçekleştirdi.

Zatko Twitter’da çalışan personellerden Twitter’ın, ulusal bir güvenlik riski taşıyan”Çin hükümetiyle bağlantılı veya ilişkili olabilecek kuruluşlardan” reklamlar taşıdığına dair birtakım duyumlar aldığını; bu durumu Twitter yöneticileriyle paylaştığında ise bu gelir akışını kaybetmenin göze alınamayacağı cevabıyla karşılaştığını belirtti.

Ayrıca Twitter’ın gündeme getirdiği diğer ulusal güvenlik sorunlarına karşı tutumundan rahatsız olduğunu da belirterek şirketin yarısının mühendislerden oluştuğunu ve bu mühendislerin hepsinin kullanıcıların kişisel bilgilerine erişimi olduğunu da açıkladı. Bu kapsamda 4000’e yakın Twitter çalışanının kullanıcıların kişisel bilgilerine erişiminin olduğu düşünülmektedir.

Zatko, kötü niyetli bir çalışanın ardında herhangi bir iz bırakmadan kişisel bilgileri alabileceğinden endişe duyduğunu ve Twitter’ın bu verilere erişen çalışanların faaliyetlerini kaydetmediğini belirtti. Twitter’ın güvenlik sistemlerinin olası casusluğu izlemeyi zorlaştırdığını belirten Zatko daha önceki bir açıklamasında da şirket tarafından Hintli bir ajanın işe alındığını iddia etmişti.

Zatko, insanların kişisel bilgilerinin riske atıldığını söyleyerek kullanıcılar hakkında tutulan bilgilerin “telefon numarası, IP adresi, e-posta adresi, cihaz türü, tarayıcı türü, kullanıcının bağlandığı konum” verilerinden oluştuğunu belirtti. Bu bilgilerin ise kişilerin gerçek dünyada hedef gösterilebilmelerine sebebiyet verebilecek nitelikte olduğunu hatırlattı.

Zatko, 2022 Eylül ayının 3. haftasında tartışmalı bir senato duruşmasında ifade verdiğinde milletvekilleri sadece sosyal medya şirketini değil, yıllardır şirketi yakından takip ettiği iddia edilen federal regülatörleri de defalarca eleştirdi.

Iowa Senatörü Chuck Grassley, “Yaklaşık 10 yıldır Federal Ticaret Komisyonu’nun (Federal Trade Commission, “FTC”) Twitter’ın rıza kararnamesine uyum sağlaması için yeterince güçlü önlem almadığından veya yeterli bilgiye sahip olmadığından endişeliyim. Kongre, FTC’nin bu önemli konuları başarılı bir şekilde denetleme becerisine veya eksikliğine dikkat etmelidir.” açıklamasında bulundu.

Zatko’nun 2022 Eylül ayının 3. haftasındaki ifadesiyle, Twitter gibi milyar dolarlık teknoloji şirketleriyle başa çıkmak için yeterli kaynağa sahip olunmadığına dikkat çekilmiş oldu.

Zatko, FTC rıza emri kapsamında kullanıcı verilerini korumayı ve güçlü bir bilgi güvenliği programı sürdürmeyi taahhüt eden Twitter’ın iddiaya göre ABD regülatörlerini ciddiye almadığını ve aktif olarak onları yanlış yönlendirdiğini, yabancı regülatörlerden bazılarının FTC’den çok daha fazla korkutulduğunu belirtti. Fransa Gizlilik Regülatörü’nün Twitter’ı dehşete düşürdüğünü, olası gizlilik ihlallerini araştıran Fransız yetkililerin şirketin uyumluluk iddialarını desteklemek için Twitter’dan kısa sürelerde somut ve nicel veriler talep ettiğini, Twitter’ın gelecekteki büyümesini doğrudan engelleyebilecek uyumsuzluklar için yüksek cezaların verilebileceği hususunda tehditlerde bulunduklarını ise örnek olarak gösterdi.

Zatko, Twitter’ın FTC’den korkmadığını, çünkü komisyonun şirkete dair uygunluk denetimlerinde “kendi görevlerini derecelendirme” hususuna büyük ölçüde izin verdiğini ve şirket içinde işin maliyetinden biraz daha fazlası olarak görülen tek seferlik para cezaları verme eğiliminde olduğunu iddia etti.

