Kişisel Verileri Koruma Kurulu, internet sitesi siber saldırıya uğrayan ve bazı müşterilere ait bilgileri ele geçirilen şirkete, üye girişinde “İki faktörlü kimlik doğrulama sistemi”ni uygulamadığı için ceza verdi. Gerekçe veri güvenliğine ilişkin gerekli tedbirleri almamak. Bu doğrultuda 75 bin lira idari para cezası verildi.
Şirketin uğradığı siber saldırıya ilişkin kurula yaptığı veri ihlal bildiriminde, kötü niyetli kullanıcılar tarafından, başka internet sitelerinden elde edilen kullanıcı adı ve şifrelerin, internet sitelerindeki “üye girişi” bölümünden denenerek 29 müşterinin hesabına yetkisiz erişim gerçekleştiği belirtildi. Bildirimde, ihlalden etkilenen 29 müşteriye ait “isim, soy isim,elektronik posta, telefon numarası, adres, satın alınan ürün” bilgilerine ulaşıldığı aktarıldı.
Kurul da bunun üzerine inceleme başlattı. Kararda veri güvenliğini sağlamaya yönelik gerekli teknik tedbirlere başvurulmadığı vurgulandı.
İhlalden etkilenen kişilerin şifrelerinin sadece rakamlar ya da harflerden oluştuğu vurgulanan kararda, müşterilerin hesap açılırken güçlü şifre oluşturmaya da zorlanmadığı kaydedildi.
