Kişisel Bilgileri Müdafaa Kurumu (KVKK) tarafından yapılan açıklamaya nazaran MongoDB Limited şirketine yapılan hücum sonucunda bir data sızıntısı yaşandı. Bu sızıntıdan on binlerce Türk kullanıcının etkilenmiş olabileceği bilgisi paylaşıldı. İşte detaylar…
MongoDB’de data ihlali!
Bilmeyenler için MongoDB, açık kaynaklı bir NoSQL veritabanı uygulamasıdır. Geliştiriciler ve büyük kuruluşlar tarafından kullanılan bu data tabanı uygulaması, geçtiğimiz saatlerde gerçekleşen bir sızıntı ile kullanıcıları endişelendirdi.
MongoDB (şirket) tarafından yapılan açıklamaya nazaran bu sızıntı, bir firma çalışanının hesabına yetkisiz halde erişim sağlanmasıyla gerçekleşti. Aktarılanlara nazaran erişim sağlayan bu makûs niyetli kişi, dataların bir kopyasını indirdi.
MongoDB‘nin (şirket) KVKK ile paylaştığı bilgilere nazaran müşteri irtibat bilgileri ve ilgili hesaplara ilişkin meta bilgileri ele geçirildi. Bu ferdî bilgiler ortasında isim, soyad, e-posta adresi yer almışken, büyük şirketlerin kullandığı CRM uygulaması ve müşteri takviye uygulamasında daha fazla bilgi sızdırıldı. KVKK‘nın duyurusuna nazaran bu bilgi ihlalinden 130 bin ile 160 bin ortasında Türk kullanıcı etkilenmiş olabilir.
KVKK tarafından yapılan ilgili açıklama şu biçimde;
“Bilindiği üzere, 6698 sayılı Ferdî Dataların Korunması Kanununun “Veri güvenliğine ait yükümlülükler” başlıklı 12 nci hususunun (5) numaralı fıkrası “İşlenen ferdî dataların yasal olmayan yollarla öbürleri tarafından elde edilmesi hâlinde, bilgi sorumlusu bu durumu en kısa müddette ilgilisine ve Heyete bildirir. Şura, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği öbür bir prosedürle ilan edebilir.” kararını amirdir.
Veri sorumlusu sıfatını haiz MongoDB Limited tarafından Konseye iletilen data ihlal bildiriminde özetle;
Bir kullanıcı hesabının olağandışı ve kuşkulu sorgular yaptığının 13 Aralık 2023 tarihinde fark edildiği ve bunun üzerine araştırmanın derinleştirildiği,
Bilinmeyen üçüncü tarafın sonlu sayıda bilgi sorumlusu çalışanının kullanıcı hesaplarına yetkisiz erişim sağladığı ve bir kısım hizmetlerin kullanıcılarına ait ferdî datalara eriştiğine ve bu bilgileri indirdiğine dair bulgulara rastlandığı,
İncelemeler devam etmekle birlikte, müşteri irtibat bilgilerinin ve ilgili hesaplara ilişkin meta datalarının CRM uygulamasından ve müşteri takviye uygulamasından sızdırıldığının 20 Aralık 2023 tarihinde tespit edildiği,
Etkilenen ferdî datalar içerisinde isim, soyad, adres ve e-posta adreslerinin (genellikle iş adresi) bulunduğu; lakin CRM uygulaması ve müşteri dayanak uygulamasında bunlara ilaveten ayrıca data alanlarının da yer aldığı; bu bilgilerin;
CRM uygulamasında yer alan bilgi alanlarının; hitap, isim, soyad, unvan, hesap no, şirket ismi, adres, telefon numarası (esas, taşınabilir, fax), eposta, satış temsilcisi (MongoDB) ismi, soyadı,Müşteri Takviye uygulamasında yer alan bilgi alanlarının; kullanıcı ismi (e-posta adresi), son başarılı kimlik doğrulama vakti, kullanılan son kimlik doğrulama metodu, kullanıcının tercih ettiği saat dilimi için tanımlayıcı, kullanıcının tercih ettiği saat dilimi için alfabetik kod, kullanıcının kaydolma tarihi, kullanıcının ismi, soyadı, eşsiz kullanıcı ID, kullanıcının davet edildiği lakin şimdi daveti kabul etmediği bilgisi, kullanıcının sonlu müsaadeleri olduğu, sayfanın kullanıcı tarafından en son görüntülendiği vakit, bir kullanıcının oturum açma sayısı, kullanıcının otomatik yahut manuel olarak engellendiği ve kullanıcının silinip silinmediği bilgisi, silindiği vakit, e-posta doğrulama tarihi, e-posta doğrulama gerektirdiği bilgisi, alternatif eposta, çok faktörlü kimlik doğrulamayı aktifleştirdiği bilgisi,Kullanımdan kaldırılan çok faktörlü kimlik doğrulama (MFA) sisteminin kullanıcıları için yer alan data alanlarının; kullanımdan kaldırılan MFA için kullanılan telefon numarası, kullanımdan kaldırılan MFA için kullanılan telefon numarası uzantısı, kullanımdan kaldırılan MFA için kullanılan alternatif telefon numarası, kullanımdan kaldırılan MFA için kullanılan alternatif telefon numarası uzantısı, kullanımdan kaldırılan MFA için bir kimlik doğrulayıcı aygıtın kullanılıp kullanılmadığı, kullanımdan kaldırılmış MFA kullanıcısının sesli arama almak isteyip istemediği bilgisi
olduğu,
İhlalden Türkiye’den 130.000 ile 160.000 ortasında kullanıcının etkilenmiş olabileceği,
İhlal hakkında 16 Aralık 2023 tarihinde https://www.mongodb.com/alerts#general-alert adresinden kamuoyu duyurusu yayınlandığı,
İlgili bireylerin [email protected] elektronik posta adresinden ihlal ile ilgili bilgi alabileceği
bilgilerine yer verilmiştir.
Konuya ait inceleme devam etmekle birlikte, Şahsî Dataları Müdafaa Şurasının 28.12.2023 tarih ve 2023/2233 sayılı Kararı ile kelam konusu data ihlal bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.