Zatko’nun iddialarına yanıt olarak Twitter, muhbirin şirket hakkındaki iddialarının tutarsızlıklar ve yanlışlıklarla dolu olduğunu ve Zatko’nun şirket uyum raporları hazırlama çabalarına dahil olmadığını ve Twitter’ın yasal yükümlülüklerini tam olarak anlamadığını savundu.

Geçmiş yıllarda da eleştirmenleri FTC’nin göreve uygun olup olmadığından şüphe etmeye iten başka durumlar da meydana geldi. 2013 yılında tekelcilik karşıtı personelin tavsiyesine rağmen, rekabet ile ilgili endişeler nedeniyle Google’a dava açmamaya oybirliğiyle karar verilmişti ve 2019’da Facebook ile yapılan bir gizlilik anlaşması 5 milyar dolarlık rekor bir para cezasına ve sayısız yeni yasal yükümlülüklere yol açsa da eleştirmenler FTC’nin CEO Mark Zuckerberg ve Sheryl Sandberg’i ortaya çıkan düzende kişisel olarak sorumlu tutmakta ısrar etmesi gerektiğini düşünüyordu. Facebook’ta olduğu gibi, Twitter’a yönelik son iddiaların yeni FTC cezalarında milyarlarca dolara yol açabileceği belirtildi.

Ancak bazı kanun koyucular, bu hafta FTC’nin Twitter’a şu ana kadar uyguladığı cezalardan hayal kırıklığına uğradıklarını ve regülatörlerin ileriki zamanlarda yapılacak veri açıklarına dair caydırmaya yönelik davranışları hakkında şüpheli olduklarını dile getirdiler.

Kanun koyucular sürekli olarak uygulamaya ayrılabilecek daha fazla kaynak için çağrıda bulundu. FTC bütçelerini genişletmek ve daha fazla kurum içi uzmanı işe almak için bazı girişimler olsa da eski yetkililer ve tüketici savunucuları, personeli, çalışmaktan bunalmış ve teknoloji devlerinin getirebileceği avukat orduları tarafından yenik düşürülmüş olarak tanımladılar.

Google & Meta x Güney Kore

Güney Koreli yetkililer ülkenin gizlilik yasasını ihlal ettikleri tespit edilen Google ve Meta’nın 71,8 milyon dolar para cezasına çarptırıldığını açıkladı.

Gözlemcilerin yaptığı açıklamaya göre, Google ve Meta’nın web sitelerini ziyaret eden ve özelleştirilmiş reklamlar için diğer web siteleri ve uygulamaları kullanan kullanıcılardan bilgi toplama sürecinde usulüne uygun rıza almadığı saptandı.

Ülke yetkilileri Google’ın hizmetine kaydolan kullanıcıların veri işleme ve diğer şirketlerin davranışsal bilgileriyle ilgili net bir şekilde bilgilendirmediğine ve ayarlar ekranı aracılığıyla sunulan diğer seçenekleri gizlerken varsayılan seçeneği “kabul et” olarak belirlediğine dair basın açıklamasında bulundu.

Kişisel Bilgi Koruma Komisyonu’ndaki (Personal Information Protection Commission, PIPC”) bir sözcü Meta’nın yasal olarak bilinmesi önem teşkil eden ayrıntılar hakkında bilgilendirilmeyen, onayı alınmayan ve kayıt oluşturan kullanıcıların davranış bilgilerini kişiselleştirilmiş reklamların gösterimi için toplayıp kullandığını iddia etti. PIPC, Google ve Meta’ya ihlalleri düzeltmelerini emretti ve Google’a 50 milyon, Meta’ya ise 22 milyon dolar para cezası kesildi.

Gözlemciler Güney Kore’de kişisel bilgi koruma yasalarının ihlal edilmesi hakkında verilen en büyük ceza ve ülkenin çevrimiçi özelleştirilmiş reklam platformlarında davranışsal bilgilerin toplanması ve kullanılmasıyla ilgili ilk yaptırımı olduğunu açıkladı.

