CATHAY PASİFİC AİRWAY LİMİTED HAKKINDA KİŞİSEL VERİLERİ KORUMA KURULUNUN 16.05.2019 TARİH

VE 2019/144 SAYILI KARAR ÖZETİ

Karar Tarihi : 16/05/2019
Karar No : 2019/144
Konu Özeti : Cathay Pasific Airway Limited'in veri ihlal bildirimi hakkında bilgilendirme
 
Cathay Pasific Airway Limited’in (Cathay Pasific) 25.10.2018 ve 08.03.2019 tarihlerinde Kurumuza intikal eden
yazılarında özetle;


 13.03.2018 tarihinde bilgisayar ağları üzerinden yolcu bilgilerini içeren bilgi sistemlerine yetkisiz erişim
gerçekleştiği,


 Şirket tarafından yapılan inceleme sonucunda yetkisiz erişimin 07.05.2018 tarihinde tespit edildiği,
 Saldırganın Cathay Pasific’in ortamına uzaktan eriştiği ve Müşteri Sadakat Sisteminin kısmi veri tabanı yedeği
olarak hitap edilebilecek belgeleri ele geçirdiği,


 Saldırgan tarafından, müşteri ödemesi ile işlem verisini görmek ve veri tabanının yedeğini dışarı almak
amacıyla web sitesi yönetici konsoluna ulaşıldığı,


 Cathay Pasific tarafından yapılan inceleme sonucunda ihlalin yetkisiz erişim nedeniyle olduğu ve kullanılan
araç, taktik ve prosedürlere dayanarak iki farklı grubun saldırısı olabileceğinden şüphelenildiği,


 Birinci Grup’un BRIO sunucusunu Müşteri Bilgi Sistemine ulaşmak için kullandığı,


 Cathay Pasific’in Birinci Grup’un Cathay ağına zorla girişini belirleyemediği,


 Birinci Grup’un ağ içerisinde yanlamasına hareket ettiklerinden şüphelenildiği,


 İkinci Grup’un Müşteri Sadakat Sistemi ve Online İş Hizmeti Platformunun yedek belgelerine ve web sitesi
yönetici konsoluna erişim sağlandığı,


 Bahse konu veri ihlalinden Cathay Pacific yolcularının kişisel verilerinin yanı sıra bağlı kuruluşu Hong Kong
Dragon Airlines Limited yolcuları ile Asia Miles ve Marco Polo Club üyelerinin kişisel verilerinin de etkilendiği,


 Şirket tarafından yapılan incelemede Türkiye’de toplam 1.286 kişinin söz konusu ihlalden etkilendiği, diğer
taraftan Türkiye’de toplam 155 kişinin pasaport numarasına erişildiği,


 Yetkisiz erişim sağlanmış olan kişisel veriler arasında yolcu ismi, uyruğu, doğum tarihi, telefon numarası,
elektronik posta adresi, pasaport numarası, kimlik kartı numarası, “frequent flyer” üyelik numarası, müşteri
hizmetleri notları ve geçmiş seyahat bilgileri bulunduğu, öte yandan erişilen kişisel veri türü ve sayısının
etkilenen her yolcu özelinde değişiklik gösterdiği,


 Veri ihlalinden etkilenen ilgili kişilere doğrudan (e-posta vb.) ve web sitesi
(“https://infosecurity.cathaypacific.com” adresi üzerinden) üzerinden ulaşmakta oldukları,


 Türkiye’ye özel 1 (bir) aylığına müşteri hizmetleri merkezi ve ücretsiz müşteri hattı ile ilgili kişilere özel “
infosecurity@cathaypacific.com” e-posta adresi tahsis edildiği,


ifadelerine yer verilmiştir.


Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 16.05.2019 tarih ve 2019/144 sayılı
Kararı ile;

 13.03.2018 tarihinde gerçekleşen ihlale ilişkin, şüpheli hareketlerden Cathay’ın Mart 2018 tarihinde haberdar
olmasına rağmen ihlalin yaklaşık 2 ay sonra 07.05.2018 tarihinde tespit edildiği, bu durumun bir güvenlik
açığı olduğu, öte yandan Şirket tarafından gerekli denetimlerin ve kontrollerin yapılmadığı,


 Şirket tarafından ihlalden önce alındığı belirtilen güvenlik önlemleri ve bildirim ekinde gönderilen kötücül
yazılımların listesi incelendiğinde; saldırganların sistemler üzerinde yatay bir şekilde hareket ederek Müşteri
Sadakat Sistemi (CLS), Online İş Hizmeti Platformu (EBSP), web sitesi yönetici konsolu (iRedeem), Müşteri
Bilgi Sistemi’ni (CIS) etkilenmesinin Şirket bünyesinde bulunan donanım ve yazılımların yapılandırmalarının
doğru bir şekilde yapılmadığının ve alınan güvenlik önlemlerinin yetersiz olduğunun göstergesi olduğu
hususları dikkate alınarak


- 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri
güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18 nci
maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 450.000 TL,


- Öte yandan Şirket tarafından 07.05.2018 tarihinde gerçekleşen siber saldırıya ilişkin Kurula 25.10.2018 tarihinde
bildirim yapılmasının, ihlalden etkilenen ilgili kişilere ise 25.10.2018 tarihinden itibaren bildirim yapmaya
başlanmasının, Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma
yükümlülüğüne aykırılık teşkil etmesi nedeniyle, Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca
Şirket hakkında 100.000 TL,


olmak üzere toplam 550.000 TL idari para cezası uygulanmasına, karar verilmiştir.


Kamuoyuna saygıyla duyurulur.