KVKK, Getir ve Bitaksi için veri ihlali bildirimi yapmış oldu! – Haber Gönder

Bugün Kişisel Verileri Koruma Kurulu yada malum kısaltmasıyla KVKK, Getir Perakende Lojistik Anonim Şirketi ve Bitaksi Mobil Teknoloji Anonim Şirketi için veri ihlali bildirimi yapmış oldu. Özetlemek gerekirse uygulamalarda güvenlik açığı olduğu kullananların kişisel verilerinin çalındığını söylemiş oldu. İşte resmi açıklama…

KVKK, Getir ve BiTaksi için veri ihlali bildirimi yapmış oldu!

Meydana getirilen açıklamaya geçmeden ilkin özetlemek gerekirse özetleyecek olursak, BiTaksi’nin hacklenmediği belirtiliyor. Fakat 5 bin 98 Getir kullanıcısının kimlik, yazışma, hesap, alan şahıs işlem ve diğeri bilgilerinin ele geçirildiği söyleniyor.

KVKK tarafınca Getir ve BiTaksi için meydana getirilen veri ihlali bildirimi içinde şu duyuruya yer verildi:

“Bilinmiş olduğu suretiyle, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafınca elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sayfasında ya da uygun göreceği başka bir yöntemle duyuru edebilir.” hükmünü amirdir.

Veri sorumlusu sıfatını haiz Getir Perakende Lojistik Anonim Şirketi (Getir) ve Bitaksi Mobil Teknoloji Anonim Şirketi (BiTaksi) tarafınca Kurula iletilen veri ihlal bildirimi ve takip bildiriminde özetle;

• 11.03.2023 tarihinde Getir’in üst yönetimine ulaşan bir e-postada, kötü niyetli üçüncü bir şahsın BiTaksi (Getir’in kurucusu tarafınca kurulan bir teknoloji şirketi) kullanıcılarına ilişik bazı kişisel verileri elinde bulundurduğunu iddia etmiş olduğu ve örnek olarak bazı veri satırlarını paylaşmış olduğu,
• 23.03.2023 tarihinde bir Getir yetkilisine ve 25.03.2023 tarihinde Getir’in kurumsal e-posta adresine kötü niyetli üçüncü kişi tarafınca iletilen iki ayrı e-postada, darkwebde Getir hakkında kişisel verilerin ihlale uğradığına dair iddialara yer verildiği ve Getir müşterilerine ilişik olduğu iddia edilen kişisel veri içeren bağlantıların (URL) paylaşılmış olduğu,
• Darkwebde yer edinen içeriklerin Getir bünyesindeki müdahale ekibi tarafınca incelenmeye başlandığı; log kayıtlarının aktarıldığı yazılımların birinde yer edinen verilerin, ilgili darkweb gönderilerinde yer edinen verilerle örtüştüğünün tespit edilmiş olduğu,
• Öte taraftan, darkwebde paylaşılan verilerin Bitaksi sistemlerinde yer edinen verilerle örtüşmediği ve Bitaksi kullanıcılarının kişisel verilerinin ihlal edilmediği,
• İhlalden etkilenen kişisel verilerin, Getir kullanıcıları için; kimlik (ad, soyad, TC kimlik numarası, cinsiyet), yazışma (GSM numarası, e-posta adresi, teslimat adresi) hesap (Getir alan şahıs numarası ve hesap oluşturma zamanı), alan şahıs işlem (Getir uygulamasından verilen son sipariş zamanı ve numarası, sipariş verilen Getir dikeyi [Getir, Getir Büyük, Getir Yemek vb.], sipariş içinde ne olduğu, iptal edilen sipariş sayısı ve toplam sipariş sayısı), diğeri (Getir uygulamasına son giriş meydana getirilen tarih ve konum, Getir’e verilen yazışma izinleri) bilgiler olduğu, Getir bayilerine hizmet veren kuryeler için ise; kimlik (ad, soyad), yazışma (GSM numarası), görsel ve işitsel kayıtlar (profil fotoğrafı), diğeri (anlık konum bilgisi ve Getir çalışan numarası) bilgiler olduğu,
• İhlalden etkilenen tahmini kişi sayısının 5098 olduğu; bir tek etkilenen her veri kategorisinin tüm ilgili kişiler için geçerli olmadığı,
• İlgili kişilerin ihlal ile ilgili olarak [email protected] e-posta adresinden yada Etiler Mah. Tanburi Ali Efendi Sok. Maya Residences Sitesi, T Blok, No:13 İç Kapı NO:334 Beşiktaş/İstanbul adresinden data alabilecekleri

Mevzuya ilişkin araştırma devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 30.03.2023 tarih ve 2023/496 sayılı Sonucu ile söz mevzusu veri ihlal bildiriminin Kurumun web sayfasında duyuru edilmesine karar verilmiştir. Kamuoyuna saygıyla duyurulur.”