Yurtdışındaki gözlemciler geçtiğimiz senelerde veri koruma düzenlemelerine uymadıkları için Google ve Meta’yı para cezasına çarptırdı. 2019 yılında da Fransız Veri Koruma Gözlemcisi (Commission nationale de l’informatique et des libertés, CNIL), şeffaflık ve rıza ihlalleri için 57 milyon dolarlık ilk GDPR cezasını yayınladı. Facebook’un sahibi olduğu WhatsApp, geçen yıl GDPR şeffaflık ilkesini ihlal ettiği için 267 milyon dolar para cezasına çarptırılırken, Almanya Federal Kartel Ofisi (Germany’s Federal Cartel Office) de Meta’nın üçüncü taraf web sitelerinden kullanıcılar hakkında izinleri olmadan veri toplamasının sınırlandırılmasını emretti. Bu emir, AB’de yasal soruşturma altında kalmaya devam ediyor.

Google’dan bir sözcü, “PIPC’nin bulgularına katılmıyoruz ve yazılı kararı bizimle paylaşıldıktan sonra gözden geçireceğiz. Mümkün olan en yararlı ürünleri sunarken kullanıcılara kontrol ve şeffaflık sağlayan sürekli güncellemeler yapma taahhüdümüzü her zaman gösterdik. Güney Koreli kullanıcıların gizliliğini korumak için PIPC ile ilişki kurmaya kararlıyız” açıklamalarında bulundu.

Instagram x İrlanda

Avrupa Veri Koruma Kurulu’nun (European Data Protection Board,EDPB”) bağlayıcı uyuşmazlık çözümü kararının ardından, İrlanda Veri Koruma Komisyonu (Data Protection Commission, “DPC”) Instagram ile ilgili kararını kabul etti ve 405 milyon avro değerinde rekor bir GDPR cezası verdi. Cezanın yöneltildiği taraf ise Meta’nın İrlandalı yan kuruluşu olarak kabul edilen Meta Platforms Ireland Limited (“Meta IE”) olarak belirtiliyor.

Baş Denetim Otoritesi’nin (Lead Supervisory Authority, “LSA”) nihai kararı, Instagram’ın işletme hesabı özelliğini kullanan çocukların e-posta adreslerinin ve/veya telefon numaralarının kamuya açık olmasına ve soruşturma süresi boyunca çocukların kişisel Instagram hesapları için varsayılan olarak herkese açık bir ayarın var olmasına ilişkin bir soruşturmayı re‘sen takip ediyor.

EDPB Başkanı Andrea Jelinek, “Sadece para cezasının yüksekliği nedeniyle değil, GDPR’ın yürürlüğe girmesinden bu yana en yüksek ikinci para cezası ve çocukların veri koruma haklarına ilişkin AB çapındaki ilk karar olması nedenleri ile de bu karar tarihi bir karardır. EDPB, bu bağlayıcı kararla çocukları hedefleyen şirketlerin daha dikkatli olması gerektiğini açıkça ortaya koyuyor. Çocuklar, kişisel verileriyle ilgili olarak özel bir korumayı hak ediyorlar.” açıklamalarında bulundu.

LSA, DPC’ye ait birkaç ilgili denetim makamı (Concerned Supervisory Authorities “CSA’s”) tarafından ileri sürülen itirazlara ilişkin anlaşmazlık çözüm prosedürünü tetikledikten sonra EDPB’nin bağlayıcı kararı GDPR’ın 65. maddesi temelinde kabul edildi. Diğerlerinin yanı sıra, CSA’lar, işlemin yasal dayanağı ve para cezasının belirlenmesine ilişkin itirazlarda bulundular. DPC daha sonra anlaşmazlık çözüm sürecini takiben taslak kararında değişiklikler yaptı.

Ayrıca bu kararın EDPB’nin GDPR’ın temel direklerinden biri olan 6. madde uyarınca işlemenin yasallığını ele alan ilk bağlayıcı karar olduğu anlaşıldı ve EDPB, özellikle, sözleşmenin ifası ve meşru menfaatin yasal dayanaklarının uygulanabilirliği hakkında daha fazla açıklama sağladı.

Meta IE, Instagram işletme hesaplarını kullanan çocukların e-posta adreslerinin ve/veya telefon numaralarının yayınlanması için alternatif olarak bu iki yasal dayanağa güveniyordu. EDPB, LSA’nın söz konusu işlemenin bir sözleşmenin yerine getirilmesi için gerekli olduğu sonucuna varması için hiçbir neden bulunmadığını tespit etti. Sonuç olarak, Meta IE bu işleme için yasal bir dayanak olarak GDPR m. 6/1/b’ye güvenemezdi.

