MongoDB Limited şirketine yönelik bir siber saldırı sonucu veri sızıntısı meydana geldiği KVKK tarafından duyuruldu. Bu olayın Türkiye’deki on binlerce kullanıcıyı etkilemiş olabileceği belirtildi.
MONGODB NEDIR?
MongoDB, NoSQL tabanlı bir açık kaynak veritabanı sistemidir. Bu sistem, geliştiriciler ve büyük şirketler tarafından veri depolamak ve yönetmek için kullanılmaktadır. Ancak son zamanlarda yaşanan bir veri ihlali, bu sistemi kullananları tedirgin etti.
MongoDB (şirket) tarafından yapılan açıklamaya göre bu sızıntı, bir firma çalışanının hesabına yetkisiz şekilde erişim sağlanmasıyla gerçekleşti. Aktarılanlara göre erişim sağlayan bu kötü niyetli kişi, verilerin bir kopyasını indirdi.
MongoDB‘nin (şirket) KVKK ile paylaştığı bilgilere göre müşteri iletişim bilgileri ve ilgili hesaplara ait meta verileri ele geçirildi. Bu kişisel bilgiler arasında ad, soyad, e-posta adresi yer almışken, büyük şirketlerin kullandığı CRM uygulaması ve müşteri destek uygulamasında daha fazla bilgi sızdırıldı. KVKK‘nın duyurusuna göre bu veri ihlalinden 130 bin ile 160 bin arasında Türk kullanıcı etkilenmiş olabilir.
KVKK tarafından yapılan ilgili açıklama şu şekilde;
“Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz MongoDB Limited tarafından Kurula iletilen veri ihlal bildiriminde özetle;
Bir kullanıcı hesabının olağandışı ve şüpheli sorgular yaptığının 13 Aralık 2023 tarihinde fark edildiği ve bunun üzerine araştırmanın derinleştirildiği, Bilinmeyen üçüncü tarafın sınırlı sayıda veri sorumlusu çalışanının kullanıcı hesaplarına yetkisiz erişim sağladığı ve bir kısım hizmetlerin kullanıcılarına ilişkin kişisel verilere eriştiğine ve bu verileri indirdiğine dair bulgulara rastlandığı, İncelemeler devam etmekle birlikte, müşteri iletişim bilgilerinin ve ilgili hesaplara ait meta verilerinin CRM uygulamasından ve müşteri destek uygulamasından sızdırıldığının 20 Aralık 2023 tarihinde tespit edildiği, Etkilenen kişisel veriler içerisinde ad, soyad, adres ve e-posta adreslerinin (genellikle iş adresi) bulunduğu; ancak CRM uygulaması ve müşteri destek uygulamasında bunlara ilaveten başkaca veri alanlarının da yer aldığı; bu verilerin; CRM uygulamasında yer alan veri alanlarının; hitap, ad, soyad, unvan, hesap no, şirket adı, adres, telefon numarası (esas, mobil, fax), eposta, satış temsilcisi (MongoDB) adı, soyadı,Müşteri Destek uygulamasında yer alan veri alanlarının; kullanıcı adı (e-posta adresi), son başarılı kimlik doğrulama zamanı, kullanılan son kimlik doğrulama yöntemi, kullanıcının tercih ettiği saat dilimi için tanımlayıcı, kullanıcının tercih ettiği saat dilimi için alfabetik kod, kullanıcının kaydolma tarihi, kullanıcının adı, soyadı, benzersiz kullanıcı ID, kullanıcının davet edildiği ancak henüz daveti kabul etmediği bilgisi, kullanıcının sınırlı izinleri olduğu, sayfanın kullanıcı tarafından en son görüntülendiği zaman, bir kullanıcının oturum açma sayısı, kullanıcının otomatik veya manuel olarak engellendiği ve kullanıcının silinip silinmediği bilgisi, silindiği zaman, e-posta doğrulama tarihi, e-posta doğrulama gerektirdiği bilgisi, alternatif eposta, çok faktörlü kimlik doğrulamayı etkinleştirdiği bilgisi,Kullanımdan kaldırılan çok faktörlü kimlik doğrulama (MFA) sisteminin kullanıcıları için yer alan veri alanlarının; kullanımdan kaldırılan MFA için kullanılan telefon numarası, kullanımdan kaldırılan MFA için kullanılan telefon numarası uzantısı, kullanımdan kaldırılan MFA için kullanılan alternatif telefon numarası, kullanımdan kaldırılan MFA için kullanılan alternatif telefon numarası uzantısı, kullanımdan kaldırılan MFA için bir kimlik doğrulayıcı cihazın kullanılıp kullanılmadığı, kullanımdan kaldırılmış MFA kullanıcısının sesli arama almak isteyip istemediği bilgisi olduğu, İhlalden Türkiye’den 130.000 ile 160.000 arasında kullanıcının etkilenmiş olabileceği,İhlal hakkında 16 Aralık 2023 tarihinde https://www.mongodb.com/alerts#general-alert adresinden kamuoyu duyurusu yayınlandığı,İlgili kişilerin privacy@mongodb.com elektronik posta adresinden ihlal ile ilgili bilgi alabileceğibilgilerine yer verilmiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 28.12.2023 tarih ve 2023/2233 sayılı Kararı ile söz konusu veri ihlal bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.
Kamuoyuna saygıyla duyurulur.”