CLİCKBUS SEYAHAT HİZMETLERİ A.Ş. HAKKINDA KİŞİSEL VERİLERİ KORUMA KURULUNUN 16.05.2019

TARİH VE 2019/141 SAYILI KARAR ÖZETİ

Karar Tarihi : 16/05/2019
Karar No : 2019/141
Konu Özeti : Clickbus Seyahat Hizmetleri A.Ş.'nin veri ihlal bildirimi hakkında bilgilendirme
 
Clickbus Seyahat Hizmetleri Anonim Şirketi’nin 07.02.2019 ve 29.03.2019 tarihlerinde Kurumumuza intikal eden
yazılarında özetle;


 Clickbus tarafından Amazon Web Services (AWS) tarafından internet sistemlerinden biri üzerinde zararlı bir
işlem olabileceğine ilişkin aldığı uyarı üzerine, internet platformları ile bağlantılı bazı şüpheli faaliyetlerin
tespit edildiği,


 Clickbus tarafından, bilgi sistemlerinde veri güvenliğini tehlikeye sokabilecek faaliyetlerden şüphelenilerek,
alanında uzman adli bilişim uzmanlarının yardımları ile iç inceleme başlatıldığı,


 Clickbus’ın görevlendirdiği adli bilişim uzmanlarının yaptıkları inceleme ile ilgili nihai bir rapor oluşturulduğu,


 Clickbus’ın adli bilişim uzmanlarının yardımlarını alarak gerçekleştirdiği ön incelemede, incelenen
sunucularda bazı zararlı dosyaların bulunduğu ve bazı meşru kaynak kod dosyalarının Clickbus’ın
sunucularına uzaktan erişim sağlanmasına izin veren zararlı kodları içerecek şekilde modifiye edildiğinin
tespit edildiği,


 Clickbus’ın AWS sisteminde yer alan log ve sistemler üzerinde yaptığı analiz sonrasında, Clickbus
kaynaklarından veri sızıntısının 25 Eylül 2018’den 25 Kasım 2018’e kadar geçen sürede gerçekleştiği
sonucuna varıldığı ifadelerine yer verilmiştir.


Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 16.05.2019 tarih ve 2019/141 sayılı
Kararı ile;


 Söz konusu ihlalden Türkiye’de yerleşik 67.519 kişinin etkilendiği,


 İhlalden etkilenmiş kişilerin farklı kategorilerde ve sayıda kişisel verileri arasında kimlik bilgileri (cinsiyet, ad,
soyad, T.C. kimlik numarası, doğum tarihi), iletişim bilgileri (cep telefonu ülke kodu, cep telefonu numarası,
sabit hat ülke kodu, sabit hat numarası, sabit hat uzantısı/dahilisi, e-posta adresi, sms gönderi izni, ticari
elektronik ileti izni), müşteri işlemleri (ödeme anahtarı, yolculuk numarası, sepet numarası, sipariş numarası,
toplam tutar, seyahat türü/kullanılacak araç, kalkış/varış yer ve saati, yolcu başına ücret referans numarası,
yolcu türü, oturum simgesi, hata sebebi (uygulanabilir olduğu ölçüde hangi doğrulama adımının hataya
sebep verdiği), segmentler), işlem güvenliği bilgileri (ödeme bilgileri; kart üzerinde yazan isim, kart numarası,
kartın son kullanma tarihindeki ay ve yıl, kart güvenlik kodu, taksit bilgisi, indirim kodu, seyahat sigortası
alınıp alınmadığına ilişkin bilgi, site kullanım koşullarının kullanılma bilgisi) verilerinin olduğu,


 İhlalin 25 Eylül 2018’den 25 Kasım 2018’e kadar geçen dönemde 2 (iki) ay boyunca devam etmesinin Şirket
tarafından gerekli denetimlerin ve kontrollerin yapılmadığının göstergesi olduğu,


 İhlalin 21 Kasım 2018 tarihinde tespit edilmesine rağmen 25 Kasım 2018 tarihine kadar 4 (dört) gün daha
devam etmesinin Şirket tarafından alınan idari tedbirlerin yeterince alınmadığının göstergesi olduğu,


 Söz konusu yetkisiz kişi veya kişilerin ayrıca Şirketin kaynak koduna (source code) ulaşarak değişiklik
yapmasının ciddi bir güvenlik açığı olduğu hususları dikkate alınarak


- 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri
güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18 nci
maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 450.000 TL,

- Öte yandan Şirket tarafından 21.11.2018 tarihinde tespit edilen siber saldırıya ilişkin Kurula 07.02.2019 tarihinde
bildirim yapılmasının, ihlalden etkilenen ilgili kişilere ise 25.02.2019 tarihinde bildirim yapılmasının; Kanunun 12 nci
maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil
etmesi nedeniyle Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca Şirket hakkında 100.000 TL,
olmak üzere toplam 550.000 TL idari para cezası uygulanmasına, karar verilmiştir.
Kamuoyuna saygıyla duyurulur.