Arçelik Hacklendi: 30 Binden Fazla Kişinin Kişisel Bilgileri Ele Geçirildi

Türkiye’nin beyaz eşya devi Arçelik, Kişisel Verileri Koruma Kurumu’na (KVKK) yaptığı bildiriyle hacklendiğini duyurdu. Arçelik,  satış hedefi kampanyaları haberi için kullandığı Arçelik BizBize mobil uygulaması ve internet sitesine yetkisiz erişim sağlandığını, kişisel verilerin ele geçirildiğini açıkladı.

Arçelik tarafından KVKK’ya sunulan açıklamada Almanya’daki bir siber saldırgan tarafından Arçelik BizBize’nin admin paneline erişildiği ve kişisel verilerin ele geçirildiği bildirildi. Yetkili servis ve bayi çalışanlarından oluşan yaklaşık 30 bin kişinin bilgileri ele geçirilirken müşteri verilerinde herhangi bir sızıntı olmadı. Söz konusu sistemin kodlarının ve mülkiyetinin Arçelik’te değil, veriyi işleyen tarafta bulunduğu ifade edildi.

Yaşanan siber saldırıda saldırganlar, Almanya’da görünen bir IP adresi üzerinden kişisel verileri topladı. Ele geçirilen bilgiler şu şekilde paylaşıldı: yetkili servis ve çalışanlarının kimlik (ad, soyadı, TCKN, unvan, doğum tarihi, cinsiyet), iletişim (elektronik posta adresi, GSM numarası), işlem güvenliği (LDAP (Lightweight directory access protocol) kodu, kullanıcı şifresi, kayıt ve güncelleme tarihi, son giriş tarihi, hesabının aktiflik durumu, cihaz modeli, versiyonu ve işletim sistemi bilgisi, uygulama versiyon bilgisi, bildirim izin durumu, bayi ve yetkili servis çalışanlarının puan kazanım ve harcama bilgileri, uzmanlık, eğitim, işe başlama tarihi, ilgili kişinin şahsi bilgileri olmamakla beraber çalışmakta olduğu bayi ve mağazasının kodu, adı ve adresi ele geçirildi.

Arçelik KVKK’deki veri ihlali bildirimi duyurusuna ek olarak, “Bazı bayi ve yetkili servis çalışanlarımızın kişisel verilerine erişilmesiyle ilgili paylaşımlar üzerine açıklama yapma lüzumu doğmuştur.  Şirketimiz bünyesinde kullanılan bir uygulamaya siber saldırı gerçekleştirilmiştir. Uygulamamıza erişim pek çok başka şirket ve markaya da hizmet veren bir tedarikçimizin sisteminden kaynaklı olup, gerekli tüm teknik ve yasal önlemler alınmıştır. Kişisel verilerin korunması ve siber güvenlik şirketimizin en önemli öncelikleri arasındadır. Olayın etkilediği sistemler, ödeme ve finansal bilgileri içermemektedir. Halihazırda kişisel verilere erişimle ilgili zafiyet bulunmamaktadır.” açıklamalarında bulundu.