Marriott Otel Grubuna Yönelik Veri Sızıntısı 500 Milyon Kişiyi Etkiliyor…

Marriott Otel Grubuna Yönelik Veri Sızıntısı 500 Milyon Kişiyi Etkiliyor…


30 Kasım 2018 Cuma günü, tarihin en büyük veri ihlallerinden birisi açıklandı. Bünyesinde pek çok otel ve lüks tüketim ürünü markası barındıran Amerika’da yerleşik Marriott grubu tarafından kamuoyuna yapılan açıklamanın içeriği dehşet verici.

2014 yılından bu yana devam eden veri sızıntısı ile yaklaşık olarak 500 milyon insanın bilgilerine erişilmiş. Veri sızıntısının otel müşterileri veri tabanından olması nedeniyle, 327 milyon kişiye ait

“ad/soyad, iletişim ve e-posta adresleri, telefon numarası, pasaport numarası, doğum tarihi, cinsiyet, geliş/gidiş tarihleri, rezervasyon tarihleri ve özel üyelik hesabı bilgilerinin”

çalındığı açıklandı. Üstelik bu kişilerden bir kısmına ait ödeme kartı numara ve kartın son kullanım tarihi bilgilerine de erişildiği düşünülüyor.

marriott hotels ile ilgili görsel sonucu

Marriott tarafından yapılan açıklamada, 8 Eylül 2018 tarihinde, grubun otel müşterilerine ait bilgilerinin saklandığı “Starwood Guest Reservation” veri tabanına izinsiz erişim uyarısı alınması ile başlayan süreçte, 2014 yılından bu yana veri tabanına izinsiz erişim gerçekleştiğinin fark edildiği belirtiliyor. Yani, 2014 yılından bu yana Marriott otellerine rezervasyon yaptıranlara ait kişisel verilere yasa dışı bir şekilde erişilmiş ve bu veriler kopyalanmış.

Aralarında Sheraton Otel’in de bulunduğu pek çok sayıda otele ait müşteri ve rezervasyon veri tabanının ortak kullanıldığını gösteren bu açıklama, halen adli ve idari soruşturmaların devam ettiğini, yetkili otoriterle işbirliği içinde olduklarını vurguluyor.

Grup tarafından bir web sayfası oluşturularak veri güvenlikleri ihlal edilen müşterilere bilgilendirme yapılırken, bundan sonrası içinde bir takım uyarılarda bulunuyor. Ancak, özellikle Avrupa Birliği bünyesinde Mayıs 2018’den bu yana yürürlükte olan kişisel verilerin korunması düzenlemesi (GDPR) düşünüldüğünde, grubu ciddi bir para cezasının beklediği öngörülebilir (Her ne kadar grubun merkezi Amerika’da olsa da, GDPR hükümleri gereği, AB vatandaşlarının verilerin işleyen tüm veri sorumluları GDPR yükümlülüklerine tabi).

Eylül 2018’de ilk kez varlığı konusunda uyarı alınan veri sızıntısı ile ilgili, anılan tarihten bu yana mücadele edildiği, yapılan açıklamadan anlaşılmakla beraber, 2014 yılından bu yana ve bu boyutta bir veri ihlalinin “fark edilememiş” olması, verilerin korunmasına yönelik teknik tedbirlerde sıkıntı olduğunu gösterebilir. Kaldı ki, Eylül ayından bu yana geçen süre, veri sızıntısına yönelik sürecin yeterince hızlı işletilmediği anlamına gelebilir. Zira, ihlalin öğrenilmesini takip eden 72 saat içerisinde ilgili otoriteler ile kişilerin bilgilendirilmesi gerekiyor.

Daha neler sorulabilir? 500 milyon kişiye ait verinin tümünün bir veri tabanında saklanması, doğru bir uygulama mıdır? Bu verilerin, toplanma/işlenme amacı sona erenler dahil bir kısmının yok edilmiş, silinmiş olması gerekmiyor muydu? Grubun ilgili otoritelere vermesi gereken pek çok sayıda cevap olduğu tartışmasız.

Yaptırım ne mi olabilir? Yıllık küresel cironun %4’üne veya 20 milyon Euro’ya kadar idari para cezası. Kişisel verilerine erişilen kişilerin, bu nedenle zarara uğramış olduklarının tespit edilmesi halinde, bu zararın giderimine yönelik ödemeler bunun dışında tabi.

Grubun otelleri Türkiye’de faal. Ötesinde, kişisel verilerine izinsiz erişilen ve kopyalanan 500 milyon kişinin arasında Türkiye Cumhuriyeti vatandaşlarının da olduğu aşikar. Bu nedenle Kişisel Verileri Koruma Kurumu’nun (KVKK) bu konuda kamuoyunu bilgilendirmesi, ilgili veri sorumlularından açıklama ve bilgi talep etmesi, devam eden soruşturma sürecini etkin bir şekilde takip ederek gerektiğinde kendi soruşturmasını yürütmesi gerektiği açık.

Bu ciddi ihlal, kişisel verileri işleyen veri sorumlularının karşı karşıya oldukları tehlikenin boyutlarını bir kez daha görünür kıldı. Bizde de, özellikle 5 Ekim 2018 Cuma günü başlayan VERBİS sistemi kayıt süreci ile kişisel verilerin işlenmesi ve korunmasında yeni bir döneme geçilmiş olmakla beraber, farkındalık sürecinin henüz istenilen seviyede olmadığı görülüyor. Bakalım, hangi tecrübelerle öğreneceğiz kişisel verilerin korunmasını…