Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Microsoft Corporation
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz olan Microsoft Corporation tarafından Kurumumuza gönderilen 08.05.2019 tarihli yazıda özetle;
- Microsoft’un bir hizmet sağlayıcısının bünyesinde çalışan çağrı destek yöneticisine ait kimlik bilgilerinin ele geçirildiği,
- Bu sayede Microsoft ile bağı olmayan kişilerin Microsoft kullanıcılarının e-posta hesaplarındaki bilgilere erişebildiği,
- İlgili yöneticinin Microsoft Politikası’na aykırı olarak, hesap login bilgilerini kendisine bağlı 13 destek temsilcisiyle paylaştığının tespit edildiği,
- İhlalin yöneticiye bağlı bu kişilerden birinin, e-dolandırıcılık saldırısına maruz kalması sonucu olabileceği gibi; doğrudan bu kişilerden birisinin fiili sonucunda gerçekleşmiş olabileceği,
- İhlal tespitinin ardından, hesap login bilgilerinin derhal sonlandırıldığı,
- İhlalden etkilenen Türkiye’de yerleşik kişi sayısının tahmini 1.820 olduğu,
- Bu yetkilendirilmemiş erişim neticesinde 01.01.2019 ve 28.03.2019 tarihleri arasında e-postaların veya eklerin içeriği hariç e-posta adresi, klasör adları, e-postaların konu satırları, iletişim kurulan diğer e-posta adreslerinin adına erişilmiş veya bu bilgilerin görüntülenmiş olabileceği,
- Türkiye’de etkilenen kişilerden sayıca çok az kısmının yukarıda sayılan bilgilere ek olarak, e-posta hesaplarının ekler de dahil içeriklerine yetkisiz kişiler tarafından erişilmiş olabileceği,
- İhlalin e-posta adreslerini içeriyor olması sebebiyle kullanıcıların e-dolandırıcılık (phishing) saldırılarına maruz kalma ihtimallerinin bulunduğu,
bilgilerine yer verilmiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 10.05.2019 tarih ve 2019/130 sayılı Kararı ile söz konusu veri ihlalinin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.
Kamuoyuna saygıyla duyurulur.
