KVKK 2020/715 Kararı | E-Ticaret Veri İhlali, Credential Stuffing ve 165.000 TL Ceza

KVKK 2020/715 Kararı E-Ticaret Sitesinde Credential Stuffing ile Veri İhlali

Bu içerikte KVKK 2020/715 sayılı karar detaylı biçimde ele alınmaktadır. Karar; bir e-ticaret sitesinde credential stuffing saldırısı sonucu 832 kullanıcı hesabına yetkisiz erişim sağlanmasını ve WAF ile rate limiting eksikliği nedeniyle uygulanan 165.000 TL idari para cezasını konu almaktadır.

Özetle: Veriler sistemden sızmamış olsa bile, kullanıcı hesaplarına yetkisiz erişim gerçekleşmişse bu durum kişisel veri ihlali olarak değerlendirilir.

1. KVKK 2020/715 Kararının Konusu

KVKK Kurulu, 17/09/2020 tarihli kararında, internet ortamında daha önce ifşa edilmiş e-posta ve şifre kombinasyonlarının, e-ticaret sitesinin giriş ekranında robot uygulamalar ile denenmesini incelemiştir.

Bu saldırı türü, literatürde credential stuffing olarak adlandırılmakta ve özellikle üyelik tabanlı platformlar için ciddi risk oluşturmaktadır.

2. İhlal Nasıl Gerçekleşti?

İnternette sızdırılmış e-posta + şifre kombinasyonları kullanıldı
Giriş ekranında otomatik bot denemeleri yapıldı
832 kullanıcı hesabına yetkisiz erişim sağlandı

Ne anlama geliyor?
Sistemden veri sızmamış olsa bile, hesap ele geçirilmesi KVKK kapsamında veri ihlalidir.

3. Kurulun Tespit Ettiği Teknik Eksikler

3.1 Rate Limiting Eksikliği

Aynı IP adresinden yapılan başarısız giriş denemeleri ihlal öncesinde sınırlandırılmamıştır.

3.2 WAF Kuralının Geç Uygulanması

3.3 Parola Politikası

Kullanıcıların belirli aralıklarla şifre değiştirmesini zorunlu kılan bir mekanizma bulunmamaktadır.

Kurulun mesajı net: Önleyici teknik tedbirler ihlalden sonra değil, ihlalden önce uygulanmalıdır.

4. 165.000 TL Ceza ve Hukuki Dayanak

Kurul, KVKK’nın 12. maddesi kapsamında yeterli teknik ve idari tedbirlerin alınmadığı sonucuna varmış ve veri sorumlusu hakkında 165.000 TL idari para cezası uygulamıştır.

5. 72 Saat Bildirim Süreci

İhlal 17.12.2019 tarihinde tespit edilmiş, 20.12.2019 tarihinde KVKK’ya bildirilmiştir.

Bu nedenle Kurul, 72 saatlik bildirim yükümlülüğünün yerine getirildiğini kabul etmiş ve bu başlık altında ayrıca işlem yapmamıştır.

6. E-Ticaret Siteleri Ne Yapmalı?

Login ekranlarında IP ve hesap bazlı rate limiting
WAF üzerinde bot ve anomali kuralları
Güçlü parola ve periyodik değişim politikası
Şüpheli girişlerde ek doğrulama
Olay müdahale ve bildirim prosedürleri

Sonuç: KVKK 2020/715 kararı, e-ticaret siteleri için hesap güvenliğinin veri güvenliğinin ayrılmaz bir parçası olduğunu açıkça ortaya koymaktadır.