Oyuncak Perakendecisi Veri İhlali (2020/567) Credential Stuffing, 2FA Eksikliği ve WAF ile Uygulama Güvenliği
Kişisel Verileri Koruma Kurulunun 22/07/2020 tarihli ve 2020/567 sayılı karar özeti; bir oyuncak perakendecisinin internet sitesindeki “Üye Girişi” alanında, kötü niyetli kullanıcıların başka sitelerden elde edilen kullanıcı adı ve şifreleri deneyerek 29 müşteri hesabına yetkisiz erişim sağlaması üzerine yapılan veri ihlali bildirimini ele alır. Bu tür saldırılar, siber güvenlik literatüründe sıklıkla credential stuffing ve sonuç itibarıyla hesap ele geçirme (Account Takeover - ATO) olarak tanımlanır.
Kararda öne çıkan kritik nokta; veri sorumlusunun ihlal öncesinde iki faktörlü kimlik doğrulama (SMS/2FA) ve/veya CAPTCHA gibi kullanıcı doğrulama ve otomatik deneme azaltma mekanizmalarını yeterince devreye almamış olmasıdır. Ayrıca güçlü şifre politikasının zorunlu kılınmaması ve WAF (Web Uygulama Güvenlik Duvarı) üzerinden yetkisiz erişim denemelerinin “normal giriş” mi “saldırı” mı olduğunun tespitinde gecikme yaşanması, uygulama güvenliğini zayıflatmıştır.
Karar: 22/07/2020 – 2020/567.
Olay: Başka sitelerden elde edilen kimlik bilgilerinin denenmesiyle 29 hesaba erişim.
Etkilenen veriler: Ad-soyad, e-posta, telefon, adres, geçmiş satın alınan ürün bilgileri.
Kurul tespiti: 2FA/CAPTCHA eksikliği + güçlü şifre zorunluluğu yok + WAF/uygulama güvenliği yetersizliği.
Sonuç: KVKK m.12 kapsamında teknik tedbir eksikliği nedeniyle 75.000 TL idari para cezası + ilgili kişilere bildirimde Kurul kararına uygunluk talimatı.
1. Kararın Çerçevesi: İhlalin Oluşumu ve Kurulun Değerlendirmesi
Veri sorumlusu tarafından Kuruma iletilen veri ihlali bildiriminde; kötü niyetli kullanıcıların, başka internet sitelerinden elde edilen kullanıcı adı ve şifreleri veri sorumlusunun web sitesindeki “Üye Girişi” alanında deneyerek yetkisiz erişim sağladığı belirtilmiştir. Kurul, bu ihlali değerlendirirken temel olarak hesap güvenliği ve uygulama güvenliği perspektifinden hareket eder.
Karar özetinde Kurul; veri sorumlusunun ihlal öncesinde alması gereken güvenlik önlemleri kapsamında kullanıcı kimliklerinin doğrulanması (ör. SMS doğrulama/2FA, CAPTCHA gibi kontroller) ile güçlü şifre oluşturma zorunluluğu ve WAF/uygulama güvenliği katmanlarının etkin yönetimi gibi konuların yeterince sağlanmadığını değerlendirmiştir.
1.1. Kurulun sonuç kararı (özet)
- KVKK m.12 kapsamında veri güvenliğini sağlamaya yönelik gerekli teknik tedbirleri almayan veri sorumlusu hakkında, KVKK m.18/1-b uyarınca 75.000 TL idari para cezası uygulanmıştır.
- İhlalin öğrenilmesinden itibaren başlayan 72 saat içinde bildirim yapılmadığı, ancak yaklaşık 1 günlük gecikmenin pandemi süreci nedeniyle makul görüldüğü ve bu başlıkta ayrıca işlem yapılmadığı belirtilmiştir.