İşleme için alternatif bir yasal dayanak olduğu vurgulanan meşru menfaat ile ilgili olarak EDPB, çocukların e-posta adreslerinin ve/veya telefon numaralarının yayınlanmasının, işlemenin gereksiz olması veya gerekli görülmesi durumunda dahi meşru menfaati belirlemede dikkate alınan denge testini geçmemesi nedeniyle, GDPR m. 6/1/f kapsamındaki gereklilikleri karşılamadığını tespit etti.

EDPB son olarak LSA’ya GDPR’ın m. 83/1 ve 2. fıkraları uyarınca öngörülen idari para cezasını yeniden değerlendirme talimatı verdi. Bu aksiyonunda EDPB, ihlalin niteliği ve ciddiyetinin yanı sıra etkilenen ilgili kişilerin sayısını dikkate alarak ek ihlal için etkili, orantılı ve caydırıcı bir idari para cezası uygulamak ile idari para cezalarının nihai tutarlarının etkili, orantılı ve caydırıcı olmasını sağlamak amaçlarını güdüyor.

Mevcut karar, EDPB’nin aynı taraflar da dahil olmak üzere diğer olaylarda yapmasının talep edildiği herhangi bir değerlendirmeye halel getirmiyor.

IHG x TeaPea

Intercontinental Hotels Group (“IHG”) siber saldırıya uğradı: Holiday Inn, Crown Plaza ve Regent markaları dahil olmak üzere dünya çapında 6.000 otel işletmekte olan İngiltere merkezli IHG, BBC’ye yaptığı açıklamada kendilerini Vietnamlı bir çift olarak tanımlayan siber saldırganların, “eğlence olsun diye” siber saldırı gerçekleştirerek otel zincirinin verilerini sildiğini açıkladı.

Siber saldırganların ilk adımda bir fidye yazılımı saldırısı denedikleri, engellenmeleri üzerine ise yüksek miktarda veriyi sildikleri belirtildi. Vietnamlı çiftin, FTSE 100 firmasının “qwerty1234” şeklinde oldukça zayıf bir şifre kullanması nedeniyle veri tabanlarına kolayca erişebildiği anlaşıldı.

Veri sorumlularının siber güvenliklerini sağlamak amacıyla güçlü şifreler kullanması ve periyodik dönemlerde şifrelerini değiştirmeleri, alınabilecek en zahmetsiz ve maliyetsiz tedbir olarak karşımıza çıkmakta. Yaşanan bu olayla birlikte, gerekli idari ve teknik tedbirlerin alınması noktasındaki ihmalkârlığın siber saldırılara nasıl davetiye çıkardığı da bir kez daha gözler önüne serilmiş oldu.

Bir süre önce IHG, müşterilerinin geniş çapta rezervasyon ve kayıt problemi bildirmeye başlaması üzerine sosyal medyadan şirketin 24 saat boyunca “sistem bakım çalışması geçirdiğini” duyurmuştu. Bu duyurudan kısa bir süre sonra ise siber saldırıya uğradığını yatırımcılarına açıklayan IHG, Londra Menkul Kıymetler Borsası’na yaptığı resmi bildirimde de “rezervasyon kanallarının ve diğer uygulamaların ciddi anlamda kesintiye uğradığı” açıklamalarında bulundu.

Kendilerini TeaPea olarak adlandıran siber saldırganlar, şifreli bir mesajlaşma uygulaması olan Telegram vasıtasıyla BBC ile iletişime geçerek siber saldırılarına ilişkin kanıtları ekran görüntüsü olarak iletti. IHG’nin de doğruladığı bu görüntüler şirketin dahili Outlook maillerine, Microsoft Teams sohbetlerine ve sunucu rehberlerine erişim sağlandığını gösterdi.

TeaPea, “Saldırımız başlangıçta bir fidye yazılımı olarak planlanmıştı ancak şirketin Bilgi Teknolojisi (Information Technology, “IT”) ekibi biz dağıtma fırsatı bulamadan sunucuları izole etmeye devam etti. Dolayısıyla biz de biraz eğlenmek istedik ve onun yerine wiper saldırısı gerçekleştirdik.” şeklinde bir açıklamada bulundu.

