MNG Kargo'ya Siber Saldırı: Milyonlarca Kişinin Verileri Sızdırıldı

MNG Kargo, kurumsal müşterilerine ait şifrelerin ele geçirilmesiyle bazı kargo alıcılarının ad, soyad, adres ve telefon bilgilerinin sızdırıldığını duyurdu.

Şirket, Kişisel Verileri Koruma Kurumu'na bildirimde bulunarak, kargo alıcılarına ait ad, soyad, adres ve telefon numaraların ele geçirildiğini açıkladı.

MNG Kargo'nun KVKK'ya yaptığı bildirimde şu ifadeleri kullandı:

* İhlalin, veri sorumlusunun kurumsal müşterilere sunduğu web servis üzerinden, kurumsal müşteriye/müşterilere ait kullanıcı adı ve şifrenin elde edilmesinden kaynaklı olarak, kurumsal müşterinin/müşterilerin hesaplarına yetkisiz erişim gerçekleştiren kişi/kişiler üzerinden sızma şeklinde olduğunun ve sistemden kaynaklı bir açık olmadığının düşünüldüğü.

MNG KARGO AÇIKLAMA YAPTI

Öte yandan, KVKK, yapılan siber saldırı bildiriminden kısa bir süre sonra konuya ilişkin resmi açıklama yayınladı.

Kurum, açıklamasında şu ifadelere yer verdi:

* Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun 'Veri güvenliğine ilişkin yükümlülükler' başlıklı 12 nci maddesinin (5) numaralı fıkrası 'İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir.

* Kurul, gerekmesi hlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.' hükmünü amirdir.

* Veri sorumlusu sıfatını haiz olan MNG Kargo Yurtiçi ve Yurtdışı Taşımacılık AŞ tarafından Kuruma gönderilen veri ihlali bildiriminde özetle;

* İhlalin veri sorumlusunun kurumsal müşterilere sunduğu web servis üzerinden, kurumsal müşteriye/müşterilere ait kullanıcı adı ve şifrenin elde edilmesinden kaynaklı olarak, kurumsal müşterinin/müşterilerin hesaplarına yetkisiz erişim gerçekleştiren kişi/kişiler üzerinden sızma şeklinde olduğunun ve sistemden kaynaklı bir açık olmadığının düşünüldüğü,

* İhlalin 15.08.2021 tarihinde başladığı ve 23.08.2021 tarihinde sona erdiği,

* 15.08.2021 tarihinde veri sorumlusunun kurumsal bir müşterisinden gelen sözlü bildirim sonucunda aynı gün içerisinde sızma testi çalışmasına başlandığı, yapılan incelemeler sonucunda 23.08.2021 tarihinde ihlalin tespit edildiği,

* İhlalden kargo alıcılarına ait 'ad-soyad, adres, telefon numarası' bilgilerinin etkilendiği,

* İhlalden etkilenen kişi sayısının belirlenemediği,

* İlgili kişilerin veri ihlali ile ilgili https://www.mngkargo.com.tr/iletisim internet sayfası, 0(850) 222 06 06 numaralı çağrı merkezi ve kisiselveri@mngkargo.com.tr e-posta adresinden bilgi alabileceği ifade edilmiştir.

* Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 26.08.2021 tarih ve 2021/875 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

MNG KARGO'DAN BİR AÇIKLAMA DAHA

MNG Kargo, Kişisel Verileri Koruma Kurumu'na bildirimde bulunarak, kargo alıcılarına ait ad, soyad, adres ve telefon numaraların ele geçirildiğini duyurdu. Şirket, durum tespit çalışmalarına ve gerekli adımların atılmaya başlandığını açıkladı. Destek hizmeti aldıkları siber güvenlik firmasından gerekli desteğin alındığı ve olay müdahale hizmetine ilişkin raporlama çalışmasının başlatıldığı kaydedildi.

MNG Kargo tarafından yapılan açıklamada, kargo alıcılarına ait kimlik ve iletişim kategorilerindeki kişisel verilerin (ad, soyad, adres, telefon numarası) etkilenme ihtimali olduğu; firmanın bireysel müşterisi olan kişiler ile kullanıcı adı ve şifresi saldırganın eline geçmemiş olan diğer kurumsal müşterilerin ve onların kargo alıcılarının olaydan etkilenmediğinin tespit edildiği aktarıldı.

Şu ana kadar etkilendiği bildirilen/tespit edilen sadece bir kurumsal müşterileri olduğunu belirten şirket, 'Diğer kurumsal müşterilerimizin aynı şekilde etkilenip etkilenmediği detaylı şekilde araştırılmaktadır. Konuyla ilgili yapılan incelemelerde bireysel müşterilerimizin bilgilerinin saldırgan/saldırganların eline geçtiğine ilişkin herhangi bir bilgiye ulaşılamadığı gibi buna sebebiyet verecek bir açık/zafiyet de tespit edilmemiştir' denildi.

Yapılan yazılı açıklamanın devamında şu ifadeler yer aldı:

* Ayrıca, tespit edilen ihlal sadece ilgili kurumsal kullanıcının kullanıcı adı ve şifresinin bir şekilde saldırgan/saldırganlarca tespit edilmesi/ele geçirilmesi ile erişilebilen bir bilgi olduğu için ihlalden etkilenen kişilerin sadece kullanıcı adı ve şifresi saldırganca tespit edilen kurumsal müşterilerin kargo alıcıları ile sınırlı olduğu değerlendirilmektedir.

* Zafiyet nedeniyle ortaya çıkan bilgilerin ad, soyad, adres ve telefon numarası bilgilerinden ibaret olması nedeniyle ihlalin ilgili kişilere yüksek derece olumsuzluk yaratmadığı ve şirketimiz organizasyonunu ciddi boyutta etkilemediği değerlendirilmiştir.

* Yapılan sızma testinde saldırganın elinde kullanıcı adı ve şifre olmadan herhangi bir bilgiye ulaşamadığı ve henüz sistemimizden bir kullanıcı adı ve şifreye erişimle ilgili bir saldırı veya sızıntı tespit edilememiş olduğu için, sadece bir kurumsal kullanıcı ile sınırlı bir erişim söz konusu olabileceği değerlendirilmektedir.

* İhlalden etkilenen kişi ve kayıtların net bir şekilde tespiti, ihlalle ilgili incelemelerimiz devam ettiği için henüz yapılamamıştır. Ancak, kurumsal müşterilerimizin web servislerine yetkisiz giriş yapılması durumunda kurumsal müşterilerimizin kargo alıcılarına ait sınırlı sayıdaki verilerinin ihlalden etkilenme olasılığı bulunmaktadır.

* Alınan güvenlik önlemleri kapsamında; saldırı anında tahribatın artması ve veri sızıntısının engellenmesi amacıyla gerekli tüm idari ve teknik tedbirler tarafımızca alınmıştır. Bu istenmeyen durumdan ötürü üzüntü duyuyor, tüm müşterilerimizin şirketimizden güvenle hizmet almasına yönelik tüm idari ve teknik tedbirlerin tarafımızca alınmış olduğunu bir kez daha vurgulamak istiyoruz.

Bakmadan Geçme