İhlalden etkilenen kişisel verilerin kimlik, iletişim ve lokasyon kategorileri dahilinde; pilot ve kabin ekibi çalışanlarının adı, soyadı, telefon numarası, e-posta adresi, unvanı, geçmiş tarihlerde yapmış oldukları uçuş bilgileri, uçuş lokasyonları ile bu çalışanların bir kısmının fotoğraf ve imza görselleri ele geçirilmiştir.
Veri sorumlusu tarafından istihdam edilen uçuş ekiplerinin uçuş planlamalarının yapılması ve gerekli koordinasyonun sağlanması amacıyla kurulan servisin tarayıcı listeleme özelliğinin açık olması sebebi ile sistemlere yetkisiz erişim söz konusu olmuştur.
21.03.2022 tarihinde söz konusu sistemde bulunan ve açık olduğu tespit edilen browser listening (tarayıcı listeleme) özelliğinin 24.03.2022 tarihinde kapatılarak güvenlik açığının giderildiği,
İhlalin ise daha sonra bilgi güvenliği istihbarat servisleri izleme araçları üzerinden 31.05.2022 tarihinde tespit edildiği, ayrıca sosyal medya hesapları ve bazı internet sitelerinde, konu hakkında yetkisiz erişim yapan kişilerce kendilerini tanıtıcı metinler yayımlandığı,
Yetkisiz erişim sağlayan üçüncü kişilerin paylaşımları üzerine, kendileri ile iletişime geçilerek, erişilen kişisel verilerin imha edilmesi talep edildiği bilgilerine yer verilmiştir.
Sonuç:
Havayolu şirketleri veri sorumlusu olarak birçok veri işleme faaliyeti yürütmektedir. Bu nedenle veri ihlaline uğramamak adına başlangıçta gerekli idari ve teknik tedbirlerin alınması, güvenlik zafiyetinin ölçülmesi için de düzenli olarak pentest ve daha bir olay olmadan olay varmışçasına tüm endpointlerden delil toplanması gerekmektedir. Şifreleme ve yetki kontrollerinin yapılması, saldırı ve tespit önleme sistemlerinin kurulması olası bütün durumlarda kurum ve kuruluşları bir adım öne taşıyacaktır.
Bildirimin tamamına ulaşabilmek için; https://www.kvkk.gov.tr/Icerik/7342/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Pegasus-Hava-Tasimaciligi-Anonim-Sirketi