Söz konusu wiper saldırısının, belgeleri ve dosyaları geri dönüştürülemez biçimde yok eden bir siber saldırı türü olduğu bilinmektedir.

Forescout’ta güvenlik başkan vekili olan siber güvenlik uzmanı Rik Ferguson, “Hassas verilere sadece işini görürken buna ihtiyacı olan çalışanların erişiminin olması gerekir, bu noktada da çalışanlar bu verilere minimum şekilde, ihtiyaç düzeyinde ulaşabilmelidir. Son derece karmaşık bir şifrenin açıkta bırakılması da en az basit bir şifre kadar güvensizdir” açıklamalarında bulunarak bir başka önemli idari ve teknik tedbir olan erişim yetkilendirmesine dikkat çekti.

İhlalin nasıl gerçekleştiğini anlatan TeaPea, IHG’nin bir çalışanını e-posta ekine eklenen kötü amaçlı yazılımın indirilmesi yoluyla dahili IT ağına erişim sağladıklarını ve iki faktörlü kimlik doğrulama sistemini atlattıklarını, dahili şifre kasalarına girdikleri anda ise en hassas şirket verilerine ulaşabildiklerini ekledi. BBC’ye yaptıkları açıklamalarda “Kasanın kullanıcı adı ve şifresi tüm çalışanlara açıktı. Yani 200.000 personel görebilirdi. Şifre de oldukça zayıftı.” ibareleri yer aldı.

American Airlines x Veri İhlali

Popüler hava yolu şirketi American Airlines (“AA” veya “Şirket”), yakın zamanda belirli sayıda hesap sahibi ve çalışanın temmuz ayında yapılan bir siber saldırının kurbanı olduklarını ve gelecekte benzer bir hadisenin yaşanmasını önlemek adına ellerinden geleni yaptıklarını duyurdu.

American Airlines etkilenen hesap sahiplerine ve çalışanlarına gönderdiği bildiride, kimliği belirsiz bir siber saldırganın American Airlines bünyesindeki belirli üyelere ait kişisel bilgilere erişebilmek için hesaplarını ele geçirdiğini keşfettiğini dile getirdi.

Bleeping Computer’ın konuyla ilgili haberine göre, American Airlines’ın kurumsal iletişimden sorumlu kıdemli müdürü Andrea Koos, siber saldırganların çalışan hesaplarını ele geçirmek için bir oltalama dolandırıcılığı (“phishing”) kampanyası yürüttüklerinden bahsetmekle birlikte saldırının nasıl yapıldığını ve tam olarak ne kadar sayıda hesap sahibi ve çalışanın veri ihlalinden etkilendiğini açıklamadı.

AA tarafından yapılan bildirimde siber saldırıdan; çalışan ve kullanıcılara ait isim, doğum tarihi, adres, telefon numarası, e-posta adresi bilgilerinin etkilendiğine değinildi. Bunun yanında ehliyet, pasaport bilgileri gibi resmi kimlik bilgileri ve/veya kullanıcı ve çalışanların vermiş oldukları belirli tıbbi bilgiler hakkında detaylara da erişildiği açıklandı.

Şirket, yakın gelecekte meydana gelebilecek benzeri hadiselerin önüne geçmek için ek teknik önlemleri uygulamaya geçirdi. Experian’ın resmi internet sayfasına göre Şirket, kullanıcıların ve çalışanların hesaplarını daha iyi korumak için kullanıcılara kimlik hırsızlığı ve kredi dosyalarına yetkisiz erişime karşı bir koruma sağlayan Experian Identity Works portalına ücretsiz olarak iki yıl üyelik sağladı. AA çalışanları ve hesap sahiplerinin, Experian’ın hesaplarını yalnızca kayıttan sonraki 48 saat içinde izleyebilecekleri de ayrıca vurgulandı.

Ne olmuştu?

American Airlines’ın daha öncesinde de veri ihlaline konu olduğu bilinmekte. CNN’in haberine göre, Şirket 2021 yılında Microsoft yazılımlarındaki bir ayarın yanlış yapılandırılmasından kaynaklanan bir veri ihlalinden etkilenen şirketler grubunun bir parçasıydı. UpGuard’a göre bu yanlış yapılandırma, milyonlarca insanın kişisel bilgilerinin aylarca ifşa edilmesiyle sonuçlanmıştı.

