Kişisel Verileri Koruma Kurumu (KVKK), Trabzonspor Sportif Yatırım ve Futbol İşletmeciliği Ticaret A.Ş. ile ilgili önemli bir açıklama yaptı.
Şirketin siber saldırıya uğradığı ve kullanıcı verilerinin saldırganların eline geçtiği ortaya çıktı.
KVKK’nın yaptığı açıklamaya göre Trabzonspor, 19 Mayıs 2023 tarihinde siber saldırıya uğradı ve bu durumu aynı gün fark etti. Saldırganlar, sisteme sızdıktan sonra kullanıcılara ait verileri de şifrelediler. Hal böyle olunca kaç kişiye ait verilerin sızdırıldığı tam olarak tespit edilemedi.
19 MAYIS’TA HACKLENDİ
Trabzonspor’a ait veritabanında kullanıcılara ait kimlik ve iletişim bilgileri, finans bilgileri, mesleki deneyimleri, geçmişte yaptıkları işlemler ve pazarlama gibi kategorilerdeki veriler bulunuyordu. 19 Mayıs’ta gerçekleştirilen saldırı ile tüm bu veriler, potansiyel anlamda hackerların eline geçmiş oldu. Saldırıyı kim veya kimlerin, ne amaçla yaptıkları bilinmiyor.
İhlalden etkilenenler, çalışanlar, kullanıcılar, öğrenciler, müşteriler ve potansiyel müşteriler olurken, ihlal nedeniyle kimlik, iletişim, özlük, müşteri işlem, finans, mesleki deneyim, pazarlama, görsel ve işitsel kayıtlar ile diğer veri kategorileri de etkilendi.
İŞTE KVKK’NIN AÇIKLAMASI
“Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz Trabzonspor Sportif Yatırım ve Futbol İşletmeciliği Ticaret A.Ş. tarafından Kurula iletilen veri ihlal bildiriminde özetle;
Veri sorumlusunun sunucularının uğradığı siber saldırı neticesinde şifrelendiği,
İhlalin 19.05.2023 tarihinde gerçekleştiği ve aynı gün tespit edildiği,
Siber saldırıdan ayrıca Trabzonspor Ticari Ürünler ve Turizm İşletmeciliği Ticaret A.Ş, Trabzonspor Futbol İşletmeciliği Ticaret A.Ş., Trabzonspor Telekomünikasyon Danışmanlık ve Servis Hizmetleri Ticaret A.Ş, Bordo Mavi Futbol Yatırımlar Ticaret A.Ş., Trabzonspor Kulübü Derneği, Trabzonspor Bordo Mavi Enerji Elektrik Üretim A.Ş.’nin de etkilendiği,
Şifrelenen sunucularda tutulan dosyalara erişim sağlanamadığı; bu sebeple ihlalden etkilenen kişi ve kayıt sayısının tespit edilemediği,
İhlalden etkilenen ilgili kişi gruplarının çalışanlar, kullanıcılar, öğrenciler ve müşteriler ve potansiyel müşteriler olduğu,
İhlalden kimlik, iletişim, özlük, müşteri işlem, finans, mesleki deneyim, pazarlama, görsel ve işitsel kayıtlar ile diğer veri kategorilerinin etkilendiği,
İlgili kişilerin çağrı merkezi aracılığıyla veri ihlali hakkında bilgi alabileceği bilgilerine yer verilmiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 25.05.2023 tarih ve 2023/918 sayılı Kararı ile söz konusu veri ihlal bildirimlerinin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.
Kamuoyuna saygıyla duyurulur.”