Amerikan teknoloji şirketi Microsoft, Kişisel Verileri Koruma Kuruluna, çağrı destek yöneticisine ait kimlik bilgilerinin ele geçirilmesi nedeniyle Türkiye’deki 1820 kişinin e-posta adreslerine yetkisiz kişilerce erişildiğini bildirdi.
1-
Microsoft, veri sorumlusu sıfatıyla yaşanan bir veri ihlalini, Kişisel Verilerin Korunması Kanunu’nun 12. maddesindeki hüküm gereğince Kurula iletti.
2-
Veri ihlali bildiriminde, Microsoft’un bir hizmet sağlayıcısının bünyesinde çalışan çağrı destek yöneticisine ait kimlik bilgilerinin ele geçirildiği, bu sayede Microsoft ile bağı olmayan kişilerin Microsoft kullanıcılarının e-posta hesaplarındaki bilgilere erişebildiği belirtildi.
3-
İlgili yöneticinin Microsoft politikasına aykırı olarak, “hesap login” bilgilerini kendisine bağlı 13 destek temsilcisiyle paylaştığının tespit edildiği aktarılan bildirimde, ihlalin yöneticiye bağlı bu kişilerden birinin, e-dolandırıcılık saldırısına maruz kalması sonucu olabileceği gibi doğrudan bu kişilerden birisinin fiili sonucunda gerçekleşmiş olabileceği de ifade edildi.
4-
İhlalden etkilenen kişi sayısı
İhlal tespitinin ardından “hesap login” bilgilerinin derhal sonlandırıldığı belirtilen Microsoft’un bildiriminde, ihlalden etkilenen Türkiye’deki kişi sayısının tahmini bin 820 olduğu kaydedildi.
5-
Veri ihlal bildiriminde, yetkilendirilmemiş erişim nedeniyle 1 Ocak-28 Mart 2019 arasında e-postaların veya eklerin içeriği hariç e-posta adresi, klasör adları, e-postaların konu satırları, iletişim kurulan diğer e-posta adreslerinin adına erişilmiş veya bu bilgilerin görüntülenmiş olabileceği belirtildi.
6-
Türkiye’de ihlalden etkilenen kişilerden çok az bir kısmının e-posta içeriklerine de erişilmiş olunabileceği aktarılan bildirimde, veri ihlali sebebiyle kullanıcıların e-dolandırıcılık saldırılarına maruz kalma ihtimallerinin bulunduğu vurgulandı.
7-
Veri ihlal bildiriminin ardından Kişisel Verileri Koruma Kurulu, inceleme başlattı.