Veri sızıntısı nasıl yaşandı?
Boyner’in kampanya tanıtımı ve üyelik süreçleri için kullandığı SMS Gönderim Paneli’ne bir hacker 28.04.2023 tarihinde kullanıcı ismi ve şifre kullanarak giriş yaptığı tespit edildi. 06.05.2023 tarihi saat 19:36’ya kadar birden fazla çeşitli girişler tespit edildi. Bu girişlerde kullanıcı ismi ve şifre girişinde rastgele bir yanılgı olmadığı, sisteme erişen bireylerin hakikat kullanıcı ismi ve şifre kombinasyonu bilgisine sahip olduğunun düşünüldüğü; lakin bu kullanıcı ismi ya da şifre bilgisine nasıl sahip olunduğunun şimdi tespit edilemediği duyuruldu.
Boyner sızıntısında hangi bilgilere erişildi?
Boyner’in SMS Gönderim Paneli’ne kayıtlı toplam 2.313.962 kullanıcının cep telefonu numarasına erişildi. Kullanıcılardan 534.605 şahsa Medimart’ı taklit eden uydurma bir internet sitesinin linkini içeren kampanya SMS’i gönderildi. Bu linke tıklayarak alışveriş yapan kullanıcıların kimlik, irtibat ve kredi kartı bilgileri ele geçirilmeye çalışıldı.
Boyner’in bilgi ihlali bildiriminde şu sözlere yer verildi:
Veri sorumlusu sıfatını haiz Boyner Büyük Mağazacılık Anonim Şirketi (Boyner) tarafından Konseye iletilen bilgi ihlal bildiriminde özetle:
- Veri sorumlusunun, mevzuatın müsaade verdiği ve/veya gerektirdiği hususlarda bilgilendirmelerin yapılması ve ticari elektronik bağlantı müsaadesi veren müşterilerine ticari elektronik mesaj gönderilmesi maksatlarıyla toplu SMS ve MMS gönderimine yönelik iletileşme hizmetleri kullandığı; bu iletileşme hizmetinin data işleyenin sahibi olduğu internet sitesi üzerinde oluşturulmuş SMS Gönderim Paneli vasıtasıyla gerçekleştirildiği,
- Yapılan denetimlerde, SMS Gönderim Paneli üzerinden sunulan hizmetlere erişmek için kullanılan hesaplardan bir adedine ilişkin kullanıcı ismi ve şifresi kullanılarak birinci defa 28.04.2023 günü saat 18:15’te SMS Gönderim Paneli’ne kuşkulu giriş yapıldığı; 06.05.2023 tarihi saat 19:36’ya kadar da çeşitli kuşkulu girişler yapıldığının anlaşıldığı; bu girişlerde, rastgele bir yanlışlı şifre denemesi bulunmadığı görüldüğünden sisteme erişen şahısların yanlışsız kullanıcı ismi ve şifre kombinasyonu bilgisine sahip olduğunun düşünüldüğü; fakat bu kullanıcı ismi ya da şifre bilgisine nasıl sahip olunduğunun şimdi tespit edilemediği,
- SMS Gönderim Panelinde kayıtlı toplam 2.313.962 müşterinin bağlantı (cep telefonu numarası) ve müşteri süreç datalarına (ilgili müşteriye hangi pazarlama SMS’lerinin gönderildiği ve bu SMS’lerin ilgili müşteriye ulaşıp ulaşmadığı bilgisi) erişildiğinin anlaşıldığı; ayrıyeten bu bireylerin içerisinden 534.605 bireye, Media Markt Turkey Ticaret Ltd. Şti. tarafından işletilen “www.mediamarkt.com.tr” internet sitesini taklit eden düzmece bir internet sitesinin linkini içeren SMS’lerin gönderildiğinin anlaşıldığı,
- Bahse bahis geçersiz internet sitesi aracılığıyla, kullanıcıların kimlik, irtibat ve finansal bilgilerini toplamanın yanısıra, banka hesabı olmaksızın para gönderip almayı ve para yükleyip çekebilmeyi sağlayan bir uygulamadaki bir hesaba para gönderilmesinin amaçlandığı,
- Bununla birlikte SMS Gönderim Panelinde kayıtlı toplam 741.945 müşteriye ise, bu müşterilerin rastgele bir verisine erişim sağlanmaksızın, SMS Gönderim Paneli’nden daha evvel gönderilmiş SMS’lerin içerikleri değiştirilerek yine SMS gönderildiği;
- İhlalden varsayımı olarak 3.055.907 kişinin etkilendiği,
- İhlalin 28.04.2023 tarihinde başladığı ve 06.05.2023 tarihinde tespit edildiği,
- İlgili bireylerin bilgi ihlali ile ilgili bilgi sorumlusunun davet merkezi olan 444 2 967 telefon numarasından, boynerkvkk@boyner.com.tr e-posta adresinden ve yazılı olarak “Boyner Büyük Mağazacılık A.Ş. Büyükdere Cad. USO Center Binası No:245/2 34396 Maslak, Sarıyer/İstanbul” adresinden bilgi alabilecekleri
bilgilerine yer verilmiştir.