Trabzonspor’a ait şirketlerin 19 Mayıs’ta hacklendiği açıklandı. KVKK tarafından yapılan açıklamaya göre kullanıcı verilerini de içeren suculara sızıldı ve şifreleme yapıldı. Siber saldırıdan kaç kişinin etkilendiği ve hangi bilgilerinin sızdırıldığı tespit edilemedi.
Kişisel Verileri Koruma Kurumu (KVKK), Trabzonspor Sportif Yatırım ve Futbol İşletmeciliği Ticaret A.Ş. ile ilgili önemli bir açıklama yaptı. Yapılan açıklamada, şirketin siber saldırıya kurban gittiği ve kullanıcı verilerinin saldırganların eline geçtiğini belirtildi. Peki siber saldırı ne zaman gerçekleşti ve kullanıcıların hangi verileri hackerların eline geçti?
KVKK’nın yaptığı açıklamaya göre Trabzonspor, 19 Mayıs 2023 tarihinde siber saldırıya uğradı ve bu durumu aynı gün fark etti. Saldırganlar, sisteme sızdıktan sonra kullanıcılara ait verileri de şifrelediler. Hal böyle olunca kaç kişiye ait verilerin sızdırıldığı tam olarak tespit edilemedi.
Kimlik ve iletişim bilgileri de sızdırılmış olabilir
Trabzonspor’a ait veritabanında kullanıcılara ait kimlik ve iletişim bilgileri, finans bilgileri, mesleki deneyimleri, geçmişte yaptıkları işlemler ve pazarlama gibi kategorilerdeki veriler bulunuyordu. 19 Mayıs’ta gerçekleştirilen saldırı ile tüm bu veriler, potansiyel anlamda hackerların eline geçmiş oldu. Saldırıyı kim veya kimlerin, ne amaçla yaptıkları bilinmiyor.
Bu arada; saldırının Trabzonspor Sportif Yatırım ve Futbol İşletmeciliği Ticaret A.Ş.’ye ek olarak Trabzonspor Ticari Ürünler ve Turizm İşletmeciliği Ticaret A.Ş, Trabzonspor Futbol İşletmeciliği Ticaret A.Ş., Trabzonspor Telekomünikasyon Danışmanlık ve Servis Hizmetleri Ticaret A.Ş, Bordo Mavi Futbol Yatırımlar Ticaret A.Ş., Trabzonspor Kulübü Derneği, Trabzonspor Bordo Mavi Enerji Elektrik Üretim A.Ş.’yi de etkilediğini, etkilenen kişilerin çalışanlar, kullanıcılar, öğrenciler, müşteriler ve potansiyel müşteriler olduğunu da belirtelim.
KVKK’nın açıklaması şu şekilde:
“Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz Trabzonspor Sportif Yatırım ve Futbol İşletmeciliği Ticaret A.Ş. tarafından Kurula iletilen veri ihlal bildiriminde özetle;
- Veri sorumlusunun sunucularının uğradığı siber saldırı neticesinde şifrelendiği,
- İhlalin 19.05.2023 tarihinde gerçekleştiği ve aynı gün tespit edildiği,
- Siber saldırıdan ayrıca Trabzonspor Ticari Ürünler ve Turizm İşletmeciliği Ticaret A.Ş, Trabzonspor Futbol İşletmeciliği Ticaret A.Ş., Trabzonspor Telekomünikasyon Danışmanlık ve Servis Hizmetleri Ticaret A.Ş, Bordo Mavi Futbol Yatırımlar Ticaret A.Ş., Trabzonspor Kulübü Derneği, Trabzonspor Bordo Mavi Enerji Elektrik Üretim A.Ş.’nin de etkilendiği,
- Şifrelenen sunucularda tutulan dosyalara erişim sağlanamadığı; bu sebeple ihlalden etkilenen kişi ve kayıt sayısının tespit edilemediği,
- İhlalden etkilenen ilgili kişi gruplarının çalışanlar, kullanıcılar, öğrenciler ve müşteriler ve potansiyel müşteriler olduğu,
- İhlalden kimlik, iletişim, özlük, müşteri işlem, finans, mesleki deneyim, pazarlama, görsel ve işitsel kayıtlar ile diğer veri kategorilerinin etkilendiği,
- İlgili kişilerin çağrı merkezi aracılığıyla veri ihlali hakkında bilgi alabileceği
bilgilerine yer verilmiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 25.05.2023 tarih ve 2023/918 sayılı Kararı ile söz konusu veri ihlal bildirimlerinin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.
Kamuoyuna saygıyla duyurulur.”
KVKK’nın orijinal metnine buradan ulaşabilirsiniz.