05 Temmuz 2019, Cuma 20:04:34

Türkiye'den Cathay Pacific'e 550 bin TL'lik ceza

Hong Kong merkezli havayolu şirketi Cathay Pacific Airway'e Kişisel Verileri Koruma Kurumu tarafından 550 bin TL'lik ceza veirldi.
  • Yav siz kendi işinize bakın.
  • Avustralyadan sana 1 cent bile odemezler kendi kendinize gelin guvey olmayin ben gittim gordum yasadım geldim tk calisaniyim bırakın bu hayali
  • Fare dağa küsmüs, dağın haberi olmamış!
  • Cathay ın bundan haberi var mı
  • Ödeyeceklerini zanneden var mı
  • Türkiye’deki oteller yerli ve yabancı bir sürü müşterinin kimlik ve pasaport email telefon bilgilerini alıp sizi saçma sapan e-maillere boğan ve bu pasaport bilgilerini ne yaptığı konusunda bir para cezası var mı? Peki onlar da bize karşı bunu tespit edip bir o kadar da bize dava açsa olur mu acaba?

Hong Kong merkezli havayolu şirketi Cathay Pacific Airway'e Kişisel Verileri Koruma Kurumu tarafından 550 bin TL'lik ceza veirldi. 

Kişisel Verileri Koruma Kurumu tarafından yapılan açıklamada 450 bin TL'lik cezanın veri güvenliği, 100 bin TL'lik cezanın ise siber saldırı nedeniyle verildiği belirtildi.

İşte KVKK'dan yapılan Cathay Pacific açıklaması;

Cathay Pasific Airway Limited’in (Cathay Pasific) 25.10.2018 ve 08.03.2019 tarihlerinde Kurumuza intikal eden yazılarında özetle;

  • 13.03.2018 tarihinde bilgisayar ağları üzerinden yolcu bilgilerini içeren bilgi sistemlerine yetkisiz erişim gerçekleştiği,
  • Şirket tarafından yapılan inceleme sonucunda yetkisiz erişimin 07.05.2018 tarihinde tespit edildiği,
  • Saldırganın Cathay Pasific’in ortamına uzaktan eriştiği ve Müşteri Sadakat Sisteminin kısmi veri tabanı yedeği olarak hitap edilebilecek belgeleri ele geçirdiği,
  • Saldırgan tarafından, müşteri ödemesi ile işlem verisini görmek ve veri tabanının yedeğini dışarı almak amacıyla web sitesi yönetici konsoluna ulaşıldığı,
  • Cathay Pasific tarafından yapılan inceleme sonucunda ihlalin yetkisiz erişim nedeniyle olduğu ve kullanılan araç, taktik ve prosedürlere dayanarak iki farklı grubun saldırısı olabileceğinden şüphelenildiği,
  • Birinci Grup’un BRIO sunucusunu Müşteri Bilgi Sistemine ulaşmak için kullandığı,
  • Cathay Pasific’in Birinci Grup’un Cathay ağına zorla girişini belirleyemediği,
  • Birinci Grup’un ağ içerisinde yanlamasına hareket ettiklerinden şüphelenildiği,
  • İkinci Grup’un Müşteri Sadakat Sistemi ve Online İş Hizmeti Platformunun yedek belgelerine ve web sitesi yönetici konsoluna erişim sağlandığı,
  • Bahse konu veri ihlalinden Cathay Pacific yolcularının kişisel verilerinin yanı sıra bağlı kuruluşu Hong Kong Dragon Airlines Limited yolcuları ile Asia Miles ve Marco Polo Club üyelerinin kişisel verilerinin de etkilendiği,
  • Şirket tarafından yapılan incelemede Türkiye’de toplam 1.286 kişinin söz konusu ihlalden etkilendiği, diğer taraftan Türkiye’de toplam 155 kişinin pasaport numarasına erişildiği,
  • Yetkisiz erişim sağlanmış olan kişisel veriler arasında yolcu ismi, uyruğu, doğum tarihi, telefon numarası, elektronik posta adresi, pasaport numarası, kimlik kartı numarası, “frequent flyer” üyelik numarası, müşteri hizmetleri notları ve geçmiş seyahat bilgileri bulunduğu, öte yandan erişilen kişisel veri türü ve sayısının etkilenen her yolcu özelinde değişiklik gösterdiği,
  • Veri ihlalinden etkilenen ilgili kişilere doğrudan (e-posta vb.) ve web sitesi (“https://infosecurity.cathaypacific.com” adresi üzerinden) üzerinden ulaşmakta oldukları,
  • Türkiye’ye özel 1 (bir) aylığına müşteri hizmetleri merkezi ve ücretsiz müşteri hattı ile ilgili kişilere özel “ infosecurity@cathaypacific.com” e-posta adresi tahsis edildiği,
  • ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 16.05.2019 tarih ve 2019/144 sayılı Kararı ile;

