ING Bank, 19 bin 55 kişinin verilerini sızdırdı

Kişisel Verileri Koruma Kurumu, ING Bank'ın çoğunluğu kendi müşterisi olmayan 19 bin 55 kişinin kişisel verilerini sızdırdığını duyurdu.

Kişisel Verileri Koruma Kurumu (KVKK), internet sitesinde 2 Mart tarihinde ING Bank A.Ş.'ye ilişkin veri ihlali bildirimi yayınladı. Evrensel'in haberine göre; duyuruda, ING Bank'ta görevli bir personelin, çoğunluğu ING Bank müşterisi olmayan 19 bin 55 kişinin TC kimlik numarası ve vergi kimlik numarası bilgileriyle Türkiye Bankalar Birliği Risk Merkezi sistemleri üzerinden sorgular yaptığı ve sorgu sonucu oluşan verileri elektronik haberleşme yollarıyla banka dışına çıkarttığı aktarıldı.

Duyuruda personelin, gerçek kişi tacir ve tüzel kişi tacirlere sorgu yapabilen KRM kayıtlarına ulaştığı belirtildi.

KRM sorgulama özet raporunda sorgu yapılan firmaya ilişkin ulaşılabilen bilgiler şöyle:

Bankalar nezdindeki kredi limiti
Risk ve teminatlarına ilişkin rakamsal bilgileri
Firmanın kuruluş tarihi
Çalışan sayısı
Geçmiş döneme ilişkin ciro bilgisi
Telefon ve adresi
Firma sahibinin ortaklarının isimleri
Ortaklık payları ve ortakların TC kimlik numaraları
İhale yasağına ilişkin notlar
Firma tarafından ibraz edilen çeklere ilişkin muhtelif bilgiler
Firma sahibi ve ortaklarının firma ile ilişki durumu
Firma kredi skorları
Duyuruda 1172 adet gerçek kişi ticari işletmesinin KRM raporları ile adres ve telefon verilerinin, buna ek olarak 19 bin 55 kişinin TCKN ve isim bilgilerinin banka dışına aktarıldığı vurgulandı.

KVKK'nın açıklaması şöyle:

"Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun 'Veri güvenliğine ilişkin yükümlülükler' başlıklı 12 nci maddesinin (5) numaralı fıkrası 'İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.' hükmünü amirdir.

Veri sorumlusu sıfatını haiz olan ING Bank A.Ş (ING Bank) tarafından Kurumumuza gönderilen 21.01.2019 tarihli yazıda özetle;

- Türkiye Bankalar Birliği (TBB) tarafından Risk Merkezi nezdinde bilgi güvenliğine yönelik yapılan çalışmalarda, bir ING Bank çalışanının yapmış olduğu sorguların şüpheli olduğunun tespit edildiği ve bu işlemlerin olası bir veri sızıntısına yol açıp açmadığının belirlenmesi amacıyla ilgili Banka nezdinde denetim ekiplerince soruşturma yapılması gerektiğinin 19.10.2018 tarihinde ING Bank A.Ş. Genel Müdürlüğüne tebliğ edildiği,

- Bu doğrultuda ING Bank Teftiş Kurulu tarafından veri ihlaline sebep olan şahsa tahsis edilen Banka cihazlarına el konularak mevcut ve silinen e-postaları ile ilgili cihazlar üzerinden gerçekleştirdiği her tür işleme yönelik inceleme/soruşturma çalışması başlatıldığı,

- Soruşturma safhasında veri ihlaline sebep olan şahsın şüpheli beyanları ve cihazlarında yapılan incelemeler kapsamında oluşan ön bulgularda 5411 sayılı Bankacılık Kanununun Müşteri Sırrının ifşasına yönelik hükümleri çerçevesinde veri sızıntısı teşkil edebilecek unsurlar bulunduğuna yönelik kuvvetli emareler tespit edildiği,

- Veri sızıntısına neden olan şahsın ING Bank A.Ş.’nin uygulaması olan Finsoft sisteminde üzerinde tanımlı yetkileri uyarınca Ticari Nitelikli Kredi Bildirimi ve Paylaşımı (KRM) sorgusu yapamadığı halde, yetkilendirme sistemini devre dışı bırakacak bir yöntem ile yetki aşımı yaparak TBB Risk Merkezi web sitesine Banka kullanıcı olarak doğrudan erişim sağlayabildiği,

