FACEBOOK HAKKINDA KİŞİSEL VERİLERİ KORUMA KURULUNUN 18.09.2019 TARİH VE 2019/269 SAYILI
KARAR ÖZETİ
Karar Tarihi : 18/09/2019
Karar No : 2019/269
Konu Özeti : Facebook “Başkasının Gözünden Gör” uygulaması üzerinden gerçekleşen veri ihlali hakkında
Karar
Facebook temsilcisi tarafından Kurumumuza gönderilen 14.10.2018 tarihli e-posta ile Facebook sisteminin
birbirinden farklı üç özelliği olan “başkasının gözünden gör”, “doğum günü kutlayıcı” ve “video yükleyicinin”
etkileşimi sonucunda oluşan bir hatadan kaynaklanan veri ihlaline ilişkin bilgi verilmiştir. Facebook temsilcisinin
göndermiş olduğu e-postada özetle;
Facebook Inc. nezdinde 14-28 Eylül 2018 tarihleri arasında access token (erişim jetonları) kullanılmak
suretiyle Facebook platformları üzerinden çeşitli Facebook hesabı bilgilerinin ele geçirildiği,
25 Eylül 2018 tarihinde saldırganların erişim jetonları elde etmek için sistemleri üzerindeki üç hata arasındaki
kompleks etkileşimden doğan bir zafiyetten faydalandıklarının tespit edildiği,
Erişim jetonlarının, aynı dijital bir anahtar gibi, Facebook platformları üzerinden çeşitli bilgilerin elde
edilebilmesi için kullanıldığı,
İncelemeler sonucunda, ilgili zafiyetin Facebook’un kodu içerisinde 21 Temmuz 2017 tarihinde meydana
geldiğinin tespit edildiği, ancak erişim jetonlarına yetkisiz olarak erişilmesine sebep olan bu saldırının 14 Eylül
2018 tarihinde başladığı kanaatini taşıdıkları, zira (25 Eylül 2018 tarihinde gerçekleştirilen incelemeler
kapsamında) beklentinin üzerinde bir “View As” (Başkasının Gözünden Gör) trafiği artışının bu tarihte
başladığının tespit edildiği,
28 Eylül 2018 tarihinde kod üzerindeki zafiyetin düzeltilerek saldırının durdurulduğu, bununla birlikte ihlal
hakkındaki incelemelerin devam ettiği,
İlgili zafiyetin, üç ayrı hatanın birbiri ile etkileşiminin bir sonucu olarak meydana geldiği, buna göre etkileşen
üç hatanın; 1) “Başkasının Gözünden Gör” ara yüzünün, kullanıcıların kendi profillerinin başkaları tarafından
nasıl görüntülendiğini görebildiği bir gizlilik özelliği olduğu, “Başkasının Gözünden Gör” özelliğinin yalnızca bir
görüntüleme arayüzü olarak tasarlandığı, ancak kişilerin Facebook’a içerik yüklemesini sağlayan bir kutucuk
(composer) üzerinden (spesifik olarak, kişilerin arkadaşlarının doğum günlerini kutlamalarını sağlayan
versiyon üzerinden) “Başkasının Gözünden Gör” arayüzünde video yüklenmesi imkanının yanlışlıkla
sağlandığı, 2) Video yükleyicisinin Temmuz 2017’de hayata geçirilen yeni bir versiyonunun (ilk hata sebebiyle
uygulamaya konulan yeni arayüz), hatalı bir şekilde, Facebook mobil uygulamasının izinlerini taşıyan bir
erişim jetonu oluşturduğu, bu erişim jetonunun sayfanın HTML kodunda görüntülenmekte olduğu, 3) Video
yükleyicisinin “Başkasının Gözünden Gör” ekranının bir parçası olarak görüntülendiğinde, görüntüleyene ait
erişim jetonu yerine görüntülediğiniz kullanıcıya ait erişim jetonunu oluşturduğu, ve bu üç hatanın bir araya
gelmesi ile ilgili zafiyetin ortaya çıkığı, kişinin bir arkadaşının gözünden profilini görüntülemesini sağlayan
“Başkasının Gözünden Gör” özelliğini kullanırken, uygulama kodunun kişilerin başkalarının doğum gününü
kutlamalarını sağlayan kutucuğu kaldırmadığı, video yükleyicisinin yaratmaması gerekirken bir erişim jetonu
yarattığı ve yaratılan erişim jetonunun kullanıcının kendisine değil görüntülenen kişiye ait olduğu,
İlgili erişim jetonunun ise sayfanın HTML kodu üzerinden görüntülenebildiği, saldırganların bu erişim
jetonunu buradan elde etikleri, daha sonra saldırganların bu erişim jetonunu kullanarak bir diğer hesaba
eriştikleri ve aynı adımları izleyerek bu hesapla ilişkili olan diğer hesapların erişim jetonlarını ele
geçirdikleri,ifadelerine yer verilmiştir.