Optus x Veri İhlali

Avustralya’nın en büyük ikinci telekomünikasyon şirketi Optus, kötü niyetli bir siber saldırı nedeniyle potansiyel olarak milyonlarca müşterisinin kişisel bilgilerinin ele geçirilmesiyle büyük bir veri ihlali yaşadı. Saldırganların bir suç örgütü olduğu veya devlet destekli bir organizasyon için çalıştığına inanılıyor.

Avustralya Rekabet ve Tüketici Komisyonu tarafından yönetilen Scamwatch: “Bir Optus müşterisiyseniz, adınız, doğum tarihiniz, telefon numaranız, e-posta adresleriniz yayınlanmış olabilir. Bazı müşteriler için ehliyet veya pasaport numarası gibi kimlik bilgileri de suçluların elinde olabilir. Kimlik hırsızlığı riski altında olabileceğinizin farkında olmanız ve zararı önlemek için acil önlem almanız önemlidir.” açıklamalarında bulundu. Bunun yanındaödeme bilgilerinin ve hesap şifrelerinin tehlikeye atılmadığı, telefon hizmetlerinin güvenli bir şekilde çalıştığı açıklandı.

Optus, Avustralya’daki 9,7 milyon abonesinden ihlale konu olanların sayısını açıklamadı, ancak Optus’un CEO’su Kelly Bayer Rosmarin, sayının “önemli derecede” olduğunu belirtti.

Avustralya Bilgi Komiserliği Ofisi (The Office of the Australian Information Commissioner, “OIAC”) web sitesinde yaptığı açıklamada, “Bir hırsız, kişisel bilgilerinizin yalnızca küçük bir kısmına erişse bile, kamuya açık kaynaklardan hakkınızda daha fazla bilgi edinebilirse kimliğinizi çalabilir. Bu; doğum tarihinizi, fotoğraflarınızı ve ailenizle ilgili bilgileri içerebilecek sosyal medya hesaplarını da içerir. Kimlik dolandırıcılığı; birinin banka hesabı açmak, kredi kartı almak, pasaport başvurusunda bulunmak veya yasa dışı faaliyetlerde bulunmak için başka bir kişinin kimliğini kullanmasına neden olabilir.” ifadelerine yer verdi.

Optus, kişisel bildirimler göndererek ve üçüncü taraf izleme hizmetleri sunarak, tehlikeye girme riskinin yüksek olduğuna inandığı tüm müşterilerle iletişime geçeceğini açıklarken Scamwatch, Optus müşterilerine çevrimiçi hesap şifrelerini değiştirerek ve bankacılık için çok faktörlü kimlik doğrulamayı etkinleştirerek kişisel bilgilerini güvence altına almalarını tavsiye etti.

Scamwatch yaptığı açıklamada, “Saldırıdan etkilenen müşteriler banka hesaplarına limit koymalı, olağan dışı faaliyetleri izlemeli ve herhangi bir dolandırıcılıktan şüpheleniliyorsa kredi raporlarının yasaklanmasını talep etmelidir. Kimlik hırsızlığı riski altında olabileceğinizin farkında olmanız ve zararı önlemek için acil önlem almanız gerekmektedir. Dolandırıcılar, telefon, metin veya e-posta yoluyla sizinle iletişim kurmak için kişisel bilgilerinizi kullanabilir. Sizinle birdenbire iletişim kuran birinin yollamış olduğu bağlantılara asla tıklamayın ve bu kişilere kişisel veya finansal bilgiler vermeyin. Kimlik hırsızlığı riski altında olabileceğinizin farkında olmanız ve zararı önlemek için acil önlem almanız. Dolandırıcılar, telefon, metin veya e-posta yoluyla sizinle iletişim kurmak için kişisel bilgilerinizi kullanabilir. Sizinle birdenbire iletişim kuran birinin yollamış olduğu bağlantılara asla tıklamayın ve bu kişilere kişisel veya finansal bilgiler vermeyin.”  şeklinde tavsiyelerde bulundu.

İçişleri Bakanı Clare O’Neil, Avustralya Siber Güvenlik Merkezi’nin Optus’a teknik yardım sağladığını, Avustralya şirketlerinin ve kuruluşlarının siber suçlular ve düşman ülkeler tarafından sürekli olarak hedef alındığının farkında olduklarını dile getirdi.

