Ardışık Takip Numaraları ile Veri İhlali: 150.000 TL İdari Para Cezası (Karar: 2019/23)
Kişisel Verileri Koruma Kurulu (Kurul), 14/02/2019 tarihli bu kararı ile yazılım dünyasında “Insecure Direct Object Reference” (IDOR) olarak bilinen güvenlik zafiyetinin KVKK nezdindeki ağır sonuçlarını ortaya koymuştur. Karar, basit bir “numara değiştirme” işleminin nasıl kitlesel bir veri sızıntısına dönüştüğünü ve veri sorumlusunun “erişim yok” şeklindeki yanıltıcı beyanlarının yaptırımı nasıl artırdığını göstermektedir.
1. Olayın Özeti: “Bir Önceki Sayıyı Gir, Başkasını Gör”
Olay: Teknik servis hizmeti veren bir firma, cihazını servise bırakan müşterilerine bir form/takip numarası vermektedir. Müşteriler bu numara ile firmanın web sitesinden cihaz durumunu sorgulayabilmektedir.
Ancak bir ihbar üzerine yapılan incelemede; takip numaralarının ardışık (birbirini izleyen sayılar) olduğu ve kullanıcıların kendi takip numarasının son rakamlarını değiştirerek (örneğin 1001 yerine 1002 yazarak) hiç tanımadıkları başka müşterilerin bilgilerine ulaştığı tespit edilmiştir.
2. Kurulun Hukuki Değerlendirmesi: Teknik Zafiyet ve Yanıltıcı Beyan
Kurul, veri sorumlusunun savunmasını ve teknik altyapısını şu kriterlerle analiz etmiştir:
- Erişim Kontrolü Eksikliği (IDOR): Bir sistemde sadece bir ID veya takip numarası biliniyor diye o veriye erişilebilmesi, teknik bir güvenlik açığıdır. Kurul, numara değiştirilerek başkalarının isim, soy isim, adres ve IMEI numarası bilgilerine ulaşılmasını ağır bir ihlal olarak görmüştür.
- Veri Güvenliği Yükümlülüğü (Md. 12/1): Veri sorumlusu, kişisel verilere hukuka aykırı erişilmesini önlemek için gerekli teknik tedbirleri almak zorundadır. Takip numarasıyla sorgulama yapılan bir sistemde, ek bir doğrulama (SMS kodu, telefon son 4 hanesi vb.) bulunmaması bu yükümlülüğün ihlalidir.
- Denetim ve Tespit: Veri sorumlusu, Kurul’a verdiği bilgide “verilere erişim mümkün değil” diyerek savunma yapmış; ancak Kurul bizzat yaptığı incelemede ihlalin hala devam ettiğini ve verilere ulaşılabildiğini somut olarak saptamıştır.
3. Karar Sonucu: 150.000 TL Ceza ve Faaliyet Durdurma
Kurul inceleme neticesinde;
- Gerekli teknik ve idari tedbirleri almayan ve ihlali devam ettiren veri sorumlusu hakkında 150.000 TL idari para cezası uygulanmasına,
- Aykırılık giderilinceye ve bu durum Kurul’a ispatlanıncaya (tevsik edilinceye) kadar söz konusu sorgulama linklerinin kullanımının durdurulmasına,karar vermiştir.
4. Özgür Eralp Perspektifi: “Ardışık Sayılar Güvenlik Değildir”
Bilişim hukuku alanındaki tecrübelerimizde, yazılımcıların bazen “kim tahmin edecek ki?” mantığıyla basit takip numaraları kurguladıklarını görüyoruz. Oysa siber dünyada “tahmin” değil, “otomasyon” çalışır. Kötü niyetli biri, basit bir yazılımla saniyeler içinde binlerce takip numarasını deneyerek tüm müşteri veritabanını ele geçirebilir.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Sorgulama sistemlerinizde asla sadece ardışık sayılara güvenmeyin. Takip numaralarını karmaşık (GUID) yapın veya mutlaka “İkinci Bir Doğrulama Faktörü” (MFA) ekleyin. Ayrıca Kurul’a yapılan savunmalarda “bizde sızıntı yok” demeden önce sisteminizi gerçekten test edin; çünkü Kurul’u yanıltmaya yönelik beyanlar veya ihlalin devam etmesi, cezanın alt sınırdan uzaklaşarak en üst sınırlara tırmanmasına neden olur.
Sıkça Sorulan Sorular
1. Teknik servis fişimdeki numarayla başkasının bilgilerini görürsem ne yapmalıyım?
Bu bir veri ihlalidir. Gördüğünüz bilgileri kesinlikle kaydetmeyin veya paylaşmayın (bu suçtur). Durumu firmaya bildirin ve eş zamanlı olarak Kişisel Verileri Kurma Kurulu’na “ihbar” yoluyla başvurun.
2. Takip numarası sorgulama sistemi nasıl güvenli olur?
Sadece takip numarası yeterli olmamalıdır. Yanında müşterinin telefon numarası, soyadının ilk iki harfi veya telefonuna gelecek bir doğrulama kodu (OTP) istenmelidir.
3. IMEI numarası kişisel veri midir?
Evet. IMEI numarası, bir cihazı ve dolayısıyla o cihazın sahibi olan gerçek kişiyi “belirlenebilir” kılan eşsiz bir tanımlayıcı olduğu için kişisel veri kabul edilir.
4. Kurul neden linkleri durdurma kararı verdi?
KVKK Madde 15/7, Kurul’a telafisi güç zararların oluşmasını engellemek amacıyla “veri işlemenin durdurulması” yetkisi verir. Veri sızıntısı devam eden bir sistemin açık kalması, her saniye yeni bir ihlal demektir.
5. 150.000 TL ceza sadece bu hata için mi?
Evet. 2019 yılındaki ceza limitlerine göre bu rakam oldukça yüksektir. Cezanın yüksek olmasında, firmanın “sorun yok” demesine rağmen ihlalin Kurul incelemesi sırasında hala devam ediyor olması etkili olmuştur.
Kaynaklar
- KVKK Kurumu – 2019/23 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 12, 15 ve 18)
- Kişisel Veri Güvenliği Rehberi (Teknik Tedbirler)
Etiketler
KVKK, Teknik Servis İhlali, Takip Numarası, IDOR Zafiyeti, Veri Güvenliği, İdari Para Cezası, 2019/23 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, Teknik Tedbirler, IMEI Sızıntısı, İhbar İncelemesi, Veri İşlemenin Durdurulması
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),