PTT’de kritik bir veri ihlali yaşandı. Posta ve Telgraf Teşkilatı’na (PTT) yönelik olarak veri ihlali gerçekleştirildiği bildirildi. PTT Biriktirme ve Yardım Sandığı’na zararlı yazılımlar aracılığıyla yapılan yetkisiz erişimde, PTT çalışanlarının kişisel bilgilerinden oluşan veri tabanının ele geçirildi.
PTT Biriktirme ve Yardım Sandığı’ndan konuya dair Kişisel Verileri Koruma Kurumu’na (KVKK) yapılan açıklamada, yaşanan veri ihlaline ilişkin olarak özetle şu bilgiler verildi:
- Zararlı yazılımlar vasıtasıyla üyelerin bilgilerinin bulunduğu sisteme yetkisiz erişim sağlandı.
- Yetkisiz kişiler tarafından, anne kızlık soyadı, cilt seri no gibi PTT çalışanlarının kişisel verilerinin, 3.2 GB veri tabanı yedeğinin ve sitenin tüm dosyalarının ele geçirildiği iddia edildi.
İNCELEMELER SÜRÜYOR
- İhlal, 29.08.2022 ile 30.08.2022 tarihleri arasında gerçekleşti ve 30.08.2022 tarihinde tespit edildi.
- İhlalden etkilenen kişisel veriler, kimlik ve üyelik işlemlerine ait bilgilerden oluştu.
- İhlalden yaklaşık 38 bin kayıt etkilendi.
- PTT’de yaşanan veri ihlali ile ilgili çalışmalar ve incelemeler devam ediyor.
Kişisel Verileri Koruma Kurulu’ndan (KVKK) yapılan açıklamada şu ifadelere yer verildi:
“Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Posta ve Telgraf Teşkilatı Biriktirme ve Yardım Sandığı tarafından Kurula iletilen veri ihlal bildiriminde özetle;
Zararlı yazılımlar vasıtasıyla üyelerin bilgilerinin bulunduğu sisteme yetkisiz erişim sağlandığı,
Yetkisiz kişiler tarafından, anne kızlık soyadı, cilt seri no gibi PTT çalışanlarının kişisel verilerinin, 3.2 gb veri tabanı yedeğinin ve sitenin tüm dosyalarının ele geçirildiğinin iddia edildiği,
İhlalin 29.08.2022 ile 30.08.2022 tarihleri arasında gerçekleştiği ve 30.08.2022 tarihinde tespit edildiği,
İhlalden etkilenen kişisel verilerin kimlik ve üyelik işlemlerine ait bilgiler olduğu,
İhlalden yaklaşık 38.000 kaydın etkilendiği,
İhlal ile ilgili çalışmaların devam etmekte olduğu bilgilerine yer verilmiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 01.09.2022 tarih ve 2022/891 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.”