O’Neil ayrıca, “Tüm Avustralyalılar ve Avustralyalı kuruluşların kendilerini çevrimiçi tehditlere karşı korumaya yardımcı olmak için siber savunmalarını güçlendirmeleri gerekiyor.” şeklinde açıklamada bulunarak siber saldırı mağduru olabileceklerinden endişe duyan kişilere cyber.gov.au adresini ziyaret etmelerini de tavsiye etti.

Morgan Stanley x SEC

Amerikan finans hizmetleri devi Morgan Stanley, 20 Eylül 2022 Salı günü veri güvenliği ihlalleri nedeniyle Menkul Kıymetler ve Borsa Komisyonu’na (Securities and Exchange Commission, “SEC”) 35 milyon dolarlık bir ceza ödemeyi kabul etti.

SEC’in şikâyetinde firma tarafından yaklaşık 1000 şifrelenmemiş sabit diskin (Hard Disk Drives, “HDD”) ve hizmet dışı bırakılan veri merkezlerinden yaklaşık 8000 yedekleme bandının silinmeden açık artırma sitelerinde yeniden satılmasına izin verildiğini belirterek 2016 yılında başladığı bildirilen cihazların uygunsuz şekilde imhasının 15 milyon müşterinin verilerini açığa çıkaran kapsamlı bir başarısızlığın parçası olduğunu bildirdi.

Morgan Stanley’nin, iddialara göre sabit diskleri imha etmek için dahili bir IT ekibi ile çalışmak yerine donanımla ilgilenmesi için depolama ortamını devre dışı bırakma konusunda hiçbir deneyimi olmadığı öne sürülen isimsiz bir üçüncü taraf taşıma şirketiyle anlaştığı ancak aralarındaki iş ilişkilerinin bozulması üzerine depolama cihazlarının silinmeden çevrimiçi açık artırmaya çıkarıldığı belirtildi.

Glasgow’da siber güvenlik hizmeti veren bir şirket olan Barrier Networks’ün Bilgi Güvenliği Şefi (Chief Information Security Officer, “CISO”) Jordan Schroeder, “Bu, sistem yaşam döngüsü yönetiminde köklü prosedürlere sahip olması beklenen dünyanın en prestijli bankalarından birinin yaptığı şaşırtıcı bir güvenlik hatasıdır.” dedi. Schroeder, “Diğer işletmeler bu durumu IT ekipmanının uygun şekilde imha edilmesine ilişkin süreçlere sahip olmanın neden kritik önem taşıdığına dair bir örnek olarak kullanmalıdır. IT sistemlerinin gizli bilgileri tutması sebebiyle verileri riske atmadan imha edebilecek güvenilir bir sağlayıcıyla çalışmak önemlidir. Bunu yapmayan herhangi bir şirket Avrupa Genel Veri Koruma Tüzüğü (General Data Protection Regulation, “GDPR”) ve diğer gizlilik tüzüklerini ihlal etmiş sayılabilir ve benzer cezalarla karşı karşıya kalabilir.” değerlendirmelerinde de bulundu.

Morgan Stanley, para cezasını ödemeyi kabul etmekle birlikte The Business Standard’a yaptığı açıklamada herhangi bir müşterinin etkilendiğine dair bir belirti olmadığını da dile getirdi.

Haber, Dünyada Neler Oluyor Bülteni’nin bir önceki sayısında da yer verdiğimiz, İrlanda Veri Koruma Komisyonu’nun (Ireland’s Data Protection Commission, “DPC”) çocukların verilerinin işlenmesi hususunda açtığı soruşturma kapsamında Instagram’a 405 milyon avro ceza kesmesinden sadece haftalar sonra ortaya çıktı.

Meta x Veri İhlali

Apple’ın 2021 yılında gizlilik kurallarını iOS kullanıcılarının üçüncü taraf uygulamalar tarafından yapılan tüm takipleri kolayca devre dışı bırakmasını sağlayacak şekilde güncellemesinin ardından çok sayıda kullanıcının uygulama içi takibi devre dışı bırakması sebebiyle Elektronik Sınır Vakfı (Electronic Frontier Foundation), Meta’nın ilerleyen yıl içerisinde10 milyar dolar gelir kaybettiğini bildirdi.