- İlgili kişilere yapılan bildirimin, Kurulun daha önceki kararlarında belirtilen gereklilikleri tam karşılamadığı değerlendirilerek, veri sorumlusuna ilgili kişilere Kurul kararına uygun şekilde ihlal bildirimi yapması hususunda talimat verilmiştir.
2. İhlalin Özeti: Etkilenen Kişiler, Veriler ve Olay Akışı
Olay; kullanıcıların farklı platformlarda kullandığı kimlik bilgileri (kullanıcı adı-şifre) ele geçirildikten sonra, bu kimlik bilgilerinin e-ticaret sitesinde otomatik/tekrarlı şekilde denenmesiyle bazı hesapların ele geçirilmesi şeklinde gelişmiştir. Kararda 29 müşterinin hesabına yetkisiz erişim gerçekleştiği belirtilmektedir.
| Başlık | Karardaki Bilgi (Özet) | Pratik Yorum (Kurumsal Perspektif) |
|---|---|---|
| İhlalin oluş şekli | Başka sitelerden elde edilen kullanıcı adı ve şifrelerin üye girişinde denenmesi | Credential stuffing / ATO riskine karşı bot yönetimi + rate limiting + MFA kritik |
| Etkilenen kişi sayısı | 29 müşteri | Az sayı dahi olsa hesap ele geçirme; güven ve itibar riski yüksek |
| Etkilenen veri kategorileri | Ad, soyad, e-posta, telefon, adres, geçmiş satın alma/ürün bilgileri | Kimlik+iletişim+profil/alışveriş verileri birleşince hedefli dolandırıcılık riski artar |
| Tespit yöntemi | Marka uyarıları sayesinde bir sitede 29 hesapla ilgili içeriğe rastlanması | Brand monitoring faydalı; ancak asıl hedef saldırıyı giriş katmanında durdurmaktır |
| Müdahale | Site yöneticilerine ihtar gönderilerek ilgili sayfanın kaldırılması | Takedown önemli; fakat kullanıcı hesaplarını koruyacak iyileştirmeler şart |
2.1. Neden “satın alınan ürün bilgisi” kritik kabul edilir?
Geçmiş satın alma/ürün bilgileri; ilgili kişinin alışveriş alışkanlıklarını ortaya çıkarabilir ve kimlik/iletişim verileriyle birlikte kullanıldığında hedefli dolandırıcılık (ör. “siparişinizle ilgili işlem” temalı sosyal mühendislik) riskini artırabilir. Bu nedenle Kurul kararlarında hesap erişimi sağlayan zafiyetler, “sadece giriş” olarak değil, ikincil suistimal riskleri ile birlikte değerlendirilir.
3. Kritik Bulgular: 2FA/CAPTCHA, Güçlü Şifre ve WAF Eksikleri
2020/567 karar özeti, üç teknik başlık etrafında yoğunlaşır: (i) kullanıcı doğrulama/2FA, (ii) güçlü şifre zorunluluğu ve (iii) WAF/uygulama güvenliği. Bu başlıklar, e-ticaret sitelerinde hesap ele geçirme riskini azaltan temel güvenlik katmanlarını temsil eder.
3.1. 2FA / CAPTCHA gibi doğrulama mekanizmaları
- Kurul, veri sorumlusunun ihlal sonrası 2FA (SMS) veya CAPTCHA yayına almayı planlamasını; ihlal öncesinde bu tedbirlerin yeterli düzeyde uygulanmadığına işaret eden bir durum olarak değerlendirmiştir.
- Uygulamada 2FA tek başına yeterli olmasa da, credential stuffing saldırılarında hesabı ele geçirmeyi belirgin şekilde zorlaştırır.
3.2. Güçlü şifre politikası zorunluluğu
Kararda, etkilenen hesaplarda kullanılan şifrelerin yalnızca rakamlardan veya yalnızca harf dizilerinden oluşabildiği ve kayıt/şifre belirleme aşamasında kullanıcıların güçlü şifre oluşturmaya zorlanmadığı belirtilmiştir. Bu tür tasarımlar; zayıf şifre kullanımını teşvik ederek brute force/credential stuffing riskini artırır.