- Bu kapsamda toplanan ve incelenebilen Banka sistem logları, tanık beyanları ve sair deliller ışığında yapılan değerlendirmeler sonucu veri sızıntısına sebep olan şahsın dışında Banka bünyesinde yapılan geniş kapsamlı incelemelerde bu eyleme iştirak eden veya benzer şekilde hareket eden başka bir personelin bulunduğuna yönelik şüpheli başka bir durum olmadığı sonucuna ulaşıldığı,

- Veri sızıntısına sebep olan şahsın 2018 yılı içinde birçok kez Türkiye Bankalar Birliği Risk Merkezi sistemleri üzerinden usulsüz şekilde, çoğunluğu ING Bank müşterisi olmayan bir kısım şirketlere ait dışarıdan temin ettiği düşünülen TC kimlik numarası (TCKN) ve vergi kimlik numarası (VKN) bilgileriyle sorgular yaptığı ve söz konusu sorgular sonucu oluşan verilerin elektronik haberleşme yollarıyla Banka dışına çıkarttığı,

- ING Bank tarafından gerçekleştirilen inceleme, soruşturma çalışmaları ve yapılan değerlendirmeler neticesinde şu ana kadar ulaşılan bilgiler ışığında şirketlere ait sorgu yapılmış olmasına rağmen gerçek kişi tacir (şahıs firması) bilgilerinin de sorgularda yer aldığının tespit edildiği,

- Bilgilerine ulaşılan gerçek kişi tacirlerin ve tüzel kişi tacirlerin büyük çoğunluğunun banka müşterisi olmadığından dolayı söz konusu TCKN ve VKN verilerinin dışarıdan temin edilmiş olduğu sonucuna varıldığı,

- ING Bank A.Ş. müşterisi olan az sayıda şirketin VKN’lerinin de dışarıdan gelen listelerden alındığının tahmin edildiği,

- Şahsın bireysel kredibilite bilgisine bakabilen bireysel nitelikli kredi kayıtlarına değil, gerçek kişi tacir ve tüzel kişi tacirlere sorgu yapabilen KRM kayıtlarına ulaştığı,

- KRM sorgulama özet raporunda (KRM + çek rapor sorgusunun seçilmesi durumunda), sorgu yapılan firmaya ilişkin olarak; Bankalar nezdindeki kredi limiti, risk ve teminatlarına ilişkin rakamsal bilgileri, firmanın kuruluş tarihi, çalışan sayısı, geçmiş döneme ilişkin ciro bilgisi, telefon ve adresi, firma sahibinin ortaklarının isimleri, ortaklık payları ve ortakların TC kimlik numaraları, ihale yasağına ilişkin notlar, firma tarafından ibraz edilen çeklere ilişkin muhtelif bilgiler (ödenen çek adedi ve tutarı, arkası yazılan çek adedi ve tutarı, son 1 ay, 3 ay ve 12 ay içinde ödenen / arkası yazılan çek adet ve tutarı, çek hesabının bulunduğu bankaların isimleri), firma sahibi ve ortaklarının firma ile ilişki durumu (kefalet/ortaklık/yöneticilik v.s.) ve firma kredi skorları bilgilerine ulaşılabildiği,

- 1.172 adet gerçek kişi ticari işletmesinin KRM raporları ile adres ve telefon verilerinin, ilave olarak KRM raporlarında yer alan tüzel kişilikleri oluşturan gerçek kişilere ilişkin bilgiler kontrol edildiğinde toplam 19.055 adet gerçek kişinin TCKN ve isim bilgilerinin banka dışına aktarıldığının anlaşıldığı,

- İNG Bank A.Ş tarafından kontrolü mümkün alanlara yönelik olarak denetim, tespit ve farkındalık arttırıcı unsurların değerlendirme altına alınarak, yetki denetimini devre dışında bırakmak için kullanılan yöntemin engellendiği,

- Eski personelin hukuka aykırı edimleri dâhilinde veri güvenliği ihlali gerçekleştiğine dair bu durumdan etkilenen gerçek kişi ticari işletmelere mevzuat gereği yapılacak bildirimlerin usulü ve içeriğine ilişkin olarak çalışmanın TBB Risk Merkezi ile koordineli şekilde başlatıldığı

bilgilerine yer verilmiştir.

Bu kapsamda, Kişisel Verileri Koruma Kurulunun 01.03.2019 tarih ve 2019/43 sayılı Kararı ile söz konusu veri ihlalinin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur."