KVKK’den Boyner’deki bilgi sızıntısı hakkında açıklama

Veri sızıntısı nasıl yaşandı?

Boyner’in kampanya tanıtımı ve üyelik süreçleri için kullandığı SMS Gönderim Paneli’ne bir hacker 28.04.2023 tarihinde kullanıcı ismi ve şifre kullanarak giriş yaptığı tespit edildi. 06.05.2023 tarihi saat 19:36’ya kadar birden fazla çeşitli girişler tespit edildi. Bu girişlerde kullanıcı ismi ve şifre girişinde rastgele bir yanılgı olmadığı, sisteme erişen bireylerin yanlışsız kullanıcı ismi ve şifre kombinasyonu bilgisine sahip olduğunun düşünüldüğü; lakin bu kullanıcı ismi ya da şifre bilgisine nasıl sahip olunduğunun şimdi tespit edilemediği duyuruldu.

Boyner sızıntısında hangi bilgilere erişildi?

Boyner’in SMS Gönderim Paneli’ne kayıtlı toplam 2.313.962 kullanıcının cep telefonu numarasına erişildi. Kullanıcılardan 534.605 bireye Medimart’ı taklit eden uydurma bir internet sitesinin linkini içeren kampanya SMS’i gönderildi. Bu linke tıklayarak alışveriş yapan kullanıcıların kimlik, irtibat ve kredi kartı bilgileri ele geçirilmeye çalışıldı.

Boyner’in bilgi ihlali bildiriminde şu sözlere yer verildi:

Veri sorumlusu sıfatını haiz Boyner Büyük Mağazacılık Anonim Şirketi (Boyner) tarafından Şuraya iletilen data ihlal bildiriminde özetle:

• Veri sorumlusunun, mevzuatın müsaade verdiği ve/veya gerektirdiği hususlarda bilgilendirmelerin yapılması ve ticari elektronik irtibat müsaadesi veren müşterilerine ticari elektronik mesaj gönderilmesi emelleriyle toplu SMS ve MMS gönderimine yönelik iletileşme hizmetleri kullandığı; bu iletileşme hizmetinin data işleyenin sahibi olduğu internet sitesi üzerinde oluşturulmuş SMS Gönderim Paneli vasıtasıyla gerçekleştirildiği,
• Yapılan denetimlerde, SMS Gönderim Paneli üzerinden sunulan hizmetlere erişmek için kullanılan hesaplardan bir adedine ilişkin kullanıcı ismi ve şifresi kullanılarak birinci defa 28.04.2023 günü saat 18:15’te SMS Gönderim Paneli’ne kuşkulu giriş yapıldığı; 06.05.2023 tarihi saat 19:36’ya kadar da çeşitli kuşkulu girişler yapıldığının anlaşıldığı; bu girişlerde, rastgele bir kusurlu şifre denemesi bulunmadığı görüldüğünden sisteme erişen bireylerin yanlışsız kullanıcı ismi ve şifre kombinasyonu bilgisine sahip olduğunun düşünüldüğü; fakat bu kullanıcı ismi ya da şifre bilgisine nasıl sahip olunduğunun şimdi tespit edilemediği,
• SMS Gönderim Panelinde kayıtlı toplam 2.313.962 müşterinin irtibat (cep telefonu numarası) ve müşteri süreç datalarına (ilgili müşteriye hangi pazarlama SMS’lerinin gönderildiği ve bu SMS’lerin ilgili müşteriye ulaşıp ulaşmadığı bilgisi) erişildiğinin anlaşıldığı; ayrıyeten bu bireylerin içerisinden 534.605 bireye, Media Markt Turkey Ticaret Ltd. Şti. tarafından işletilen “www.mediamarkt.com.tr” internet sitesini taklit eden geçersiz bir internet sitesinin linkini içeren SMS’lerin gönderildiğinin anlaşıldığı,
• Bahse mevzu geçersiz internet sitesi aracılığıyla, kullanıcıların kimlik, irtibat ve finansal bilgilerini toplamanın yanısıra, banka hesabı olmaksızın para gönderip almayı ve para yükleyip çekebilmeyi sağlayan bir uygulamadaki bir hesaba para gönderilmesinin amaçlandığı,
• Bununla birlikte SMS Gönderim Panelinde kayıtlı toplam 741.945 müşteriye ise, bu müşterilerin rastgele bir verisine erişim sağlanmaksızın, SMS Gönderim Paneli’nden daha evvel gönderilmiş SMS’lerin içerikleri değiştirilerek yine SMS gönderildiği;
• İhlalden iddiası olarak 3.055.907 kişinin etkilendiği,
• İhlalin 28.04.2023 tarihinde başladığı ve 06.05.2023 tarihinde tespit edildiği,
• İlgili şahısların data ihlali ile ilgili data sorumlusunun davet merkezi olan 444 2 967 telefon numarasından, boynerkvkk@boyner.com.tr e-posta adresinden ve yazılı olarak “Boyner Büyük Mağazacılık A.Ş. Büyükdere Cad. USO Center Binası No:245/2 34396 Maslak, Sarıyer/İstanbul” adresinden bilgi alabilecekleri

bilgilerine yer verilmiştir.