Kişisel Verileri Koruma Kurumu (KVKK), ünlü havayolu şirketi Pegasus ’un resmi internet sitesinde siber saldırı nedeniyle veri ihlali yaşandığını açıkladı.
Özellikle son bir yılda iyice artan siber saldırı olaylarına bir yenisi daha eklendi. Son dönemde yemek sipariş siteleri, kripto para borsaları ve teknoloji şirketlerinde yaşanan siber aldırı olaylarına şimdi şimdi de bir havayolu şirketi olan Pegasus eklendi.
Ülkemizde faaliyet gösteren hava yolu şirketi Pegasus’un geçtiğimiz saatlerde siber saldırıya maruz kaldığı açıklandı.
KVKK siber saldırıyı duyurdu! Hangi bilgiler çalındı?
Kişisel Verileri Koruma Kurumu’nun resmi internet sitesinde yeni bir veri ihlali bildirisi yayınlandı. Açıklamada havayolu şirketi Pegasus’a siber saldırı düzenlediği belirtildi.
31 Mayıs’ta bilgi güvenliği istihbarat servisleri izleme araçlarıyla tespit edilen Pegasus’a yapılan bu siber saldırıdan sadece pilot ve kabin ekibi çalışanları etkilendi.
Pegasus pilotları ve kabin ekibi çalışanlarının isimleri, soy isimleri, telefon numaraları, e-posta adresleri, unvanları, geçmiş tarihlerde yapmış oldukları uçuşlar, uçuş bölgeleri, Fotoğraf ve imza görselleri gibi kişisel verileri çalındı.
Yaşanan siber saldırıdan kaç kişinin etkilendiği henüz bilinmiyor. İşte KVKK resmi internet sitesinden yayınlanan açıklama:
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz tarafından Pegasus Hava Taşımacılığı Anonim Şirketi tarafından Kurula iletilen veri ihlal bildirimlerinde özetle;
- Veri sorumlusu tarafından istihdam edilen uçuş ekiplerinin uçuş planlamalarının yapılması ve gerekli koordinasyonun sağlanması amacıyla kurulan servisin tarayıcı listeleme özelliğinin açık olması sebebi ile sistemlere yetkisiz erişim söz konusu olduğu,
- 21.03.2022 tarihinde söz konusu sistemde bulunan ve açık olduğu tespit edilen browser listening (tarayıcı listeleme) özelliğinin 24.03.2022 tarihinde kapatılarak güvenlik açığının giderildiği,
- İhlalin ise daha sonra bilgi güvenliği istihbarat servisleri izleme araçları üzerinden 31.05.2022 tarihinde tespit edildiği, ayrıca sosyal medya hesapları ve bazı internet sitelerinde, konu hakkında yetkisiz erişim yapan kişilerce kendilerini tanıtıcı metinler yayımlandığı,
- Yetkisiz erişim sağlayan üçüncü kişilerin paylaşımları üzerine, kendileri ile iletişime geçilerek, erişilen kişisel verilerin imha edilmesinin talep edildiği;
- İhlalden etkilenen kişisel verilerin kimlik, iletişim ve lokasyon kategorileri dahilinde; pilot ve kabin ekibi çalışanlarının adı, soyadı, telefon numarası, e-posta adresi, unvanı, geçmiş tarihlerde yapmış oldukları uçuş bilgileri, uçuş lokasyonları ile bu çalışanların bir kısmının fotoğraf ve imza görselleri olduğu,
- Veri ihlalinden etkilenen kişi sayısının henüz tespit edilemediği ve bu konuda çalışmaların devam ettiği
bilgilerine yer verilmiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 07.06.2022 tarih ve 2022/569 sayılı Kararı ile söz konusu veri ihlal bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.
Kamuoyuna saygıyla duyurulur.