Türkiye’de bilgi sızıntıları yaşanmaya devam ediyor. Bu sefer İngiliz sıhhat şirketinin müşterilerinin bilgileri sızdı. Şahsî Dataları Müdafaa Kurumu (KVKK), AstraZeneca’da veri ihlali yaşandığını duyurdu.
Yurt dışında son yıllarda Covid-19 aşısıyla isminden kelam ettiren AstraZeneca’nın Covid-19 aşısı ülkemizde kullanıma sunulmadı. Türkiye’de kardiyovasküler, renal ve metabolik hastalıklar, onkoloji, teneffüs ve ümmünoloji ilaçları satılıyor.
KVKK’nin açıklamasına nazaran AstraZeneca’nın web sitesinde tarayıcının “kaynağı görüntüle” özelliğini kullanarak adayların şahsî bilgileri görülebiliyordu. İş başvurusu yapan 981 kişinin kişisel bilgileri bu prosedürle herkes tarafından görüntülenebildi.
Hangi bilgiler sızdı?
AstraZeneca Türkiye’ye iş başvurusu yapan şahısların ülke, isim, e-posta, telefon numarası, maaş beklentisi, mevcut maaş bilgisi, var ise “AstraZeneca” ile evvelki iş münasebeti bilgisi, vize durumu, mevcut yahut evvelki patron ile ilgili kısıtlayıcı unsurların detayları sızdı.
Türkiye’deki 500 bin hastanın bilgisi ele geçirildi
KVKK’den açıklama
“Bilindiği üzere, 6698 sayılı Şahsî Bilgilerin Korunması Kanununun “Veri güvenliğine ait yükümlülükler” başlıklı 12 nci unsurunun (5) numaralı fıkrası “İşlenen şahsî bilgilerin yasal olmayan yollarla diğerleri tarafından elde edilmesi hâlinde, bilgi sorumlusu bu durumu en kısa müddette ilgilisine ve Heyete bildirir. Şura, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği öbür bir teknikle ilan edebilir.” kararını amirdir.
Veri sorumlusu sıfatını haiz AstraZeneca İlaç Sanayi ve Ticaret Limited Şirketi tarafından Şuraya iletilen data ihlal bildiriminde özetle;
- Çalışan adaylarının, “AstraZeneca”daki açık konumlara başvurabilmelerini sağlayan, data işleyen (Workday Limited) sisteminde ihlal gerçekleştiği,
- Bir adayın kendi hesabına giriş yapmadan iş başvurusu gönderebilmesi için Workday’in, kullanıcı oturumuna ait dataları izlemek ismine bir JavaScript değişkeni kullandığı, bu değişkenin HTML kaynağına dahil edildiği, değişkenin bedelinin, harici meslek sitesi için HTML kaynağını inceleyen, örneğin tarayıcının “Kaynağı Görüntüle” özelliğini kullanan kullanıcılar tarafından görülebilir hale geldiği,
- Bahse husus durumdan ötürü, 13 Temmuz 2022 saat 23:53 (İstanbul saati) ila 14 Temmuz 2022 saat 05:32 ortasında ve/veya 20 Temmuz 2022 saat 22:06 ila 1 Ağustos 2022 saat 23:15 ortasında iş başvurusu yapan çalışan adaylarının ferdî datalarının kısa müddetliğine erişilebilir hale geldiği,
- İhlalin 31 Temmuz 2022 tarihinde tespit edildiği,
- İhlalden etkilenen kişi kümesinin çalışan adayları olduğu,
- İhlalden kestirimi 981 kişinin etkilendiği,
- İhlalden etkilenen ferdî bilgilerin; ülke, isim, e-posta, telefon numarası, maaş beklentisi, mevcut maaş bilgisi, var ise “AstraZeneca” ile evvelki iş bağlantısı bilgisi, vize durumu, mevcut yahut evvelki patron ile ilgili kısıtlayıcı unsurların detayları olduğunun varsayım edildiği, buna ek olarak, çalışan adaylarının bilgi işleyen sistemi üzerinden istekli olarak da şahsî URL, iş tecrübesi, eğitim, lisan, yetenekler ve özgeçmiş bilgilerini sağlayabildiği
bilgilerine yer verilmiştir.
Konuya ait inceleme devam etmekle birlikte, Ferdî Dataları Muhafaza Konseyinin 11.08.2022 tarih ve 2022/831 sayılı Kararı ile kelam konusu bilgi ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.”