Kaynak Kodu Müdahalesi ve 2 Aylık Sızıntı: Clickbus Veri İhlali Kararı (2019/141)
Kişisel Verileri Koruma Kurulu (Kurul), 16/05/2019 tarihli bu kararı ile biletleme ve seyahat platformu olan Clickbus Seyahat Hizmetleri A.Ş. nezdinde yaşanan siber saldırıyı cezalandırmıştır. Karar, bir şirketin sadece veritabanını değil, yazılımının kaynak kodlarını (source code) korumasının ne kadar kritik olduğunu ve bulut sağlayıcıdan (AWS) gelen uyarıların hızla işlenmesi gerektiğini vurgulamaktadır.
1. Olayın Özeti: Modifiye Edilmiş Kaynak Kodları
Olay: Clickbus, bulut hizmet sağlayıcısı Amazon Web Services (AWS) tarafından sisteminde zararlı bir işlem olabileceğine dair bir uyarı almıştır. Yapılan adli bilişim incelemesi sonucunda, saldırganların sisteme sızdığı ve platformun meşru kaynak kod dosyalarını değiştirerek, verileri dışarı sızdıracak zararlı kodlar eklediği tespit edilmiştir.
- İhlal Süresi: Veri sızıntısı 25 Eylül 2018’den 25 Kasım 2018’e kadar 2 ay boyunca kesintisiz devam etmiştir.
- Etki: Türkiye’de yerleşik 67.519 kişi bu ihlalden etkilenmiştir.
- Sızan Veriler: Kimlik bilgileri, iletişim detayları, seyahat planları ve en önemlisi kart numarası, son kullanma tarihi ve güvenlik kodu (CVV) gibi kritik ödeme bilgileridir.
2. Kurulun Hukuki Değerlendirmesi
Kurul, teknik ve idari süreçlerdeki zafiyetleri şu başlıklarla analiz etmiştir:
A. Denetim Eksikliği ve Geç Müdahale
Sızıntının 2 ay boyunca fark edilememesi, şirketin kendi sistemleri üzerinde düzenli bir güvenlik denetimi yapmadığını göstermektedir. Daha da kritik olanı; saldırı 21 Kasım‘da tespit edilmiş olmasına rağmen, ihlal 25 Kasım‘a kadar 4 gün daha devam etmiştir. Tespit edilen bir saldırının derhal durdurulamaması, idari tedbirlerin yetersizliği olarak görülmüştür.
B. Kaynak Kodunun Ele Geçirilmesi
Saldırganların sadece verilere ulaşması değil, şirketin kaynak kodlarını değiştirip modifiye edebilmesi, sistem mimarisinde çok ciddi bir güvenlik açığı olduğunu kanıtlamaktadır. Bu durum, yazılım geliştirme ve canlıya alma süreçlerinde yeterli yetki kontrolünün (access control) yapılmadığını göstermektedir.
C. Bildirim Yükümlülüğünün İhlali
Şirket siber saldırıyı 21.11.2018‘de tespit etmiştir. Ancak Kurul’a bildirim yaklaşık 2,5 ay sonra (07.02.2019), kullanıcılara ise daha da geç yapılmıştır. Bu durum, KVKK Madde 12/5’teki “en kısa sürede” bildirim yapma zorunluluğunun ağır bir ihlalidir.
3. Karar Sonucu: Toplam 550.000 TL Ceza
Kurul inceleme neticesinde;
- Veri Güvenliği Tedbirlerinin Alınmaması (Md. 12/1): Kaynak kodu müdahalesi ve denetim eksikliği nedeniyle 450.000 TL,
- Geç Bildirim (Md. 12/5): İhlalin Kurul’a ve ilgililere geç bildirilmesi nedeniyle 100.000 TL,olmak üzere toplam 550.000 TL idari para cezası uygulanmasına karar vermiştir.
4. Özgür Eralp Perspektifi: “Bulut Sağlayıcının Uyarısı Son Şanstır”
Bilişim hukuku alanındaki tecrübemizde, çoğu şirketin AWS, Azure veya Google Cloud gibi devlerden gelen güvenlik uyarılarını “otomatik mesaj” diyerek küçümsediğini görüyoruz. Oysa bu kararda gördüğümüz üzere, AWS uyarısı aslında bir yangın alarmıdır. Şirketlerin “Kaynak Kod Yönetimi” (Git, SVN vb.) süreçlerinde kod değişikliklerini denetlemesi ve yetkisiz müdahaleleri anında tespit edecek “Dosya Bütünlüğü İzleme” (File Integrity Monitoring) sistemlerini kurması şarttır.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Müşterilerinizin kredi kartı güvenlik kodlarına (CVV) kadar sızma yaşanması, o şirketin ticari itibarını sıfırlar. Tespit edilen bir ihlali 4 gün daha durduramamak ise “hukuki intihar”dır. Bulut sistemlerinde veri işleyen tüm şirketler, sistemlerinin “anahtarlarını” (API keys, source code access) korumayı en az veritabanını korumak kadar ciddiye almalıdır.
Sıkça Sorulan Sorular
1. Clickbus üzerinden bilet aldım, kredi kartımı iptal etmeli miyim?
Karar özetinde kart numarası ve CVV bilgilerinin sızdığı açıkça belirtilmiştir. Eğer söz konusu dönemde (Eylül-Kasım 2018) işlem yaptıysanız, kartınızın güvenliği risk altındadır ve bankanızla görüşerek kartınızı yenilemeniz en güvenli yoldur.
2. Kaynak kodunun değiştirilmesi neden bu kadar tehlikelidir?
Çünkü saldırgan, yazılımın içine gizli bir “kapı” açar. Siz şifrelerinizi değiştirseniz bile saldırgan kod seviyesinde yetkili olduğu için tüm yeni girilen verileri de görmeye devam eder.
3. “En kısa sürede bildirim” süresi aslında kaç gündür?
Kurul, genellikle 72 saatlik süreyi referans almaktadır. Clickbus vakasında olduğu gibi aylar sonra yapılan bildirimler doğrudan ceza sebebidir.
4. 550.000 TL ceza yeterli mi?
2019 yılındaki yasal sınırlar ve şirketin ölçeği göz önüne alındığında Kurul caydırıcı bir ceza vermiştir. Günümüzde bu ihlalin cezası milyonlarca lirayı bulabilmektedir.
5. KVKK dışında bu sızıntı için dava açabilir miyim?
Evet. Maddi bir kaybınız varsa veya verilerinizin çalınması nedeniyle manevi zarar gördüyseniz, genel mahkemelerde Clickbus’a karşı tazminat davası açma hakkınız saklıdır.
Kaynaklar
- KVKK Kurumu – 2019/141 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 12 ve 18)
- Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)
Etiketler
KVKK, Clickbus İhlali, Kaynak Kodu Güvenliği, Ödeme Verileri Sızıntısı, AWS Uyarıları, İdari Para Cezası, 2019/141 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, Geç Bildirim, Siber Güvenlik, CVV Sızıntısı
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),