Siber Güvenlik Olayı Hakkında Bilgilendirme
 

Sayın İlgili,

Kişisel verilerinizin korunması büyük bir önceliğimiz olduğundan sizleri, Şirketimizin bayi çalışanlarımıza yönelik hediye/promosyon uygulamalarının yönetildiği bir alt yapı hizmet tedariği aldığı ve iş ilişkisi içerisinde olduğu tedarikçi firma Mivento Bilişim Hizmetleri ve Ticaret A.Ş. (“Firma”) nezdinde yaşanan ve kişisel verilerinize ilişkin bir husustan haberdar etmek isteriz. 

Alt yapı hizmet tedariği Firma tarafından sunulan bir uygulama içerisinde yetkisiz erişime sebebiyet veren bir teknik zafiyet tespit edildiğini üzülerek bildirmek isteriz. An itibarıyla, Firma ile görüşülerek Şirketimiz tarafından konuyla ilgili tüm tedbirler alınmıştır ve devam eden bir zafiyet bulunmamaktadır.

Yapılan incelemeler neticesinde; yetkisiz bir üçüncü kişi tarafından, Şirketimizce bayi çalışanlarımız için hediye/promosyon uygulamalarının yönetiminde kullanılan Vespuan, Regalpuan, Segbonus, Vesbonus uygulamalarının da yer aldığı Firma sunucusuna yönelik gerçekleştirilen siber saldırı sonucunda, 24.05.2023 ve 30.05.2023 tarihleri arasında Firma sunucularına erişilmesi neticesinde bahse konu olayın gerçekleştiği tespit edilmiştir. Söz konusu olay; yalnızca Vespuan, Regalpuan, Segbonus, Vesbonus uygulamaları ile sınırlı olup, herhangi başka bir sisteme yönelik bir veri güvenliği zafiyeti söz konusu değildir.

Olayın kapsamının tespit edilmesi amacıyla sürdürülen çalışmalar sonucunda, Şirketimizin kullandığı ilgili uygulama üzerinde yer alan bazı kişisel verilerin söz konusu olaydan etkilendiği tespit edilmiştir. Bahse konu olaydan etkilenen ve ilgili uygulama içerisinde bulunan kişisel veriler aşağıdaki şekildedir:

Kişisel Veriler

• Kimlik Verileri: T.C. kimlik numarası, ad-soyad
• İletişim Verileri: E-posta adresi ve telefon numarası

Bu olayın etkilediği sistemler, ödeme bilgileri veya finansal bilgiler gibi hassas verilerinizi veya özel nitelikli kişisel verilerinizi içermemektedir. Dolayısıyla, söz konusu veriler bağlamında alınması gereken ilave herhangi bir tedbire gerek bulunmamaktadır. İhlalden etkilenen kişisel verilerin, özel nitelikli kişisel veriler veya finansal bilgileri içermemesi sebebiyle söz konusu olayın şahsınıza olumsuz bir biçimde etki etme ihtimali düşük olarak değerlendirilmektedir.

Olay akabinde, benzer bir durumun yaşanmaması için gerekli tüm önlemler Şirketimiz tarafından aşağıdaki kapsamda ivedi şekilde alınmıştır:

• Firma ile görüşülerek yetkisiz erişimlere karşı tüm önlemler alınmış olup ilgili önlemlerin uygulanmasına yönelik süreç başlatılmıştır.
• Firma kendi sunucularına erişimi kısıtlamıştır. İlgili erişimler, sadece yetkili/tanımlı kişiler tarafından kullanılmakta olan statik ve belirli IP adresleri üzerinden gerçekleşmektedir.
• Sistemlere erişimde 2 adımlı kimlik doğrulama yöntemi uygulanmaktadır.

İlgili Veri İhlal Bildirimi İçin İrtibat Bilgileri:

Veri Koruması Müdürlüğü

hukukverikorumasi@zorlu.com

Sizlerin kişisel verilerinin korunması ve bu ve benzeri olayların tekrar yaşanmaması için gerekli her türlü teknik ve idari önlemi aldığımızı eklemek isteriz.

Bilgilerinize saygılarımızla sunarız.