Yolcuların sıkça tercih ettiği havayolu şirketi SunExpress, hack iddialarıyla gündeme gelmişti. Şimdi ise şirketten ve KVKK’dan konuya ilişkin yanıt geldi. İşte tüm bildiklerimiz.
SunExpress, hack iddialarını yanıtladı
15 Temmuz tarihinde gerçekleşen saldırda, saldırganın toplamda 596.659 tekil e-posta adresine 1.986.293 e-posta gönderdiği tespit edildi. E-postaların büyük bir kısmı mevcut ve eski çalışanlara, 249.668’i ise müşterilere ait olduğu, geriye kalan 346.905 e-posta adresinin kime ait olduğu henüz belirlenemedi.
Şirket tarafından yapılan açıklamada, saldırıya maruz kalan hesapların ele geçirilmesinin ardından hızlı bir şekilde müdahale edildiği ve gerekli güvenlik önlemlerinin alındığı belirtildi.
SunExpress tarafından yapılan açıklama şu şekilde:
SunExpress olarak, müşterilerimize ait bilgilerin güvenliğini ve gizliliğini sağlamak önceliğimizdir. Müşterilerimizin kişisel verilerini onaylanmamış değişikliklere, kayıplara veya yetkisiz erişime karşı korumak için teknik ve organizasyonel veri güvenliği önlemleri alıyoruz.
15 Temmuz 2024 tarihinde hizmet sağlayıcılarımızdan birinin mesajlaşma sistemine yetkisiz erişim sağlandığını ve bazı müşterilerimize ve şahıslara SunExpress adı kullanılarak şüpheli e-postalar gönderildiğini tespit ettik. Hızla harekete geçerek sistemi güvence altına aldık ve kapsamlı bir inceleme başlattık.
SunExpress sistemleri bu durumdan etkilenmemiş veya herhangi bir şekilde ihlal edilmemiştir. Hizmet sağlayıcımızın sistemi üzerinden erişilen bilgiler, sadece kişilerin e-posta adreslerini içermektedir. Yetkisiz erişilen bilgiler arasında, özel kategorilerdeki kişisel veriler (örneğin sağlık verileri), hassas finansal veriler (kredi kartı numaraları gibi) veya şifreler yer almamaktadır.
Sistem üzerinden şüpheli e-postaların gönderildiği tespit edilen kişilerin tümü, konuyla ilgili tarafımızca bilgilendirilmiştir. Müşterilerimize bu tür şüpheli e-postaları açmamaları ve bağlantılara tıklamamaları konusunda dikkatli olmalarını tavsiye ediyoruz.
SunExpress Hava Yolları
Öte yandan KVKK tarafından da açıklama geldi. Açıklama şu şekilde:
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz Güneş Ekspres Havacılık A.Ş. (SunExpress) tarafından Kurula iletilen veri ihlal bildiriminde özetle;
- Bir siber saldırganın, bir yönetici hesabının giriş bilgilerini ele geçirerek veri sorumlusunun kullandığı kampanya yönetim platformuna yetkisiz erişim sağladığı ve bu hesap üzerinden oltalama amaçlı e-postalar gönderdiği,
- İhlalin 15.07.2024 tarihinde gerçekleştiği ve aynı gün tespit edildiği,
- Siber saldırganın, 596.659 tekil e-posta adresine toplamda 1.986.293 e-posta gönderdiği,
- İhlalden etkilenen ilgili kişi gruplarının; çalışanlar, müşteriler ve potansiyel müşteriler olduğu,
- İhlalden etkilenen kişisel veri kategorisinin iletişim (e-posta) bilgisi olduğu,
- Siber saldırganın e-posta gönderdiği 596.659 e-posta adresinin;
- 86 adedinin çalışanlara (mevcut ve eski çalışanlar), 249.668 adedinin müşterilere ait olduğu,
- 346.905 e-posta adresinin ise kaynağının bilinmediği ve siber saldırgan tarafından saldırı esnasında sisteme yüklenen e-posta adresleri olduğu,
- İlgili kişilerin, veri sorumlusunun internet sitesinde (https://www.sunexpress.com/tr-tr/verilerin-korunmasi/) yer alan form aracılığıyla veri ihlali hakkında bilgi alabilecekleri
bilgilerine yer verilmiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 18.07.2024 tarih ve 2024/1230 sayılı Kararı ile söz konusu veri ihlal bildiriminin Kurumun internet sitesinde ilan edilmesine karar verilmiştir.
Kamuoyuna saygıyla duyurulur.
Öne çıkan görsel kaynağı: Kevin Hackert / Unsplash
