Facebook “Başkasının Gözünden Gör” Veri İhlali ve KVKK Yaptırımı (Karar: 2019/269)
Kişisel Verileri Koruma Kurulu (Kurul), 18/09/2019 tarihli bu kararıyla, Facebook’un yazılım mimarisindeki üç farklı özelliğin birleşmesiyle ortaya çıkan ve “erişim jetonlarının” (access tokens) çalınmasına yol açan ciddi bir veri ihlalini cezalandırmıştır. Bu karar, yazılım geliştirme süreçlerinde yapılan “zincirleme hataların” ve geç bildirimin ağır hukuki sonuçlarını ortaya koymaktadır.
1. Olayın Özeti: Üç Hatalı Özelliğin Komplike Etkileşimi
Olay: Facebook’un “Başkasının Gözünden Gör” (View As) özelliği, bir kullanıcının kendi profilinin bir başkası tarafından nasıl görüldüğünü kontrol etmesini sağlar. Ancak bu özellik ile “Doğum Günü Kutlayıcı” ve “Video Yükleyici” araçları arasında bir yazılım zafiyeti oluşmuştur.
Zafiyetin Mekanizması:
- Hata 1: “Başkasının Gözünden Gör” ekranında, normalde olmaması gereken bir video yükleme kutucuğu (composer) yanlışlıkla aktif kalmıştır.
- Hata 2: Bu video yükleyici, Facebook mobil uygulamasının tüm yetkilerini taşıyan bir “erişim jetonu” (access token) üretmiştir.
- Hata 3: En kritik nokta olarak; sistem, jetonu görüntüleyen kişiye değil, profili görüntülenen (taklit edilen) arkadaşa ait olarak üretmiştir.
Sonuç: Saldırganlar bu jetonları HTML kodundan çekerek, sanki o kullanıcının kendisiymiş gibi hesaplara tam erişim sağlamışlardır. Bir hesaba giren saldırgan, aynı yöntemi kullanarak o kişinin arkadaşlarının jetonlarını da ele geçirmiş ve bir “zincirleme reaksiyon” başlatmıştır.
2. Kurulun Hukuki Değerlendirmesi
Kurul, Facebook’un savunmalarını ve teknik süreci şu başlıklarla analiz etmiştir:
A. Yazılım Test Süreçlerindeki Kusur
Zafiyetin Temmuz 2017’de kod içerisine girdiği ancak Eylül 2018’e kadar fark edilmediği tespit edilmiştir. Kurul, bu boyuttaki bir hatanın test aşamasında yakalanması gerektiğini, 14 ay boyunca fark edilmemesinin gerekli denetimlerin yapılmadığının somut bir kanıtı olduğunu belirtmiştir.
B. İhlale Müdahale Süresi
Facebook ihlali 25 Eylül’de tespit etmesine rağmen, özelliği ancak 3 gün sonra (28 Eylül) tamamen devre dışı bırakmıştır. Kurul, tespit anından itibaren geçen sürede ihlalin devam etmesine izin verilmesini idari ve teknik tedbirlerde eksiklik olarak görmüştür.
C. Veri Kapsamı ve Profilleme Riski
İhlalden etkilenen 280.959 Türk kullanıcı için sadece isim değil; ilişki durumu, din bilgisi, konum, son aramalar ve takip edilen hesaplar gibi çok detaylı verilere erişilmiştir. Kurul, bu verilerin çalınmasının ilgili kişiler aleyhine “profilleme” yapılmasına ve ciddi mağduriyetlere yol açabileceğine dikkat çekmiştir.
D. Bildirim Yükümlülüğü İhlali
Facebook temsilcileri e-posta ile ön bilgi vermiş ancak KVKK’nın aradığı resmi “Veri İhlal Bildirimi”ni yapmamışlardır. Kurul bu durumu, Madde 12/5’teki “en kısa sürede bildirim” yükümlülüğünün ihlali saymıştır.
