KFN Haberleri: KVKK’dan Mango Açıklaması: Milyonlarca Kişi Etkilendi!
Kişisel Verileri Koruma Kurumu (KVKK), Türkiye'de faaliyet gösteren MANGO TR GİYİM SANAYİ VE TİCARET A.Ş. (Mango) hakkında, milyonlarca müşterisini etkileyen dev bir veri ihlali nedeniyle idari para cezası kararı aldığını duyurdu. Kurumun resmi internet sitesinde yayınlanan karara göre, 2.7 milyondan fazla kişinin verilerinin sızdığı tespit edildi.Bu karar, Türkiye'de son dönemde yaşanan en büyük veri ihlallerinden birini resmiyete kavuşturdu. KVKK, yaptığı inceleme sonucunda şirketin veri güvenliğini sağlamada yetersiz kaldığına hükmetti.
İhlal Nasıl Gerçekleşti?
KVKK'nın yayınladığı karar özetine göre, olay 2023 yılının Ekim ayında şirketin sunucularına yönelik bir siber saldırı (unauthorized access) sonucu meydana geldi. Saldırganlar, Mango'nun müşteri veritabanına erişim sağlayarak milyonlarca kullanıcının kişisel bilgilerini ele geçirdi.Şirket, ihlali fark etmesinin ardından durumu KVKK'ya bildirdi. Kurul, yaptığı detaylı incelemenin ardından "veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almadığı" gerekçesiyle şirkete yaptırım uygulama kararı aldı.
Hangi Veriler Sızdırıldı? Milyonlarca Kişi Risk Altında
KVKK'nın açıklaması, ihlalin boyutunun ne kadar ciddi olduğunu gözler önüne serdi. Toplam 2.730.040 kişinin bu sızıntıdan etkilendiği belirtildi.Siber saldırganlar tarafından ele geçirilen ve milyonlarca müşteriyi risk altına sokan veriler şunlar:
- Kimlik Bilgileri: Ad, soyadı, T.C. kimlik numarası (maskeli), doğum tarihi ve cinsiyet.
- İletişim Bilgileri: Cep telefonu numaraları (şifrelenmiş veya maskelenmiş) ve e-posta adresleri.
- Müşteri İşlem Bilgileri: Mağaza kodu ve adı, kart numarasının ilk 6 ve son 4 hanesi (maskeli), sipariş tarihi, sipariş tutarı ve satın alınan ürün bilgileri.
Veri Güvenliği Yetersiz Bulundu
KVKK'nın kararında en çok dikkat çeken nokta, şirketin veri güvenliği konusundaki eksiklikleri oldu. Kurul, Mango'nun Kanun'un 12. maddesinin (1) numaralı fıkrasında belirtilen "veri güvenliğini sağlama" yükümlülüğünü yerine getirmediğini tespit etti.Bu eksiklikler arasında, siber saldırganların veritabanına erişimini engelleyecek yeterli düzeyde teknik altyapının (güvenlik duvarı, sızma testi, erişim logları vb.) bulunmaması veya etkin kullanılmaması gibi faktörlerin rol oynadığı düşünülüyor.
Mango'ya 4 Milyon TL Para Cezası
Bu kapsamlı incelemenin sonucunda Kişisel Verileri Koruma Kurulu (KVKK), MANGO TR GİYİM SANAYİ VE TİCARET A.Ş.'ye toplam 4.000.000 TL idari para cezası uygulanmasına karar verdi.Bu ceza, şirketin milyonlarca müşterisinin verisini korumada başarısız olmasının bir sonucu olarak kayıtlara geçti.
Uzmanlar, bu kadar büyük bir veri setinin sızmasının ardından, özellikle e-posta ve telefon numarası gibi bilgilerin "oltalama" (phishing) saldırılarında kullanılabileceği konusunda vatandaşları uyarıyor. Mango müşterilerinin, şirket adını kullanarak gelen şüpheli e-posta ve SMS'lere karşı ekstra dikkatli olmaları gerekiyor.
Peki Siz Bu Konuda Ne Düşünüyorsunuz?