Facebook temsilcisi tarafından gönderilen 14.10.2018 tarihli e-postada bilgilendirmenin takip eden hafta içinde yazılı
olarak Kurula arz edileceğinin ifade edilmesine rağmen 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12
nci maddesinin (5) numaralı fıkrasında yer alan “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından
elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir….” hükmü uyarınca
Facebook tarafından Kurul’a herhangi bir bildirim yapılmamıştır. Bunun üzerine Kurul, Kanun’un 15 nci maddesinin
(1) numaralı fıkrasında yer alan “Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına
giren konularda gerekli incelemeyi yapar.” hükmü kapsamında resen inceleme yapma kararı almıştır.
Kurul tarafından yapılan inceleme neticesinde,
1. Veri ihlalinin, Facebook sisteminin birbirinden farklı üç özelliği olan Başkasının Gözünden Gör modu, Doğum Günü
Kutlayıcı ve Video Yükleyicinin etkileşimi sonucunda oluşan bir zafiyetten kaynaklandığı, bu durumun bir
kullanıcının kendi profilini Başkasının Gözünden Gör modunda görüntülediğinde;
a. Gelen ekranda kullanıcının doğum gününün görünür olduğu arkadaşlarına doğum günü mesajı
gönderme opsiyonunun verildiği,
b. Doğum günü mesajı gönderme opsiyonunun Video Yükleyici ile kullanıldığı takdirde, Başkasının
Gözünden Gör modu için video yükleyicisinin bir erişim jetonu ürettiği,
c. Bu erişim jetonunun doğum günü mesajının gönderileceği kullanıcının arkadaşına ait olduğu,
d. Üretilen bu erişim jetonu sonucunda karşı tarafın profil bilgilerini elde etmek üzere kullanılabildiği,
göz önünde bulundurulduğunda, bu tip hataların test aşamasında tespit edilerek değişiklik yayına alınmadan evvel
düzeltilmesi gerektiği dikkate alınarak Şirketin bahse konu veri ihlali kapsamında Kanunun 12 inci maddesinin (1)
numaralı fıkrasında belirtilen teknik ve idari tedbirleri almakta kusurlu olduğu,
2. İlgili zafiyetin 21 Temmuz 2017 tarihinden 27 Eylül 2018 tarihine kadar yaklaşık 14 ay boyunca devam etmesinin
gerekli denetim ve kontrollerin yapılmadığının göstergesi olduğu, bu durumun ise 6698 sayılı Kanunun 12 inci
maddesinin (1) ve (3) numaralı fıkralarında belirtilen tedbirlerin alınması hususunda Facebook’un kusurlu
olduğunu gösterdiği,
3. İlgili zafiyetten kaynaklı olarak ihlalin 14 - 27 Eylül 2018 tarihleri arasında 13 gün boyunca gerçekleştiği Şirket
tarafından belirtilmiş olup,
a. 27 Eylül 2018 tarihinde güvenlik açığına yönelik yama geliştirildiği ancak 25 Eylül 2018 tarihinde
Facebook tarafından ihlalin tespit edilmesine rağmen 2 gün boyunca ihlalin devam ettiği,
b. 28 Eylül 2018 tarihinde geçici olarak “Başkasının Gözünden Gör” özelliğinin bütünüyle devre dışı
bırakıldığı, bahse konu devre dışı bırakma işleminin tespitten itibaren 3 gün sonra yapılmış olduğu,
c. Potansiyel olarak etkilendikleri belirlenen hesaplara ait erişim jetonlarının (yaklaşık 90 milyon) 27
Eylül 2018 tarihinden başlayarak 29 Eylül 2018 tarihine kadar devre dışı bırakıldığı,
d. 14 Eylül 2018 tarihinde başlamış olan olağandışı bir aktivite sonrası ihlalin tespit edilmiş olduğu,
olağandışı aktivitenin olmadığı 21 Temmuz 2017 - 14 Eylül 2018 tarihleri arasında da veri ihlalinin
gerçekleşmiş olabileceği
göz önüne alındığında, ihlale zamanında müdahale edilmediği ve bu konuda teknik ve idari tedbirlerin alınmasında
eksikliklerin göstergesi olduğu, bu durumun ise veri sorumlusunun Kanunun 12 inci maddesinin (1) numaralı
fıkrasında belirtilen teknik ve idari tedbirleri almakta kusurlu olduğunu gösterdiği,