3. Karar Sonucu: Toplam 1.600.000 TL Ceza
Kurul, Facebook Inc. hakkında şu yaptırımları uygulamıştır:
- Veri Güvenliği Yükümlülüklerinin İhlali (Md. 12/1): Teknik ve idari tedbirlerdeki kusurlar nedeniyle 1.150.000 TL,
- Bildirim Yükümlülüğünün İhlali (Md. 12/5): İhlalin Kurul’a resmi olarak bildirilmemesi nedeniyle 450.000 TL,olmak üzere toplam 1.600.000 TL (2019 yılı üst limitlerine yakın bir tutar) idari para cezası uygulanmasına karar verilmiştir.
4. Özgür Eralp Perspektifi: “Dijital Anahtarlar Kapının Üstünde Unutuldu”
Bilişim hukuku alanındaki tecrübemizde, “Erişim Jetonu” (Access Token) hırsızlığı bir binanın tüm anahtarlarını çaldırmakla eşdeğerdir. Facebook gibi dev bir yapının, üç farklı özelliğin birleşmesiyle oluşan bu “lojiği” (mantık hatasını) 14 ay boyunca fark edememesi, siber güvenlikte “derinlemesine savunma” ilkesinin ne kadar hayati olduğunu gösteriyor.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Yazılım geliştirirken sadece her özelliğin kendi içinde doğru çalışması yetmez; özelliklerin birbirleriyle olan etkileşimi de test edilmelidir (Integration Testing). Ayrıca, “E-posta attık, bildirdik” demek hukuk önünde yeterli değildir. KVKK, belirli formlarda ve en kısa sürede (72 saat kuralı) resmi bildirim bekler. Bu karar, teknoloji devlerine “Türkiye’deki kullanıcıların verisi sahipsiz değildir” mesajını çok net bir şekilde vermiştir.
Sıkça Sorulan Sorular
1. “Erişim Jetonu” (Access Token) nedir?
Kullanıcı adı ve şifrenizi bir kez girdiğinizde, sistemin sizi hatırlaması için oluşturduğu dijital bir anahtardır. Bu anahtar ele geçirilirse, saldırgan şifrenizi bilmesine gerek kalmadan hesabınıza doğrudan girebilir.
2. Facebook’un jetonlarımı devre dışı bırakması ne anlama geliyor?
Facebook ihlali durdurmak için jetonları iptal ettiğinde, tüm cihazlarınızdan (telefon, tablet, PC) sistemden atıldınız ve tekrar şifre girerek giriş yapmanız istendi. Bu, yeni ve güvenli anahtarların oluşturulmasını sağladı.
3. Profilimdeki “Din bilgisi” veya “İlişki durumu” gibi verilerin çalınması neden tehlikeli?
Bu veriler bir araya getirildiğinde sizin hakkınızda psikolojik ve sosyal bir “profil” çıkarılabilir. Bu profiller reklam manipülasyonu, sosyal mühendislik saldırıları veya şantaj gibi kötü amaçlarla kullanılabilir.
4. Kurul neden “oy birliğiyle” karar verdi?
İhlalin büyüklüğü, etkilenen Türk kullanıcı sayısı (280 bin+) ve Facebook’un bildirim konusundaki ihmali o kadar belirgindir ki, Kurul üyeleri arasında herhangi bir görüş ayrılığı oluşmamıştır.
5. 2019’da kesilen 1.6 milyon TL bugün ne kadar olurdu?
KVKK para cezaları her yıl “yeniden değerleme oranı” ile artırılır. 2026 yılı itibarıyla benzer bir ihlalin cezası on milyonlarca liraya ulaşabilmektedir.
Kaynaklar
- KVKK Kurumu – 2019/269 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 12 ve 18)
- Facebook Engineering Blog – Security Update (Eylül 2018)
Etiketler
KVKK, Facebook Veri İhlali, Başkasının Gözünden Gör, Erişim Jetonu, Access Token, İdari Para Cezası, 2019/269 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, Yazılım Zafiyeti, Profilleme Riski, Geç Bildirim, Siber Güvenlik
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),