- Minimum uzunluk (ör. 10-12+ karakter) ve karmaşıklık kuralları,
- Yasaklı/parola sözlüğü kontrolleri (en sık kullanılan şifreleri engelleme),
- Şifre tekrar kullanımının azaltılması (kullanıcı bilgilendirmesi + ihlal kontrolleri)
gibi uygulamalar, Kurulun “gerekli teknik tedbir” değerlendirmesiyle örtüşen güçlü pratiklerdir.
3.3. WAF ve uygulama güvenliği
Kurul; WAF’ın yetkisiz erişim denemelerini “saldırı” olarak tespit edene kadar saldırganların belirli sayıda hesaba erişebilmiş olmasını, veri sorumlusunun uygulama güvenliğini sağlamadığını gösteren bir unsur olarak ele almıştır. Bu tür senaryolarda:
- Rate limiting (IP/hesap bazlı deneme limitleri),
- Bot tespiti ve davranış analizi,
- Şüpheli oturum/cihaz doğrulaması,
- Hızlı müdahale (otomatik kilitleme/step-up authentication)
WAF kural setleriyle birlikte çalıştırıldığında ATO riskini azaltır.
4. Uygulanabilir Önlemler: E-Ticaret Üyelik Güvenliği için Pratik Adımlar
2020/567 kararı, e-ticaret ve üyelik tabanlı platformlar için “hesap güvenliği” tedbirlerinin KVKK uyumunda ne kadar kritik olduğunu gösterir. Aşağıdaki adımlar; hem siber güvenlikte iyi uygulamalarla hem de KVKK m.12 kapsamında “gerekli teknik tedbir” yaklaşımıyla uyumludur.
4.1. Giriş güvenliği (Login Hardening)
- MFA/2FA: Varsayılan olarak etkinleştirme veya en azından riskli oturumlarda “step-up” doğrulama.
- CAPTCHA/Turnstile: Şüpheli davranışlarda devreye giren dinamik doğrulama.
- Rate limiting: IP, cihaz parmak izi ve kullanıcı hesabı bazlı deneme limitleri.
- Hesap kilitleme: Belirli sayıda hatalı girişten sonra geçici kilit + kullanıcı bilgilendirmesi.
4.2. Güçlü şifre politikası + kullanıcı deneyimi dengesi
- Minimum uzunluk + sözlük/kompromize şifre engeli,
- Şifre yöneticisi uyumu (kopyala-yapıştır engellememe),
- Şifre sıfırlama güvenliği (OTP süreleri, tekrar deneme limitleri, oturum iptali)
4.3. WAF / uygulama katmanı önlemleri
- WAF kural seti ve bot koruma entegrasyonu,
- Loglama ve anomali tespiti: Şüpheli giriş modellerini SIEM/izleme ile görünür kılma,
- Olay müdahale akışı: ATO tespiti → oturum iptali → şifre reset zorunluluğu → ilgili kişiye bildirim.
4.4. Marka izleme (brand monitoring) + takedown süreçleri
Kararda marka uyarılarıyla ihlale ilişkin bir içerik tespit edildiği ve ilgili sayfanın kaldırıldığı belirtilmiştir. Bu, iyi bir müdahale adımıdır; ancak ideal yaklaşım; hesap ele geçirmeyi önlemek ve oluşursa hızla sınırlamaktır.
5. Uyum, Riskler ve Denetim Hazırlığı (KVKK m.12 + Bildirim Süreçleri)
Karar, KVKK m.12 kapsamında veri sorumlularının “veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri” almakla yükümlü olduğunu hatırlatan tipik bir veri ihlali örneğidir. Hesap güvenliği zafiyetleri, çoğu zaman sadece teknik bir açık değil; iş sürekliliği, itibar yönetimi ve ilgili kişi hakları açısından da yüksek etkili riskler doğurur.
