03 Oca, 2024

CRM Uygulamasında Yer Alan Veri İhlal Bildirimi – MongoDB Limited

Veri sorumlusu sıfatını haiz MongoDB Limited tarafından Kişisel Verileri Koruma Kuruluna iletilen veri ihlal bildiriminde özetle;

  • Bir kullanıcı hesabının olağandışı ve şüpheli sorgular yaptığının 13 Aralık 2023 tarihinde fark edildiği ve bunun üzerine araştırmanın derinleştirildiği,
  • Bilinmeyen üçüncü tarafın sınırlı sayıda veri sorumlusu çalışanının kullanıcı hesaplarına yetkisiz erişim sağladığı ve bir kısım hizmetlerin kullanıcılarına ilişkin kişisel verilere eriştiğine ve bu verileri indirdiğine dair bulgulara rastlandığı,
  • İncelemeler devam etmekle birlikte, müşteri iletişim bilgilerinin ve ilgili hesaplara ait meta verilerinin CRM uygulamasından ve müşteri destek uygulamasından sızdırıldığının 20 Aralık 2023 tarihinde tespit edildiği,
  • Etkilenen kişisel veriler içerisinde ad, soyad, adres ve e-posta adreslerinin (genellikle iş adresi) bulunduğu; ancak CRM uygulaması ve müşteri destek uygulamasında bunlara ilaveten başkaca veri alanlarının da yer aldığı; bu verilerin,
    • veri alanlarının; hitap, ad, soyad, unvan, hesap no, şirket adı, adres, telefon numarası (esas, mobil, fax), eposta, satış temsilcisi (MongoDB) adı, soyadı,
    • Müşteri Destek uygulamasında yer alan veri alanlarının; kullanıcı adı (e-posta adresi), son başarılı kimlik doğrulama zamanı, kullanılan son kimlik doğrulama yöntemi, kullanıcının tercih ettiği saat dilimi için tanımlayıcı, kullanıcının tercih ettiği saat dilimi için alfabetik kod, kullanıcının kaydolma tarihi, kullanıcının adı, soyadı, benzersiz kullanıcı ID, kullanıcının davet edildiği ancak henüz daveti kabul etmediği bilgisi, kullanıcının sınırlı izinleri olduğu, sayfanın kullanıcı tarafından en son görüntülendiği zaman, bir kullanıcının oturum açma sayısı, kullanıcının otomatik veya manuel olarak engellendiği ve kullanıcının silinip silinmediği bilgisi, silindiği zaman, e-posta doğrulama tarihi, e-posta doğrulama gerektirdiği bilgisi, alternatif eposta, çok faktörlü kimlik doğrulamayı etkinleştirdiği bilgisi,
    • Kullanımdan kaldırılan çok faktörlü kimlik doğrulama (MFA) sisteminin kullanıcıları için yer alan veri alanlarının; kullanımdan kaldırılan MFA için kullanılan telefon numarası, kullanımdan kaldırılan MFA için kullanılan telefon numarası uzantısı, kullanımdan kaldırılan MFA için kullanılan alternatif telefon numarası, kullanımdan kaldırılan MFA için kullanılan alternatif telefon numarası uzantısı, kullanımdan kaldırılan MFA için bir kimlik doğrulayıcı cihazın kullanılıp kullanılmadığı, kullanımdan kaldırılmış MFA kullanıcısının sesli arama almak isteyip istemediği bilgisi

olduğu,

  • İhlalden Türkiye’den 130.000 ile 160.000 arasında kullanıcının etkilenmiş olabileceği,
  • İhlal hakkında 16 Aralık 2023 tarihinde https://www.mongodb.com/alerts#general-alert adresinden kamuoyu duyurusu yayınlandığı,
  • İlgili kişilerin [email protected] elektronik posta adresinden ihlal ile ilgili bilgi alabileceği

bilgilerine yer verilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 28.12.2023 tarih ve 2023/2233 sayılı Kararı ile söz konusu veri ihlal bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Haber Kaynağı: KVKK Kamuoyu Duyurusu (Veri İhlali Bildirimi)

Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.

İçerik Hakkında:
MongoDB Limited tarafından CRM uygulamasında tespit edilen veri ihlali, 13 Aralık 2023'te olağandışı kullanıcı sorgularıyla fark edilmiş ve derinleştirilen araştırmada, sınırlı sayıda çalışanın hesaplarına yetkisiz erişim sağlanarak müşteri iletişim bilgileri ve meta verilerin sızdırıldığı belirlenmiştir. Detaylar içeriğimizde.
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram