KVKK 2020/345 Karar Özeti Oyun Şirketinde GitHub Üzerinden Kaynak Kod ve Veri Sızıntısı
Kişisel verilerin güvenliği, KVKK’nın m.12 ile veri sorumlularına yüklediği temel bir yükümlülüktür. 05/05/2020 tarihli ve 2020/345 sayılı Kurul Kararı, bir bilgisayar oyunları şirketinde eski çalışanın kaynak kod ve veri dosyaları içeren bir klasörü GitHub’a yetkisiz yüklemesi sonucunda oluşan veri ihlalini ele alır.
Kararda; ihlalin uzun süre sonra tespit edilmesi, personel politikalarının etkin uygulanmaması ve “izin verilmedikçe her şey yasaktır” yaklaşımıyla kültür/erişim yönetiminin oturtulamaması gibi unsurların, teknik ve idari tedbirlerin yetersizliğine işaret ettiği değerlendirilmiştir. Kurul, ayrıca kaynak kodun ifşasının, üçüncü kişilerce analiz edilerek başka güvenlik açıklıklarına yol açabileceğini vurgular.
İhlal türü: Eski çalışanın GitHub’a yetkisiz yüklemesi (kaynak kod + veri dosyaları).
Etkilenen kişi: 62 (bot hesaplar + Türkiye’de mukim gerçek kullanıcılar; az sayıda çocuk).
Veri türleri: Doğum tarihi, e-posta, ISP bilgisi, kayıt tarihi-saat gibi lokasyon/teknik kayıtlar.
Kurul değerlendirmesi: Teknik-idari tedbirler yetersiz + tespit/bildirim gecikmesi.
Sonuç: Toplam 130.000 TL idari para cezası.
1. Kararın Özeti ve Hukuki Dayanak (KVKK m.12)
Kurul, 2020/345 sayılı kararında veri sorumlusunun, KVKK’nın 12. maddesi kapsamında kişisel veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri yeterince almadığı kanaatine varmıştır. Bu değerlendirmede özellikle; eski çalışanın dosyaları taşınabilir ortama kopyalayabilmesi, GitHub’a yükleyebilmesi, kontrol/izleme eksikleri ve personel farkındalığının yetersizliği gibi unsurlar öne çıkar.
1.1. Kurul’un Kritik Vurguları
- Kaynak kodun ifşası: Üçüncü kişilerce analiz edilerek yeni zafiyetlere yol açabilir.
- Düzenli güvenlik kontrolü eksikliği: İhlalin uzun süre sonra tespiti, izleme/alarmların etkin kullanılmadığını gösterir.
- Politika ≠ uygulama: Politikaların imzalatılması tek başına yeterli değil; etkin denetim ve kültür gerekir.
- Farkındalık: “İzin verilmedikçe her şey yasaktır” yaklaşımıyla erişim ve davranış yönetimi.
1.2. İdari Para Cezası
Kurul; (i) veri güvenliği tedbirlerinin yetersizliği ve (ii) “en kısa sürede” bildirim yükümlülüğüne aykırılık nedeniyle toplam 130.000 TL idari para cezası uygulanmasına karar vermiştir.
2. İhlal Nasıl Oldu? GitHub, Eski Çalışan ve Veri Seti
Veri sorumlusunun bildirimine göre; rutin güvenlik denetiminde eski bir çalışanın (web geliştiricisi), kaynak kod ve veri dosyaları içeren bir klasörü yetkisiz şekilde github.com üzerine yüklediği tespit edilmiştir. İnceleme ilerledikçe, klasörde yer alan verilerin bir kısmının sahte (bot) hesaplara ait olduğu görülse de, daha sonra verilerin bot hesaplar + Türkiye’de mukim gerçek kullanıcılar birleşiminden oluştuğu kesinleşmiştir.
| Başlık | Kararda Yer Alan Bilgi | Kurumsal Anlamı |
|---|---|---|
| Kaynak | Eski çalışan tarafından GitHub’a yetkisiz yükleme | Offboarding + erişim kapatma + DLP/izleme eksikliği |
| İçerik | Kaynak kod + veri dosyaları | Kod ifşası ikincil saldırılara zemin oluşturabilir |
| Etkilenen kişi sayısı | 62 | Olay yönetimi ve bildirim süreçleri tetiklenir |
| Etkilenen kişi grupları | Kullanıcılar/müşteriler/potansiyel müşteriler + az sayıda çocuk | Çocuk verisi nedeniyle risk ve hassasiyet artar |
| Veri türleri (örnek) | Doğum tarihi, e-posta, ISP bilgisi, kayıt tarihi-saat | Kimlik/iletişim + teknik kayıtlar birleştirilince tanımlanabilirlik artar |
3. Zaman Çizelgesi ve Etki Analizi (Kişi/Veri/Çocuk Riski)
Kurul, ihlalin gerçekleşme–tespit–bildirim zamanları arasındaki mesafeyi, veri güvenliği takibi ve “en kısa sürede bildirim” yükümlülüğü açısından önemli bir gösterge olarak değerlendirmiştir.
| Aşama | Tarih | Uyum Açısından Yorum |
|---|---|---|
| İhlalin gerçekleşmesi | 19.04.2017 | Kaynak kod + veri dosyalarının yetkisiz ifşası |
| Tespit | 09.01.2019 | Yaklaşık 2 yıla yakın gecikme: düzenli kontrol/izleme zayıflığı |
| Kuruma bildirim | 28.02.2019 | “En kısa sürede” bildirim yükümlülüğü açısından olumsuz değerlendirme |
3.1. Etkiyi Artıran Faktörler
- Kaynak kodun kamuya açılması: Zafiyet keşfini kolaylaştırabilir.
