E-Ticaret Devine “Credential Stuffing” Cezası: 2024/1385 Sayılı Karar Analizi
Kişisel Verileri Koruma Kurulu (Kurul), 08/08/2024 tarihli ve 2024/1385 sayılı kararı ile büyük bir e-ticaret platformunda yaşanan veri ihlalini karara bağlamıştır. Bu karar, özellikle dijital platformların “hesap ele geçirme” (account takeover) saldırılarına karşı alması gereken proaktif önlemlerin önemini bir kez daha ortaya koymaktadır.
İhlalin Anatomisi: Başka Yerden Sızan Şifreler, Sizin Kapınızı Açabilir
İhlal, siber literatürde “Credential Stuffing” (kimlik bilgisi doldurma) olarak bilinen yöntemle gerçekleşmiştir. Saldırganlar, e-ticaret platformunun kendi sistemlerinden değil, başka mecralardan sızdırdıkları kullanıcı adı ve şifre kombinasyonlarını bu platformun “Satıcı Portalı”nda otomatik yazılımlarla denemişlerdir.
İhlalden Etkilenenler ve Veri Kategorileri
- 673 Satıcı: Ad-soyad, TCKN, telefon, e-posta ve finansal bilgiler (IBAN, fatura).
- 7.202 Müşteri: Kimlik verileri, kargo adresleri, satın alma geçmişi ve fatura bilgileri.
- Sonuç: 107 satıcı hesabında haksız kazanç amaçlı IBAN değişikliği yapılmış, 1.213 müşterinin hesabında ise şüpheli siparişler oluşturulmuştur.
Kurulun Tespit Ettiği Güvenlik Zafiyetleri
Kurul, veri sorumlusunun “tedbirleri ihlalden sonra aldığına” dikkat çekerek şu teknik eksiklikleri raporlamıştır:
- Bot Korumasının Yetersizliği: Saldırganların bot trafiğini engelleyen servisi kolayca aşabilmesi, mevcut korumanın teknolojik olarak yetersiz kaldığını göstermiştir.
- Sistemdeki Mantıksal Zafiyet: Saldırganların, ellerindeki e-posta listesinin sistemde kayıtlı olup olmadığını kontrol etmelerine olanak tanıyan bir sistem açığı (zafiyeti) kullanabildiği tespit edilmiştir.
- Anomali Takibinde Gecikme: Aynı IP adresinden 2 gün içinde 400’den fazla farklı kullanıcı girişi yapılmasına rağmen, sistemin alarm vermemesi ve ihlalin ancak şikâyetler üzerine 4 gün sonra fark edilmesi “geç tespit” olarak değerlendirilmiştir.
- 2FA (İki Faktörlü Doğrulama) Eksikliği: Giriş ve bilgi değişikliği süreçlerinde iki aşamalı doğrulamanın (2FA) ihlal öncesinde değil, ancak ihlalden sonra bir “ders” olarak hayata geçirilmesi kusur sayılmıştır.
Özgür Eralp Perspektifi: “Geç Gelen Tedbir, Tedbir Değildir”
Bilişim hukuku ve siber güvenlik odaklı 25 yıllık tecrübemizde gördük ki; e-ticaret platformları sadece kendi veri tabanlarını korumakla yükümlü değildir. Kullanıcıların zayıf şifre kullanım alışkanlıklarını (Credential Stuffing riskini) öngörmek ve buna karşı Rate Limiting (istek sınırlama), 2FA ve gelişmiş Bot Algılama sistemlerini kurmak birer seçenek değil, yasal zorunluluktur.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Kurul bu kararda 3.250.000 TL gibi caydırıcı bir ceza vererek; “İhlalden sonra aldığınız önlemler sizi kurtarmaz, önemli olan risk gerçekleşmeden önce uygun güvenlik düzeyini temin etmektir” mesajını vermiştir. Dijital dünyada “kusursuz şifre” yoktur, ancak “kusurlu denetim” vardır.
Sıkça Sorulan Sorular
1. Şifrem başka bir siteden çalındıysa e-ticaret sitesi neden ceza alıyor?
Çünkü site, bu deneme-yanılma (bot) saldırılarını tespit edip engelleyebilecek teknik altyapıyı (IP kısıtlaması, bot koruması vb.) ihlalden önce kurmakla yükümlüdür.
2. IBAN bilgisi değişen satıcıların zararı ne olacak?
Veri sorumlusu hakkında verilen bu idari para cezası dışında, maddi zarara uğrayan satıcılar genel hükümlere göre veri sorumlusuna karşı tazminat davası açma hakkına sahiptir.
3. 2FA (İki Faktörlü Doğrulama) yasal bir zorunluluk mu?
Kurul, özellikle finansal sonuç doğurabilecek platformlarda 2FA’yı “uygun güvenlik düzeyi” için gerekli bir teknik tedbir olarak kabul etmektedir.
4. İhlal 4 gün sürmüş, bu uzun bir süre mi?
Evet. Otomatik saldırılarda 4 gün boyunca süren anomalinin fark edilmemesi, veri sorumlusunun sistem izleme (monitoring) mekanizmalarının yetersizliğini gösterir.
5. E-ticaret platformu müşterileri uyarmış mıdır?
2019/10 sayılı Kurul kararı gereği, platformun bu ihlali öğrendikten sonra en kısa sürede hem Kurula hem de etkilenen müşterilere bildirim yapması zorunludur.
Kaynaklar
- KVKK Kurumu – 2024/1385 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 12 ve 18)
- Kişisel Veri Güvenliği Rehberi (Teknik Tedbirler)
- Siber Suçlarla Mücadele ve Credential Stuffing Raporları
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),