5.1. Başlıca riskler
- Hesap ele geçirme sonrası profil/alışveriş verilerinin suistimali ve hedefli dolandırıcılık riski,
- Şifre tekrar kullanımı nedeniyle zincirleme hesap ihlalleri,
- Yetersiz tespit (detection) nedeniyle saldırının uzun süre fark edilmemesi,
- Bildirim süreçleri ve ilgili kişiye bilgilendirmede eksiklik (Kurul kararlarına uyumsuzluk).
5.2. Denetim için “kanıt” üretin
- MFA/2FA kayıtları: Etkinleştirme oranı, riskli oturum politikaları, doğrulama logları
- Şifre politikası: Minimum uzunluk, zayıf şifre engeli, parola sözlüğü/kompromize kontrol çıktıları
- WAF/Rate limit: Kural seti, bloklanan denemeler, saldırı tespit raporları
- Olay müdahalesi: Tespit zamanı, müdahale adımları, kullanıcı bilgilendirmesi, takedown yazışmaları
5.3. Bildirim süreçlerinde dikkat edilmesi gerekenler
Kararda 72 saat içinde bildirim yapılmaması konusu değerlendirilmiş; pandemi koşullarında yaklaşık 1 günlük gecikme makul görülmüştür. Bununla birlikte, veri sorumlularının ideal yaklaşımı; ihlali öğrenir öğrenmez kayıt altına almak, etki analizini hızla yapmak ve bildirim süreçlerini standart prosedür üzerinden yürütmektir. Ayrıca ilgili kişilere yapılacak bildirimlerin kapsamı ve içeriği, Kurul kararlarıyla uyumlu olacak şekilde hazırlanmalıdır.
6. Sık Sorulan Sorular
2020/567 kararındaki ihlal türü nedir?
Karardaki senaryo; başka platformlardan ele geçirilmiş kullanıcı adı-şifrelerin üye giriş ekranında denenmesiyle hesaplara erişilmesi (credential stuffing) ve bunun sonucunda hesap ele geçirme (ATO) riskinin gerçekleşmesidir.
Kurul neden 2FA/CAPTCHA eksikliğini teknik tedbir yetersizliği olarak gördü?
Kurul; hesaplara erişim güvenliğinde kullanıcı kimliğinin doğrulanması gerektiğini, veri sorumlusunun ihlal öncesinde alması gereken tedbirlerden 2FA (SMS) ve/veya CAPTCHA gibi yöntemleri yeterince devreye almamasını, KVKK m.12 kapsamındaki teknik tedbirlerin yetersizliği yönünde değerlendirmiştir.
Etkilenen kişisel veriler nelerdi?
Karar özetinde; 29 müşteriye ait ad, soyad, e-posta adresi, telefon numarası, kayıtlı adres ve müşteri işlem kategorisinde daha önce satın alınan ürün bilgileri gibi hesap verilerinin etkilendiği belirtilmiştir.
WAF varken neden yine de ihlal oldu?
WAF tek başına mutlak koruma sağlamaz. Kurul, WAF’ın yetkisiz erişim denemelerini saldırı olarak tespit edene kadar saldırganların belirli sayıda hesaba erişebilmesini, uygulama güvenliğinin yeterince sağlanamadığına işaret eden bir gösterge olarak değerlendirmiştir. Bu nedenle WAF; rate limiting, MFA, bot tespiti ve anomali izleme gibi katmanlarla birlikte düşünülmelidir.
72 saat bildirim yükümlülüğü nasıl ele alındı?
Kurul; 72 saatlik süre içinde bildirim yapılmadığını, ancak pandemi süreci nedeniyle yaklaşık 1 günlük gecikmenin makul görülebileceğini değerlendirerek bu başlıkta veri sorumlusu hakkında ayrıca işlem tesis etmemiştir. Yine de en iyi uygulama; bildirim planının önceden tanımlı ve hızlı çalışır olmasıdır.