4. İhlalinden etkilenen ve Facebook’u Türkçe olarak kullanan 280.959 kullanıcıdan;
133.510 kullanıcının (Grup 1) temel profil bilgilerine (isim, telefon numarası veya eposta bilgileri)
ulaşıldığı,
143.974 kullanıcı (Grup 2) için yukarıda yer alan temel profil bilgilerine ek olarak, aşağıda yer alan
bilgilere de erişilmiş olunabileceği (ilgili alanlarda kullanıcı tarafından bilgi sağlanmış olması şartıyla);
o Kullanıcı adı, Ad [profilinde kullanıcı tarafından belirlenmiş olan takma ad (eğer mevcutsa)]
o Cinsiyet [kullanıcı tarafından profilde belirlendiği üzere]
o Yerel ayarlar [kullanıcı tarafından seçilen dil]
o İlişki durumu [kullanıcı tarafından profilde belirlendiği üzere]
o Din bilgisi [kullanıcı tarafından profilde tanımlandığı üzere]
o Memleket [kullanıcı tarafından profilde belirlendiği üzere]
o Konum [yaşanılan şehir, kullanıcı tarafından profilde belirlendiği üzere]
o Doğum günü [kullanıcı tarafından profilde belirlendiği üzere]
o Cihazlar [kullanıcı tarafından Facebook’a erişmek için kullanılan cihazlar – alanlar işletim
sistemi (örn. iOS) ve donanım (örn. iPhone) bilgilerini içermektedir]
o Eğitim geçmişi [kullanıcı tarafından profilde belirlendiği üzere]
o İş geçmişi [kullanıcı tarafından profilde belirlendiği üzere]
o Web sitesi [kullanıcı tarafından profilinde yer alan web sitesi alanına girilmiş olan sayfa
adları]
o Kimlik doğrulama [bu, Facebook’un ilgili kullanıcının söylediği kişi olduğuna dair kuvvetli
göstergelere sahip olduğunu gösteren bir işareti ifade eder]
o Kullanıcının son zamanlarda bulunduğunu bildirdiği yerlerin listesi [bu yerler gönderilerin
içinde geçen yer isimlerinden belirlenmektedir (önemli bir yapı ya da bir restoran gibi) ve bir
cihazdan sağlanan konum bilgisi değildir]
o Facebook’ta son zamanlarda yapılan aramalar
o Kullanıcının takip ettiği 500’e kadar başlıca hesaplar
3.475 kullanıcının (Grup 3) ise ilk iki grubun erişilen veri türlerine ilave olarak profil sayfalarındaki
verilerinin de riske maruz kaldığı, göz önünde bulundurulduğunda, Facebook kullanıcılarına ait kişisel
verileri ile özel nitelikli kişisel verilerine bu zafiyeti kullanan kişiler tarafından erişilebildiği, bu
durumun “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli
Önlemler” ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 2018/10 sayılı Kararının (3)
numaralı maddesine ve Kanunun 12 inci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği,
2. İhlalden etkilenen kişilere ait çok sayıda kişisel verilerin elde edildiği dikkate alındığında, bu verilere yetkisiz
bir şekilde erişenler tarafından ilgili kişiler hakkında profilleme yapılabileceği ve bu faaliyetlerin bu kişilerin
aleyhine bir sonuç oluşturabileceği,
3. Veri ihlali hakkında Facebook tarafından Kurum’a bildirim yapılmadığı, tespit edilmiş olup, bu kapsamda
Şirketin bahse konu veri ihlali kapsamında Kanunun 12 inci maddesi (1) numaralı fıkrasında belirtilen
teknik ve idari tedbirlerde kusurunun bulunması nedeniyle, Kanunun 18 inci maddesinin (1) numaralı
fıkrasının (b) bendi uyarınca Şirket hakkında 1.150.000 TL,
Söz konusu veri ihlalinin 25 Eylül 2018 tarihinde tespit edilmesine rağmen Kanunun 12 nci
maddesinin (5) numaralı fıkrası gereğince veri ihlali hakkında Kuruma bildirim yapılmadığı hususu da
dikkate alınarak, Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi
kapsamında 450.000 TL, idari para cezası uygulanmasına, oy birliğiyle karar verilmiştir.