Kişisel Dataları Muhafaza Kurumu (KVKK) tarafından yapılan açıklamaya nazaran MongoDB Limited şirketine yapılan taarruz sonucunda bir data sızıntısı yaşandı. Bu sızıntıdan on binlerce Türk kullanıcının etkilenmiş olabileceği bilgisi paylaşıldı. İşte detaylar…
MongoDB’de data ihlali!
Bilmeyenler için MongoDB, açık kaynaklı bir NoSQL veritabanı uygulamasıdır. Geliştiriciler ve büyük kuruluşlar tarafından kullanılan bu bilgi tabanı uygulaması, geçtiğimiz saatlerde gerçekleşen bir sızıntı ile kullanıcıları endişelendirdi.
MongoDB (şirket) tarafından yapılan açıklamaya nazaran bu sızıntı, bir firma çalışanının hesabına yetkisiz biçimde erişim sağlanmasıyla gerçekleşti. Aktarılanlara nazaran erişim sağlayan bu berbat niyetli kişi, dataların bir kopyasını indirdi.
MongoDB‘nin (şirket) KVKK ile paylaştığı bilgilere nazaran müşteri bağlantı bilgileri ve ilgili hesaplara ilişkin meta dataları ele geçirildi. Bu ferdî bilgiler ortasında isim, soyad, e-posta adresi yer almışken, büyük şirketlerin kullandığı CRM uygulaması ve müşteri dayanak uygulamasında daha fazla bilgi sızdırıldı. KVKK‘nın duyurusuna nazaran bu data ihlalinden 130 bin ile 160 bin ortasında Türk kullanıcı etkilenmiş olabilir.
KVKK tarafından yapılan ilgili açıklama şu biçimde;
“Bilindiği üzere, 6698 sayılı Ferdî Bilgilerin Korunması Kanununun “Veri güvenliğine ait yükümlülükler” başlıklı 12 nci hususunun (5) numaralı fıkrası “İşlenen şahsî bilgilerin yasal olmayan yollarla öbürleri tarafından elde edilmesi hâlinde, bilgi sorumlusu bu durumu en kısa müddette ilgilisine ve Heyete bildirir. Heyet, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği diğer bir formülle ilan edebilir.” kararını amirdir.
Veri sorumlusu sıfatını haiz MongoDB Limited tarafından Şuraya iletilen data ihlal bildiriminde özetle;
Bir kullanıcı hesabının olağandışı ve kuşkulu sorgular yaptığının 13 Aralık 2023 tarihinde fark edildiği ve bunun üzerine araştırmanın derinleştirildiği,
Bilinmeyen üçüncü tarafın sonlu sayıda data sorumlusu çalışanının kullanıcı hesaplarına yetkisiz erişim sağladığı ve bir kısım hizmetlerin kullanıcılarına ait şahsî datalara eriştiğine ve bu dataları indirdiğine dair bulgulara rastlandığı,
İncelemeler devam etmekle birlikte, müşteri irtibat bilgilerinin ve ilgili hesaplara ilişkin meta bilgilerinin CRM uygulamasından ve müşteri dayanak uygulamasından sızdırıldığının 20 Aralık 2023 tarihinde tespit edildiği,
Etkilenen şahsî datalar içerisinde isim, soyad, adres ve e-posta adreslerinin (genellikle iş adresi) bulunduğu; lakin CRM uygulaması ve müşteri takviye uygulamasında bunlara ilaveten ayrıca bilgi alanlarının da yer aldığı; bu dataların;
CRM uygulamasında yer alan bilgi alanlarının; hitap, isim, soyad, unvan, hesap no, şirket ismi, adres, telefon numarası (esas, taşınabilir, fax), eposta, satış temsilcisi (MongoDB) ismi, soyadı,Müşteri Takviye uygulamasında yer alan data alanlarının; kullanıcı ismi (e-posta adresi), son başarılı kimlik doğrulama vakti, kullanılan son kimlik doğrulama sistemi, kullanıcının tercih ettiği saat dilimi için tanımlayıcı, kullanıcının tercih ettiği saat dilimi için alfabetik kod, kullanıcının kaydolma tarihi, kullanıcının ismi, soyadı, eşsiz kullanıcı ID, kullanıcının davet edildiği lakin şimdi daveti kabul etmediği bilgisi, kullanıcının sonlu müsaadeleri olduğu, sayfanın kullanıcı tarafından en son görüntülendiği vakit, bir kullanıcının oturum açma sayısı, kullanıcının otomatik yahut manuel olarak engellendiği ve kullanıcının silinip silinmediği bilgisi, silindiği vakit, e-posta doğrulama tarihi, e-posta doğrulama gerektirdiği bilgisi, alternatif eposta, çok faktörlü kimlik doğrulamayı aktifleştirdiği bilgisi,Kullanımdan kaldırılan çok faktörlü kimlik doğrulama (MFA) sisteminin kullanıcıları için yer alan data alanlarının; kullanımdan kaldırılan MFA için kullanılan telefon numarası, kullanımdan kaldırılan MFA için kullanılan telefon numarası uzantısı, kullanımdan kaldırılan MFA için kullanılan alternatif telefon numarası, kullanımdan kaldırılan MFA için kullanılan alternatif telefon numarası uzantısı, kullanımdan kaldırılan MFA için bir kimlik doğrulayıcı aygıtın kullanılıp kullanılmadığı, kullanımdan kaldırılmış MFA kullanıcısının sesli arama almak isteyip istemediği bilgisi
olduğu,
İhlalden Türkiye’den 130.000 ile 160.000 ortasında kullanıcının etkilenmiş olabileceği,
İhlal hakkında 16 Aralık 2023 tarihinde https://www.mongodb.com/alerts#general-alert adresinden kamuoyu duyurusu yayınlandığı,
İlgili bireylerin [email protected] elektronik posta adresinden ihlal ile ilgili bilgi alabileceği
bilgilerine yer verilmiştir.
Konuya ait inceleme devam etmekle birlikte, Şahsî Dataları Müdafaa Konseyinin 28.12.2023 tarih ve 2023/2233 sayılı Kararı ile kelam konusu bilgi ihlal bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.