- Kimlik/iletişim verileri: Doğum tarihi + e-posta gibi kombinasyonlar tanımlanabilirliği artırır.
- Çocukların etkilenmesi: Az sayıda da olsa çocuk verisi olması risk algısını yükseltir.
- Uzun tespit süresi: Olası kötüye kullanım penceresini büyütür.
4. Kurumsal Dersler: Kod Güvenliği, Erişim, Offboarding
2020/345 sayılı karar, teknik güvenlik ile insan faktörünün kesiştiği bir örnektir. Kurul, yalnızca “politika var mı?” sorusuyla yetinmeyip “politika etkin mi?” bakışıyla değerlendirme yapmıştır.
4.1. Offboarding (İşten Ayrılış) Kontrolleri
- Erişimlerin anlık kapatılması (SSO, VPN, repo, bulut panelleri, admin hesapları)
- Taşınabilir medyaya kopyalamayı sınırlandıran kontroller (USB kısıtları, DLP, endpoint politikaları)
- Yetki matrisi ve “en az ayrıcalık” yaklaşımı (least privilege)
4.2. Kod Deposu ve Gizli Bilgi Yönetimi
- Kod depolarında görünürlük/erişim standartları (private repo zorunluluğu, 2FA)
- Secrets taraması (anahtar, token, şifre, bağlantı dizesi) ve otomatik engelleme
- CI/CD güvenlik kontrolleri ve değişiklik izleri (audit log)
4.3. Eğitim ve Farkındalık
Kurul’un atıf yaptığı yaklaşım doğrultusunda; çalışanların kişisel verilerin paylaşımı, kaynak kod güvenliği, üçüncü taraf platformlarda yayınlama riskleri ve olay bildirimi konularında periyodik eğitim alması, kurumda risklerin erken tespit edildiği bir kültür oluşturulması önemlidir.
5. Uyum, Riskler ve En İyi Uygulamalar
Bu kararın ana mesajı: KVKK m.12 uyumu, yalnızca belge/politika üretmek değil; teknik kontroller + süreç yönetimi + çalışan davranışı üçlüsünü birlikte yönetmektir.
5.1. Başlıca Riskler
- Shadow IT: Kurum dışı repo/platformlara kontrolsüz aktarım.
- Yetersiz izleme: Uzun süre fark edilmeyen sızıntılar.
- Politika etkinliği: İmzalı belge var ama uygulama ve denetim yok.
- Kaynak kod ifşası: İkincil saldırıların kolaylaşması.
5.2. En İyi Uygulamalar (Hızlı Kontrol Listesi)
- Kod depoları için kurumsal standart (repo görünürlüğü, 2FA, audit log).
- Endpoint tarafında DLP + USB/taşınabilir medya kontrolleri.
- “En az ayrıcalık” ve düzenli yetki gözden geçirme (RBAC/ABAC).
- Olay tespiti için alarm/izleme (SIEM, anomali, repo aktiviteleri).
- İhlal yönetimi: olay müdahale planı, rol-sorumluluk, prova (tabletop) çalışmaları.
- Çalışanlara düzenli farkındalık eğitimi ve ölçme-değerlendirme.
6. Sık Sorulan Sorular
GitHub’a yüklenen içerik kaldırıldıysa risk biter mi?
Hayır. İçerik kamuya açık kaldığı süre boyunca kopyalanmış olabilir. Bu nedenle kaldırma işlemi tek başına yeterli değildir; olay analizi, log incelemesi, anahtar/token rotasyonu ve etkilenen kişilere yönelik aksiyonlar birlikte planlanmalıdır.
Kaynak kodun ifşası neden KVKK açısından önemli görülüyor?
Kurul, kaynak kodun yetkisiz kişiler tarafından analiz edilerek başka güvenlik açıklarına sebebiyet verebileceğini, bunun da kişisel veri güvenliği riskini artırdığını değerlendirmektedir. Kod güvenliği, veri güvenliğinin bir parçasıdır.
Politikalar imzalatılmışsa neden yine de ceza çıkabiliyor?
Çünkü önemli olan yalnızca “belge” değil, etkin uygulamadır. Çalışanın verileri taşınabilir ortama kopyalayabilmesi ve dış platforma yükleyebilmesi; denetim, erişim yönetimi ve farkındalık mekanizmalarının yetersiz kaldığını gösterebilir.
“En kısa sürede bildirim” ne anlama gelir?
KVKK m.12 kapsamında veri ihlali tespit edildiğinde, Kurul’a ve ilgili kişilere yapılacak bildirimlerin mümkün olan en kısa sürede gerçekleştirilmesi beklenir. Olayın tespiti çok gecikmişse veya bildirim gecikmişse, bu durum ayrıca yaptırım riskini artırabilir.
