Karanlık Ağda Satışa Çıkan Veriler: Dubsmash İhlali ve 730.000 TL Ceza (Karar: 2019/222)
Kişisel Verileri Koruma Kurulu (Kurul), 17/07/2019 tarihli bu kararıyla, bir video oluşturma ve paylaşma platformu olan ABD merkezli Dubsmash Inc. nezdinde yaşanan küresel veri ihlalini cezalandırmıştır. Karar, bir veri sorumlusunun kendi sistemindeki sızıntıyı bir “gazeteci” vasıtasıyla öğrenmesinin, teknik denetim yetersizliğinin en somut kanıtı olduğunu vurgulamaktadır.
1. Olayın Özeti: Sızıntıyı Gazeteciden Öğrenmek
Olay: Dubsmash, 8 Şubat 2019 tarihinde bir gazeteciden gelen e-posta ile kullanıcı verilerinin Karanlık Ağda (Darknet) satışa çıktığını öğrenmiştir. Şirket, durumu araştırmak için bir adli bilişim firmasıyla anlaşmış ve sızıntının aslında Kasım 2018‘de gerçekleştiğini saptamıştır.
- İhlal Kapsamı: Dünya çapında yaklaşık 162 milyon hesap.
- Türkiye Etkisi: Profilinde ülkesini Türkiye olarak tanımlayan 679.269 kişi.
- Sızan Veriler: Kullanıcı adı, şifreler (hashlenmiş olsa da), doğum tarihi, telefon numarası ve e-posta adresi.
2. Kurulun Hukuki Değerlendirmesi
Kurul, sızıntının boyutu ve şirketin süreci yönetme biçimi hakkında şu ağır tespitlerde bulunmuştur:
A. Teknik Takip ve Denetim Yetersizliği
İhlalin Kasım 2018’de gerçekleşmesine rağmen, şirketin bunu ancak Şubat 2019’da (yaklaşık 3 ay sonra) bir dış kaynaktan (gazeteci) öğrenmesi, “sürekli izleme ve denetim” yükümlülüğünün yerine getirilmediğini kanıtlamaktadır. Kurul, veri ihlalinin nasıl gerçekleştiğinin bile tam olarak açıklanamamasını ciddi bir güvenlik açığı olarak görmüştür.
B. Şeffaflık ve Bildirim Eksikliği
Dubsmash, bu çapta bir ihlale rağmen kullanıcılarını doğrudan bilgilendirmemiştir. Türk kullanıcılar, verilerinin çalındığını ancak ihlal sorgulama sitelerinden (örneğin Have I Been Pwned gibi) tesadüfen öğrenebilmişlerdir. Bu durum, veri sorumlusunun ilgili kişilere karşı dürüstlük ve şeffaflık yükümlülüğüne aykırıdır.
C. “En Kısa Sürede Bildirim” (72 Saat Kuralı)
Şirket ihlali 8 Şubat’ta öğrenmiş, ancak Kurul’a resmi bildirimi 27 Şubat’ta yapmıştır. Aradaki 19 günlük süre, KVKK Madde 12/5’teki “en kısa sürede bildirim” (genel kabul gören 72 saat) kriterine uymamaktadır.
3. Karar Sonucu: Toplam 730.000 TL İdari Para Cezası
Kurul inceleme neticesinde;
- Veri Güvenliği Tedbirlerinin Alınmaması (Md. 12/1): Sızıntının fark edilememesi ve teknik zafiyetler nedeniyle 680.000 TL,
- Geç Bildirim (Md. 12/5): Kurul’a bildirimin gecikmesi nedeniyle 50.000 TL,olmak üzere toplam 730.000 TL (2019 yılı değerleri) idari para cezası uygulanmasına karar vermiştir. Ayrıca ihlal, etkilenen kişi sayısının yüksekliği nedeniyle Kurul’un internet sitesinde kamuoyuna ilan edilmiştir.
4. Özgür Eralp Perspektifi: “Gazeteciden Gelen E-posta, Güvenlik Duvarının Yıkıldığının Resmidir”
Bilişim hukuku alanındaki tecrübemizde, Dubsmash vakası bize “reaktif” değil “proaktif” güvenliğin önemini hatırlatıyor. Eğer bir şirket, veritabanının kopyasının Darknet’te satıldığını bir gazeteciden öğreniyorsa, o şirketin “Sızma Testleri” (Penetration Test) ve “Saldırı Tespit Sistemleri” (IDS/IPS) kağıt üzerinde kalmış demektir.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Küresel uygulamalar genellikle Türkiye’deki KVKK süreçlerini “ihmal edilebilir” görürler. Ancak 679 binden fazla Türk vatandaşının verisi söz konusu olduğunda, Kurul sınırları aşan bir yetkiyle bu cezayı keser. Şirketler için en büyük maliyet para cezası değil, kullanıcıların “Şifrem Dubsmash üzerinden çalındı” diyerek uygulamayı silmesidir. Dijital dünyada güven, en zor kazanılan ve saniyeler içinde kaybedilen en değerli varlıktır.
Sıkça Sorulan Sorular
1. Dubsmash kullanıcısıydım, verilerimin çalındığını nasıl anlarım?
Dubsmash ihlali çok eski bir olaydır (2018-2019). Eğer o dönemde aynı şifreyi başka platformlarda (Instagram, e-posta, banka) kullandıysanız, o şifreleri hala değiştirmediyseniz büyük risk altındasınız demektir.
2. Şifreler “hashlenmiş” (şifrelenmiş) olsa bile tehlikeli mi?
Evet. “Hash” kırmak için kullanılan gelişmiş yazılımlar, zayıf şifreleri (123456, doğum tarihi vb.) saniyeler içinde çözebilir. Bu nedenle her zaman karmaşık şifreler kullanılmalıdır.
3. Kurul neden cezayı doğrudan ilan etti?
KVKK Madde 12/5, etkilenen kişi sayısı çok yüksekse ve halkın bilgilendirilmesinde kamu yararı varsa, Kurul’a bu ihlali kendi sitesinde ilan etme yetkisi verir. Dubsmash’in kullanıcılarına haber vermemesi bu ilanı zorunlu kılmıştır.
4. Yabancı şirketler bu cezaları ödüyor mu?
Türkiye’de faaliyet gösteren veya Türk vatandaşlarına hizmet sunan yabancı şirketler, bu kararlara uymakla yükümlüdür. Aksi takdirde Türkiye’deki varlıkları, reklam yasakları veya erişim engelleri gibi ek yaptırımlarla karşılaşabilirler.
5. “En kısa sürede bildirim” için 19 gün neden çok uzun?
KVKK ve uluslararası standartlar (GDPR), veri ihlalinin öğrenildiği andan itibaren 72 saat içinde bildirim yapılmasını bekler. 19 gün, saldırganların verileri kullanması için yeterince uzun bir süredir.
Kaynaklar
- KVKK Kurumu – 2019/222 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 12 ve 18)
- Kişisel Veri Güvenliği Rehberi (Teknik Tedbirler)
Etiketler
KVKK, Dubsmash İhlali, Darknet, Veri Sızıntısı, İdari Para Cezası, 2019/222 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, Geç Bildirim, Siber Güvenlik, Gazeteci İhbarı, Kullanıcı Verileri, Küresel İhlal
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),