Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Eliptik Yazılım ve Ticaret AŞ (BtcTurk)

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Eliptik Yazılım ve Ticaret AŞ (BtcTurk)

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

Veri sorumlusu sıfatını haiz olan Eliptik Yazılım ve Ticaret AŞ (BtcTurk) tarafından Kurumumuza gönderilen kişisel veri ihlali bildiriminde özetle;

  • 2018 yılında kimliği belirlenemeyen bir hacker grubu tarafından illegal bir veri paylaşımı sitesinde BtcTurk sistemlerinde yer alan bazı kişisel verilerin yayımlandığı,
  • Veri sorumlusunun sosyal medya platformları üzerinden konuya ilişkin etiketlenmesiyle olaydan haberdar olduğu ve konu hakkında inceleme başlattığı,
  • Yapılan inceleme ve denetim neticesinde, yayınlanan bu örnek verilerin iş ortaklığı içerisinde olunan kurumlar ile kişisel verilerin korunması kapsamında yapılan sözleşmelere uygun olarak paylaşılmasından önce, Temmuz 2018 tarihinde sistem dışına çıkartılan veri setlerinden birinin taslak hali (veritabanından alınan ilk hali) olduğunun değerlendirildiği, bahse konu veri setinin depolandığı ortamda oluşan bir güvenlik ihlali neticesinde şirket dışına çıktığının düşünüldüğü,
  • İhlalden etkilenen verilerin; kullanıcıların BtcTurk sistemlerinde kayıtlı kimlik verileri (ad-soyadı, doğum tarihi, TC Kimlik Numarası ve Kullanıcı numaraları / ID’si), kullanıcıların BtcTurk sistemlerinde kayıtlı, olay tarihinden önceki döneme ait iletişim verileri (e-posta adresi, cep telefonu numarası, adresi), kullanıcıların BtcTurk nezdindeki işlem güvenliği verileri (kullanıcıların olay tarihinden önceki döneme ait IP adresi, BtcTurk hesaplarına olay tarihinden önceki son giriş tarihi,  kullanıcıların, mevcut teknolojik imkânlarla geri döndürülemez şekilde PBKDF2 algoritması ile maskelenmiş olay tarihinden önceki döneme ait giriş şifreleri) olduğu,
  • İhlalden etkilenen kişi sayısının 516.954 olduğu,
  • İhlal ile ilgili bilgi almak isteyen ilgili kişilerin  “kisiselveri@btcturk.com” e-posta adresinden veya “Nispetiye Caddesi, Akmerkez E-Blok Kat:9 Beşiktaş/İstanbul” adresine iletecekleri talepler ile her zaman bilgi alabileceği

ifade edilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 18.05.2021 tarih ve 2021/502 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.