Mongo DB isimli veri tabanı şirketine siber saldırı düzenlendi ve milyonlarca kullanıcının kişisel verileri çalındı. KVKK, Türkiye'den 160 bin kişinin verilerinin de saldırı sonucunda üçüncü şahısların eline geçtiğini duyurdu.
Kişisel Verileri Koruma Kurumu (KVKK), açık kaynak veritabanı uygulaması MongoDB'den kaynaklanan bir veri sızıntısı yaşandığını duyurdu.
Genellikle web geliştiriciler tarafından kullanılan MongoDB'den kaynaklanan sızıntı nedeniyle 130 ila 160 bin kişinin verilerinin sızdırıldığı belirtildi.
Bildirime göre üçüncü şahıslar, 13 Aralık 2023'te sınırlı sayıda MongoDB veri sorumlusu çalışanının kullanıcı hesaplarına yetkisiz erişim sağladı. Bu verileri indiren şahıslar, bunları müşteri iletişim bilgileri ve ilgili hesaplara ait meta verilerin yer aldığı "CRM" uygulaması ile müşteri destek uygulaması aracılığıyla sızdırdı.
KVKK, yayımladığı bildirimde, bu sızıntının 20 Aralık 2023'te fark edildiğini söyledi.
Hesap numarası, ikamet adresi, telefon numarası...
KVKK, etkilenen kişisel veriler içerisinde ad, soyad, adres ve e-posta adreslerinin (genellikle iş adresi) bulunduğu ancak CRM uygulaması ve müşteri destek uygulamasında bunlara ilaveten başkaca verilerin yer aldığını da belirtti.
Bu veriler şöyle sıralandı:
- CRM uygulamasında yer alan veri alanlarının; hitap, ad, soyad, unvan, hesap no, şirket adı, adres, telefon numarası (esas, mobil, fax), eposta, satış temsilcisi (MongoDB) adı, soyadı,
- Müşteri Destek uygulamasında yer alan veri alanlarının; kullanıcı adı (e-posta adresi), son başarılı kimlik doğrulama zamanı, kullanılan son kimlik doğrulama yöntemi, kullanıcının tercih ettiği saat dilimi için tanımlayıcı, kullanıcının tercih ettiği saat dilimi için alfabetik kod, kullanıcının kaydolma tarihi, kullanıcının adı, soyadı, benzersiz kullanıcı ID, kullanıcının davet edildiği ancak henüz daveti kabul etmediği bilgisi, kullanıcının sınırlı izinleri olduğu, sayfanın kullanıcı tarafından en son görüntülendiği zaman, bir kullanıcının oturum açma sayısı, kullanıcının otomatik veya manuel olarak engellendiği ve kullanıcının silinip silinmediği bilgisi, silindiği zaman, e-posta doğrulama tarihi, e-posta doğrulama gerektirdiği bilgisi, alternatif eposta, çok faktörlü kimlik doğrulamayı etkinleştirdiği bilgisi,
- Kullanımdan kaldırılan çok faktörlü kimlik doğrulama (MFA) sisteminin kullanıcıları için yer alan veri alanlarının; kullanımdan kaldırılan MFA için kullanılan telefon numarası, kullanımdan kaldırılan MFA için kullanılan telefon numarası uzantısı, kullanımdan kaldırılan MFA için kullanılan alternatif telefon numarası, kullanımdan kaldırılan MFA için kullanılan alternatif telefon numarası uzantısı, kullanımdan kaldırılan MFA için bir kimlik doğrulayıcı cihazın kullanılıp kullanılmadığı, kullanımdan kaldırılmış MFA kullanıcısının sesli arama almak isteyip istemediği bilgisi
MongoDB: Kontrol altına alındı
Sızıntıyla ilgili olarak 18 ve 20 Aralık 2023 tarihlerinde açıklama yapan MongoDB, dışarıdan adli tıp uzmanlarıyla çalıştıklarını ve durumu kontrol altına aldıklarını söyledi.