Die Datenschutzbehörde (KVKK) gab bekannt, dass die Daten der tragbaren Anwendung und Website Arçelik BizBize, die das Haushaltsgeräte- und Technologieunternehmen Arçelik für seine Verkaufskampagnen nutzt, von Hackern gestohlen wurden.
Wie BelgeHaber berichtet, haben sich Cyber-Angreifer Zugang zum Admin-Panel eines Arçelik BizBize in Deutschland verschafft. Auf diese Weise beschlagnahmten Cyber-Angreifer die Daten in der Anwendung. Nach Angaben von Arçelik wurden die Daten von 30.000 Personen, die ausschließlich aus Händlern und autorisierten Servicemitarbeitern bestanden, gestohlen. Es wurde bekannt gegeben, dass es zu keinem zufälligen Leak von Kundeninformationen gekommen sei.
Die von KVKK veröffentlichte öffentliche Ankündigung lautet wie folgt:
„Wie bekannt, Absatz (5) des 12. Artikels des Gesetzes zum Schutz personenbezogener Daten Nr. 6698 mit der Überschrift „Verpflichtungen im Zusammenhang mit der Datensicherheit“ „Falls die verarbeiteten personenbezogenen Daten von anderen illegal erlangt werden, sind die Informationen Der Beamte benachrichtigt die betreffende Person und den Rat so bald wie möglich. Bei Bedarf kann der Rat diese Situation auf seiner Website oder auf andere Weise bekannt geben, die er für angemessen hält.
Mit dem Titel des Datenverantwortlichen ist Arçelik A.Ş. Zusammenfassend lässt sich sagen, dass in der vom Rat an den Rat übermittelten Mitteilung über Informationsverstöße;
– Den Händlern und autorisierten Servicemitarbeitern, mit denen der Datenverantwortliche eine Vereinbarung trifft, werden im Rahmen von Verkaufszwecken zusätzliche Vorteile gewährt, und aufgrund einer Sicherheitslücke, die in den Lieferantensystemen festgestellt wurde, in denen die mobile Anwendung und die Website von Arçelik Bizbiz installiert sind, wird unbefugter Zugriff auf personenbezogene Daten erlangt gehostet werden,
– Der Datenverarbeiter ist Eigentümer des Codes und Eigentümer der relevanten Systeme, und der Informationsbeauftragte erhält Dienste mit einem Modell, zu dessen Nutzung nur er/sie berechtigt ist.
– Es wurde festgestellt, dass Unbefugte Zugriff auf das Admin-Panel haben und personenbezogene Daten von einer in Deutschland sichtbaren IP-Adresse abgerufen wurden,
– Von dem Verstoß betroffene relevante Personenkreise sind Händler und autorisierte Servicemitarbeiter,
– Identität (Name, Nachname, TCKN, Titel, Geburtsdatum, Geschlecht), Kontakt (E-Mail-Adresse, GSM-Nummer), Prozesssicherheitscode (LDAP-Code (Lightweight Directory Access Protocol) (wird zur Datenaufbewahrung und Zugriffsüberprüfung verwendet). ) und Benutzerpasswort, Registrierungs- und Aktualisierungsdatum, letztes Anmeldedatum, Kontoaktivitätsstatus, Gerätemodell, Versions- und Betriebssysteminformationen, Informationen zur Anwendungsversion, Benachrichtigungsberechtigungsstatus), Sonstiges (innerhalb des Systems können Händler und autorisierte Servicemitarbeiter Punkte sammeln und Ausgabeninformationen, Fachwissen, Ausbildung, Beschäftigungsdatum, Code, Name und Adresse des Händlers und des Geschäfts, mit dem die Person zusammenarbeitet, obwohl sie nicht über personenbezogene Daten verfügt)
– Die mutmaßliche Zahl der von dem Verstoß betroffenen nahestehenden Personen beträgt 30.373,
– Es wird darauf hingewiesen, dass die betreffenden Personen Informationen über das Anwendungspanel des Datenverantwortlichen erhalten können (https://privacyportal-eu.onetrust.com/webform/1ee6a6ce-9b09-49bd-b9e4-a3544706c63e/6361bf5f-8fd5-4af5- 8c3a-6cd46cddca1b).
Obwohl die Untersuchung zu diesem Thema noch andauert, wurde mit den Entscheidungen des Ausschusses zum Schutz personenbezogener Daten vom 01.06.2023 und der Nummer 2023/978 beschlossen, die Benachrichtigung über Informationsverstöße auf der Website der Institution bekannt zu geben.“
T24