KVKK Kurul Kararı 2020/465 Kurumsal Yazılım Hizmetinde “Parola Püskürtme” ile Veri İhlali
Kişisel Verileri Koruma Kurulunun 16/06/2020 tarihli ve 2020/465 sayılı kararında; kurumsal yazılım hizmeti sunan bir veri sorumlusunun bilgi sistemleri iç ağına parola püskürtme (password spraying) saldırısı ile yetkisiz erişim sağlandığı, saldırganların bazı kurumsal hesaplarda başarılı kimlik doğrulama yapabildiği ve FTP/SFTP üzerinden verileri dışarı sızdırdığı değerlendirilmiştir.
Olayın kritik yönlerinden biri; ihlalin emniyet birimlerinin siber güvenlik uzmanları tarafından veri sorumlusuna 06/03/2019 tarihinde bildirilebilmiş olması, ayrıca ihlalin Kuruma 55 gün gecikmeli bildirilmesi ve bunun idari yaptırıma konu edilmesidir. İnceleme sürecinde, 6 TB’tan fazla verinin muhtemelen sistemlerden dışarı sızdırıldığı bilgisine yer verilmiştir.
Saldırı: Parola püskürtme → hesap ele geçirme → VDI/XenDesktop erişimi.
Sızıntı: Ekim 2018–Mart 2019 arası 6 ayrı dışarı aktarım (FTP/SFTP).
Hacim: 6 TB+ veri sızmış olabilir.
Bildirim: Kuruma 55 gün geç bildirim; ilgili kişilere de gecikmeli bildirim.
Ceza: 75.000 TL (tedbir) + 50.000 TL (geç bildirim) = 125.000 TL.
1. Karar Özeti: Saldırı Akışı ve Zaman Çizelgesi
1.1. İlk Tespit ve Olay Müdahalesi
Veri sorumlusuna; siber suçluların parola püskürtme saldırısı ile iç ağa eriştiği bilgisi, emniyet birimlerinin siber güvenlik uzmanları tarafından 06/03/2019 tarihinde bildirilmiştir. Bu bildirim sonrası veri sorumlusu; saldırganları ortamdan çıkarmak için harici adli bilişim ve güvenlik uzmanları görevlendirdiğini, ek güvenlik önlemleri aldığını ve bağımsız bir siber güvenlik firması tarafından yönetilen kapsamlı bir adli soruşturma başlattığını belirtmiştir.
1.2. Saldırı Yöntemi: Password Spraying → VDI Erişimi
- Password spraying saldırısı, kurumsal kullanıcı hesaplarında başarılı kimlik doğrulama yapılmasını sağlamıştır.
- Saldırganların, 5 kullanıcı hesabı için kimlik doğrulama anahtarını kaydederek, XenDesktop Sanal Masaüstü (VDI) ortamına (cep telefonu ortamı dışından) erişimi mümkün kıldığı belirtilmiştir.
1.3. Veri Dışarı Aktarımı ve Hacim
Karara göre saldırganlar, Ekim 2018 – Mart 2019 arasında altı ayrı durumda FTP ve SFTP kullanarak verileri dışarı sızdırmıştır. Soruşturmada 6 TB’tan fazla verinin muhtemelen sistemlerden dışarı çıktığı bilgisi yer almaktadır.
1.4. Kuruma Bildirim Tarihi
06.03.2019 tarihinde tespit edilen veri ihlalinin Kuruma 29.04.2019 tarihinde bildirildiği ve bu nedenle 55 günlük geç bildirim bulunduğu değerlendirilmiştir.
2. Etkilenen Kişiler ve Veri Kategorileri
Kararda; ihlalden 22 gerçek kişiye ait verilerin etkilendiği, bu verilerin kimlik (ad-soyad, TCKN), özlük (iş beyanları, müşteri bağlılık belgeleri) ve finans (satış kayıtları, pazarlama materyalleri, bordro) kategorilerinde olduğu belirtilmiştir.
2.1. İlgili Kişilere Bildirim
Veri sorumlusu; etkilenen 18 çalışana (7 eski, 11 mevcut) ihlal sonrası posta yoluyla bildirim yapıldığını, ancak Türkiye’de ikamet ettikleri düşünülen 4 kişi için iletişim bilgileri bulunmadığından bildirim yapılamadığını ifade etmiştir.
| Başlık | Özet | Örnek Veri Türleri |
|---|---|---|
| Etkilenen kişi sayısı | 22 gerçek kişi | Çalışan / eski çalışan ağırlıklı |
| Kimlik verileri | Kimlik tespiti ve doğrulama verileri | Ad-soyad, TCKN |
| Özlük verileri | İK/çalışan ilişkili kayıtlar | İş beyanları, bağlılık belgeleri |
| Finans verileri | Mali/iş süreçleri verileri | Bordro, satış kayıtları, pazarlama materyalleri |
3. Kurul Değerlendirmesi: Eksik Teknik & İdari Tedbirler
3.1. Geç Tespit: Kişisel Veri Güvenliğinin Takibi
Kurul; veri sorumlusunun ihlali gerçekleşme tarihinden yaklaşık 5 ay sonra (06.03.2019’da) tespit etmesini, güvenlik kontrol ve denetimlerinin zamanında yapılmadığına işaret eden bir gösterge olarak değerlendirmiştir. Bu kapsamda; güvenlik yazılımı mesajları, erişim kontrol kayıtları ve raporlama araçlarının düzenli kontrolü, uyarılar üzerine aksiyon alınması ve düzenli sızma testi/zaafiyet taraması gerekliliği vurgulanmıştır.