Görüldüğü üzere Meta’nın iş modeli, kullanıcı verilerinin reklam faaliyetleri için sirkülasyonda olmasına dayandığı için Meta’nın aniden ortaya çıkan bu gelir kaydının telafi edilebilmesi adına yeni yollar aramaya başladı.

Eski Google mühendisi Felix Krause yaptığı açıklamada; Meta’nın yaşadığı maddi kayıpların telafisi için bir kod enjekte ettiğini, bu kodun kullanıcıları tıkladıkları bağlantıları tarayıcı içinde açmaları için yönlendirdiğini ve harici web sitelerini değiştirmek ile kullanıcı izni olmadan şifreleri izlemek de dahil olmak üzere bu kodun herhangi bir web sitesinde yapılan her faaliyeti izlemeye olanak verdiğini iddia etti.

Yakın zamanda üç Facebook ve iOS kullanıcısının, Meta’yı gizlilik risklerini gizlemek, iOS kullanıcılarının gizlilik seçimlerini atlatmak ve Facebook veya Instagram’ın tarayıcısında görüntülenen üçüncü taraf web sitelerindeki tüm etkinlikleri yakalamak, izlemek, kaydetmek ve toplanan tüm bu verileri hedef/reklam çerez faaliyetleri için kullanmak ile suçlayarak, etkilenen tüm iOS kullanıcıları adına Meta’ya toplu dava açmaya hazırlandığı bildirildi.

Davacılar Meta’nın “uygulama içi tarayıcısı” aracılığıyla kullanıcıların bilgisi ve onayı dahilinde olmadan, kişisel olarak tanımlanabilir bilgilere, özel sağlık ayrıntılarına, metin girişlerine ve diğer hassas gizli bulgulara erişmek için gizli geçiş sağlayan bir sisteme sahip olduğunu belirterek bu iddiayı form girişleri ve ekran görüntüleri ile destekledi.

En son şikâyetler Kaliforniya ve Louisiana’dan yapıldı. Şikâyet dilekçesinde Meta’nın kullanıcı bilgilerini izinsiz toplama konusunda daha önce yaptığı yanlışlara işaret edilerek, Federal Ticaret Komisyonu soruşturmasının Meta’ya 5 milyar dolar ceza verilmesiyle sonuçlandığına dikkat çekildi.

Şikâyetlerde, Meta tarafından kullanıcıları “gizlice dinlemek” için kullanıldığı anlaşılan bu kod enjekte etme taktiğinin aslında JavaScript Enjeksiyon Saldırısı (JavaScript Injection Attack) olarak bilindiğini belirtildi. Bu sistemin, web sitesini veya web uygulamasını manipüle edilmesine ve kişisel olarak tanımlanabilir bilgilere veya ödeme bilgileri gibi hassas verilerin toplanmasına olanak tanıdığı özellikle vurgulandı.

Davacılar tarafından, başka bir popüler Meta uygulaması olan Whatsapp’ın aynı taktiği kullanmaması nedeniyle ilgili kod enjekte etme sürecinin güvenlik için olabileceği ihtimali reddedildi. Meta’nın, kullanıcıların verilerinin işletmelerden veya web sitelerinden nasıl toplandığını izleyebilecekleri Facebook dışı etkinlik ayarlarında, uygulama içi tarayıcı izlemesinden bahsetmediği de belirtildi. Şikâyetlerde, Meta’nın mevcut politikalarının da kasıtlı bir şekilde kullanıcıları karanlıkta bırakmak üzere kurgulandığı iddia edildi ve davada, Meta’nın üçüncü taraf web sitelerine bu kodu eklemeye başlamasından bu yana milyonlarca kullanıcının etkilenmiş olabileceği öne sürüldü.

Davacıların kazanması halinde bu durumdan etkilendiği kabul edilen her kullanıcının Dinleme Yasası’na göre (Wiretap Act) “ihlal edilen her gün için günde100 ABD doları veya 10.000 ABD dolarına kadar yasal tazminat” alabileceğine ve Çocukların İnternet Koruma Yasası’na (The Children’s Internet Protection Act, CIPA) aykırılık teşkil eden ihlallerde de “ihlal başına 5.000 ABD doları tutarında yasal tazminat” hakkına sahip olacağı bildirildi.