Die Datenschutzbehörde (KVKK) gab bekannt, dass die Daten der tragbaren Anwendung und Website Arçelik BizBize, die das Haushaltsgeräte- und Technologieunternehmen Arçelik für seine Verkaufskampagnen nutzt, von Hackern gestohlen wurden.
Laut HardwareHaber haben sich Cyber-Angreifer Zugang zum Admin-Panel eines Arçelik BizBize in Deutschland verschafft. Auf diese Weise beschlagnahmten Cyber-Angreifer die in der Anwendung enthaltenen Informationen. Nach Angaben von Arçelik wurden die Daten von 30.000 Personen, die ausschließlich aus Händlern und autorisierten Servicemitarbeitern bestanden, gestohlen. Es wurde bekannt gegeben, dass es zu keinem zufälligen Leak von Kundeninformationen gekommen sei.
Die von KVKK veröffentlichte öffentliche Ankündigung lautet wie folgt:
„Bekanntlich heißt es in Absatz (5) des 12. Artikels des Gesetzes zum Schutz personenbezogener Daten Nr. 6698 mit der Überschrift „Verpflichtungen zur Datensicherheit“, dass „Falls die verarbeiteten personenbezogenen Daten von anderen illegal erlangt werden, Der Informationsbeauftragte benachrichtigt die betroffene Person und den Ausschuss so schnell wie möglich. Bei Bedarf kann der Rat diese Situation auf seiner eigenen Website oder über ein anderes System bekannt geben, das er für angemessen hält.“
Mit dem Titel des Datenverantwortlichen ist Arçelik A.Ş. Zusammenfassend lässt sich sagen, dass in der vom Rat an den Rat übermittelten Mitteilung über Informationsverstöße;
– Den Händlern und autorisierten Servicemitarbeitern, mit denen der Datenverantwortliche eine Vereinbarung trifft, werden im Rahmen ihrer Verkaufszwecke zusätzliche Vorteile gewährt, und aufgrund einer Sicherheitslücke, die in den Lieferantensystemen festgestellt wurde, in denen die tragbare Anwendung Arçelik Bizbizize installiert ist, wird ein unbefugter Zugriff auf personenbezogene Daten gewährt Website gehostet werden,
– Der Datenverarbeiter ist Eigentümer des Codes und Eigentümer der relevanten Systeme, und der Informationsbeauftragte erhält Dienste mit einem Modell, zu dessen Nutzung nur er/sie berechtigt ist.
– Es wurde festgestellt, dass Unbefugte Zugriff auf das Admin-Panel haben und personenbezogene Daten von einer in Deutschland sichtbaren IP-Adresse abgerufen wurden,
– Von dem Verstoß betroffene relevante Personenkreise sind Händler und autorisierte Servicemitarbeiter,
– Identität (Name, Nachname, TCKN, Titel, Geburtsdatum, Geschlecht), Link (E-Mail-Adresse, GSM-Nummer), Prozesssicherheitscode (LDAP-Code (Lightweight Directory Access Protocol) (wird zur Datenaufbewahrung und Zugriffsüberprüfung verwendet). ) und Benutzerpasswort, Registrierungs- und Aktualisierungsdatum, letztes Anmeldedatum, Kontoaktivitätsstatus, Gerätemodell, Versions- und Betriebssysteminformationen, Informationen zur Anwendungsversion, Benachrichtigungsberechtigungsstatus), Sonstiges (innerhalb des Systems können Händler und autorisierte Servicemitarbeiter Punkte sammeln und Ausgabeninformationen, Fachwissen, Ausbildung, Beschäftigungsdatum, Code, Name und Adresse des Händlers und des Geschäfts, in dem die Person arbeitet, obwohl sie nicht über persönliche Daten verfügt)
– Die mutmaßliche Zahl der von dem Verstoß betroffenen nahestehenden Personen beträgt 30.373,
– Es wird darauf hingewiesen, dass die betreffenden Personen Informationen über das Anwendungspanel des Datenverantwortlichen erhalten können (https://privacyportal-eu.onetrust.com/webform/1ee6a6ce-9b09-49bd-b9e4-a3544706c63e/6361bf5f-8fd5-4af5- 8c3a-6cd46cddca1b).
Obwohl die Untersuchung zu diesem Thema noch andauert, wurde mit den Entscheidungen des Ausschusses für den Schutz personenbezogener Daten vom 01.06.2023 und der Nummer 2023/978 beschlossen, die Benachrichtigung über Informationsverstöße auf der Website der Institution bekannt zu geben.
T24