  • 13.03.2018 tarihinde gerçekleşen ihlale ilişkin, şüpheli hareketlerden Cathay’ın Mart 2018 tarihinde haberdar olmasına rağmen ihlalin yaklaşık 2 ay sonra 07.05.2018 tarihinde tespit edildiği, bu durumun bir güvenlik açığı olduğu, öte yandan Şirket tarafından gerekli denetimlerin ve kontrollerin yapılmadığı,
  • Şirket tarafından ihlalden önce alındığı belirtilen güvenlik önlemleri ve bildirim ekinde gönderilen kötücül yazılımların listesi incelendiğinde; saldırganların sistemler üzerinde yatay bir şekilde hareket ederek Müşteri Sadakat Sistemi (CLS), Online İş Hizmeti Platformu (EBSP), web sitesi yönetici konsolu (iRedeem), Müşteri Bilgi Sistemi’ni (CIS) etkilenmesinin Şirket bünyesinde bulunan donanım ve yazılımların yapılandırmalarının doğru bir şekilde yapılmadığının ve alınan güvenlik önlemlerinin yetersiz olduğunun göstergesi olduğu

hususları dikkate alınarak

- 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 450.000 TL,

- Öte yandan Şirket tarafından 07.05.2018 tarihinde gerçekleşen siber saldırıya ilişkin Kurula 25.10.2018 tarihinde bildirim yapılmasının, ihlalden etkilenen ilgili kişilere ise 25.10.2018 tarihinden itibaren bildirim yapmaya başlanmasının, Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle, Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca Şirket hakkında 100.000 TL,

olmak üzere toplam 550.000 TL idari para cezası uygulanmasına,

karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Türkiye'den Cathay Pacific'e 550 bin TL'lik ceza

Facebook Yorum

Yorumlar Tüm Yorumlar (9)

HKG ~ 11 gün önce
Yav siz kendi işinize bakın.

Yanıtla

Kalan karakter 1000
FOADAYADAYI ~ 12 gün önce
Avustralyadan sana 1 cent bile odemezler kendi kendinize gelin guvey olmayin ben gittim gordum yasadım geldim tk calisaniyim bırakın bu hayali

Yanıtla

Kalan karakter 1000
Burte ~ 11 gün önce
Gitmişsiniz görmüşsünüz fakat sanırım yanlış yere gitmişsiniz. Cathay pacific,Avustralya'ya sık uçmakla beraber,Singapur menşei bir havayoludur.
HKG ~ 11 gün önce
Şirket Hong Kong şirketi, Avustralya ne alaka? Sen biraz daha git gör bence.
Leman ~ 12 gün önce
Fare dağa küsmüs, dağın haberi olmamış!

Yanıtla

Kalan karakter 1000
Acep ~ 12 gün önce
Cathay ın bundan haberi var mı

Yanıtla

Kalan karakter 1000
Devran ~ 13 gün önce
Ödeyeceklerini zanneden var mı

Yanıtla

Kalan karakter 1000
Peki biz? ~ 13 gün önce
Türkiye’deki oteller yerli ve yabancı bir sürü müşterinin kimlik ve pasaport email telefon bilgilerini alıp sizi saçma sapan e-maillere boğan ve bu pasaport bilgilerini ne yaptığı konusunda bir para cezası var mı? Peki onlar da bize karşı bunu tespit edip bir o kadar da bize dava açsa olur mu acaba?

Yanıtla

Kalan karakter 1000
Ne anlatıyosun kardeş? ~ 12 gün önce
Yurtdisinda ki otellerde de durum aynı. Sadece Türkiye'de alınmıyor pasaport bilgileri.

Yorum Gönder

Kalan karakter 1000