3.2. Parola Güvenliği Farkındalığı
Kurul; password spraying saldırısının, çok sayıda hesabın zayıf parolalar kullanması ve parolaların şifre tahminiyle ele geçirilmesiyle ilişkili olduğunu; bunun da kullanıcılar nezdinde parola güvenliği farkındalığının yeterince oluşmaması ile bağlantılı olduğunu değerlendirmiştir.
3.3. 6 TB+ Veri Kaybı ve Risk Yönetimi
Paylaşım sürücüsünde çok yüksek miktarda veri depolanması nedeniyle 6 TB’tan fazla verinin çalınabilmesi, mevcut risk ve tehditlerin belirlenmesi ile “veri kaybı riskini azaltmaya yönelik idari tedbirlerin” yetersizliğine işaret eden bir durum olarak ele alınmıştır.
4. Kurumsal Dersler: Password Spraying’e Karşı Savunma
Password spraying, “çok sayıda hesap” + “az sayıda yaygın parola” kombinasyonuyla çalıştığı için, sadece parola uzunluğu değil; çok faktörlü doğrulama (MFA), akıllı kilitleme politikaları ve anomali tespiti ile birlikte ele alınmalıdır.
4.1. Temel Teknik Kontroller
- MFA zorunluluğu: Özellikle VDI, e-posta, VPN, yönetici paneli gibi kritik girişlerde.
- Parola politikası: Zayıf parola engelleme, sözlük/kompromize parola kontrolü, periyodik gözden geçirme.
- Hesap koruması: Akıllı lockout, geo/cihaz bazlı risk skoru, başarısız giriş hız limiti.
- VDI güvenliği: XenDesktop/VDI erişiminde koşullu erişim, oturum kaydı, ayrıcalık azaltma.
- Veri dışarı aktarım kontrolü: FTP/SFTP kullanımı için erişim sınırı, DLP yaklaşımı, izinli hedef listesi.
4.2. İdari Kontroller
- Farkındalık eğitimleri: Parola hijyeni, phishing, hesap güvenliği ve olay bildirim kültürü.
- Veri minimizasyonu: Paylaşım sürücülerinde gereksiz birikimin azaltılması, arşivleme politikası.
- Olay müdahale planı: Tespit → izolasyon → adli inceleme → bildirim → iyileştirme adımlarının yazılı olması.
5. Uyum, Riskler ve En İyi Uygulamalar
5.1. Başlıca Riskler
- Geç tespit: Saldırganların aylarca fark edilmemesi (izleme/uyarı eksikliği).
- Kritik sistemlere erişim: VDI ortamlarının ele geçirilmesiyle yatay hareket kabiliyeti.
- Büyük hacimli veri sızıntısı: Paylaşım sürücülerinde “toplu veri birikimi”.
- Geç bildirim: Kuruma ve ilgili kişilere bildirimin gecikmesi → idari yaptırım.
5.2. En İyi Uygulamalar
- Sürekli izleme (SOC yaklaşımı): Logların düzenli incelenmesi, uyarı eşikleri, anomali tespiti.
- Zaafiyet yönetimi: Periyodik tarama/sızma testi + düzeltme doğrulaması.
- Kimlik güvenliği: MFA, koşullu erişim, ayrıcalıklı hesap yönetimi, zayıf parola engelleme.
- Veri yönetimi: Veri sınıflandırma, erişim yetkisi gözden geçirme, paylaşım sürücüleri için kota/ayrıştırma.
- Bildirim süreçleri: 72 saat hedefli iç prosedür, aşamalı bilgi sağlama ve kayıt altına alma.
5.3. Karara Göre Yaptırım Özeti
| Ceza Kalemi | Gerekçe | Tutar |
|---|---|---|
| Teknik/İdari Tedbir Eksikliği | KVKK m.12(1) kapsamında gerekli tedbirlerin yeterince alınmaması | 75.000 TL |
| Geç Bildirim | KVKK m.12(5) “en kısa sürede” bildirim yükümlülüğüne aykırılık | 50.000 TL |
| Toplam | — | 125.000 TL |
6. Sık Sorulan Sorular
Parola püskürtme saldırısı “brute force” ile aynı mı?
Benzer hedefe (yetkisiz giriş) yönelse de yöntem farklıdır: password spraying genellikle çok sayıda hesaba az sayıda yaygın parolayı dener ve kilitleme politikalarına takılmamayı amaçlar. Bu nedenle MFA ve anomali tespiti kritik önlemlerdir.
6 TB veri sızıntısı nasıl mümkün olur?
Karar, paylaşım sürücüsünde yüksek miktarda veri depolanmasını ve risk yönetimi/erişim tasarımının yetersizliğini vurgular. Veri sınıflandırma, erişim ayrıştırma, kota ve dışarı aktarım kontrolleri (DLP/izinli hedef) bu riski azaltır.
Geç bildirim neden ayrıca cezalandırılır?
KVKK m.12(5) uyarınca ihlalin en kısa sürede Kurula ve ilgili kişilere bildirilmesi beklenir. Kararda 55 günlük gecikme bulunduğu ve ilgili kişilere bildirimin de geciktiği değerlendirilerek ayrıca ceza uygulanmıştır.
