‘İki faktörlü kimlik doğrulama’ sistemini uygulamayan şirkete ceza
–
Şirketin uğradığı siber saldırıya ilişkin Kurula yaptığı veri ihlal bildiriminde, kötü niyetli kullanıcılar tarafınca, başka internet sitelerinden elde edilen kullanıcı adı ve şifrelerin, internet sitelerindeki “üye girişi” bölümünden denenerek 29 müşterinin hesabına yetkisiz erişim gerçekleştiği açıklandı.
Bildirimde, ihlalden etkilenen 29 müşteriye ait “isim, soy isim, elektronik posta, telefon numarası, adres, satın alınan ürün” detaylarıne ulaşıldığı aktarıldı.
Bunun üzerine inceleme başlatan Kurul, şahsi Verilerin Korunması Kanunu’nun ilgili maddeleri uyarınca veri güvenliğini sağlamaya yönelik gerekli teknik tedbirleri almayan şirketin 75 bin lira idari para cezasına çarptırılmasına hükmetti.
– Karardan
şahsi hesaplara erişimde veri güvenliğinin sağlanması amacıyla kullanıcı kimliklerinin doğrulanması gerektiği belirtilen kararda, sorumlu şirketin veri ihlali öncesinde alması gereken güvenlik önlemlerinden olan “iki faktörlü kimlik doğrulama yöntemini” ihlal daha sonrasında yayına almayı planladığı dikkate alındığında veri güvenliğini sağlamaya yönelik gerekli teknik tedbirlere başvurulmadığı vurgulandı.
İhlalden etkilenen kişilerin şifrelerinin sadece rakamlar ya da harflerden oluştuğu vurgulanan kararda, müşterilerin hesap açılırken kuvvetli şifre oluşturmaya da zorlanmadığı kaydedildi.
Kararda, ihlal sırasında “web uygulama güvenlik duvarının” işlemin saldırı ya da normal kullanıcı girişi olup olmadığını tespit edene kadar siber saldırganların bazı hesaba yetkisiz erişim sağladığı, bunun da veri sorumlusunun uygulama güvenliğini sağlayamadığını gösterdiği ifade edildi.
Haber Sitelerinden Alıntı Yapılmıştır.
–
Şirketin uğradığı siber saldırıya ilişkin Kurula yaptığı veri ihlal bildiriminde, kötü niyetli kullanıcılar tarafınca, başka internet sitelerinden elde edilen kullanıcı adı ve şifrelerin, internet sitelerindeki “üye girişi” bölümünden denenerek 29 müşterinin hesabına yetkisiz erişim gerçekleştiği açıklandı.
Bildirimde, ihlalden etkilenen 29 müşteriye ait “isim, soy isim, elektronik posta, telefon numarası, adres, satın alınan ürün” detaylarıne ulaşıldığı aktarıldı.
Bunun üzerine inceleme başlatan Kurul, şahsi Verilerin Korunması Kanunu’nun ilgili maddeleri uyarınca veri güvenliğini sağlamaya yönelik gerekli teknik tedbirleri almayan şirketin 75 bin lira idari para cezasına çarptırılmasına hükmetti.
– Karardan
şahsi hesaplara erişimde veri güvenliğinin sağlanması amacıyla kullanıcı kimliklerinin doğrulanması gerektiği belirtilen kararda, sorumlu şirketin veri ihlali öncesinde alması gereken güvenlik önlemlerinden olan “iki faktörlü kimlik doğrulama yöntemini” ihlal daha sonrasında yayına almayı planladığı dikkate alındığında veri güvenliğini sağlamaya yönelik gerekli teknik tedbirlere başvurulmadığı vurgulandı.
İhlalden etkilenen kişilerin şifrelerinin sadece rakamlar ya da harflerden oluştuğu vurgulanan kararda, müşterilerin hesap açılırken kuvvetli şifre oluşturmaya da zorlanmadığı kaydedildi.
Kararda, ihlal sırasında “web uygulama güvenlik duvarının” işlemin saldırı ya da normal kullanıcı girişi olup olmadığını tespit edene kadar siber saldırganların bazı hesaba yetkisiz erişim sağladığı, bunun da veri sorumlusunun uygulama güvenliğini sağlayamadığını gösterdiği ifade edildi.
Haber Sitelerinden Alıntı Yapılmıştır.