ING Bank’ta büyük veri sızıntısı

Kişisel Verileri Koruma Kurumu, ING Bank’tan 19 bin 55 kişinin bilgilerinin sızdığını açıkladı. Sızıntıyı Türkiye Bankalar Birliği Risk Merkezi tesbit etti.

Kişisel Verileri Koruma Kurulu internet sitesinde yapılan açıklamaya göre, ING Bank’tan binlerce şirketin verileri sızdırıldı.

Paramedya’nın haberine göre Türkiye Bankalar Birliği (TBB) tarafından Risk Merkezi nezdinde bilgi güvenliğine yönelik yapılan çalışmalarda, bir ING Bank çalışanının yapmış olduğu sorguların şüpheli olduğunun tespit edildiği ve bu işlemlerin olası bir veri sızıntısına yol açıp açmadığının belirlenmesi amacıyla ilgili Banka nezdinde denetim ekiplerince soruşturma yapılması gerektiğinin 19.10.2018 tarihinde ING Bank A.Ş. Genel Müdürlüğüne tebliğ  etti.

KRM SORGUSU
Veri sızıntısına neden olan şahsın ING Bank A.Ş.’nin uygulaması olan Finsoft sisteminde üzerinde tanımlı yetkileri uyarınca Ticari Nitelikli Kredi Bildirimi ve Paylaşımı (KRM) sorgusu yapamadığı halde, yetkilendirme sistemini devre dışı bırakacak bir yöntem ile yetki aşımı yaparak TBB Risk Merkezi web sitesine Banka kullanıcı olarak doğrudan erişim sağlayabildiğİ bildirildi.

ING SORUŞTURDU

Kişisel Veri Korumu Kurumu internet sitesinde olayı şu şekilde açıkladı:

-Veri sızıntısına neden olan şahsın ING Bank A.Ş.’nin uygulaması olan Finsoft sisteminde üzerinde tanımlı yetkileri uyarınca Ticari Nitelikli Kredi Bildirimi ve Paylaşımı (KRM) sorgusu yapamadığı halde, yetkilendirme sistemini devre dışı bırakacak bir yöntem ile yetki aşımı yaparak TBB Risk Merkezi web sitesine Banka kullanıcı olarak doğrudan erişim sağlayabildiği,

-ING Bank tarafından gerçekleştirilen inceleme, soruşturma çalışmaları ve yapılan değerlendirmeler neticesinde şu ana kadar ulaşılan bilgiler ışığında şirketlere ait sorgu yapılmış olmasına rağmen gerçek kişi tacir (şahıs firması) bilgilerinin de sorgularda yer aldığının tespit edildiği,
Bilgilerine ulaşılan gerçek kişi tacirlerin ve tüzel kişi tacirlerin büyük çoğunluğunun banka müşterisi olmadığından dolayı söz konusu TCKN ve VKN verilerinin dışarıdan temin edilmiş olduğu sonucuna varıldığı,

-ING Bank A.Ş. müşterisi olan az sayıda şirketin VKN’lerinin de dışarıdan gelen listelerden alındığının tahmin edildiği,
Şahsın bireysel kredibilite bilgisine bakabilen bireysel nitelikli kredi kayıtlarına değil, gerçek kişi tacir ve tüzel kişi tacirlere sorgu yapabilen KRM kayıtlarına ulaştığı, 

-KRM sorgulama özet raporunda (KRM + çek rapor sorgusunun seçilmesi durumunda), sorgu yapılan firmaya ilişkin olarak; Bankalar nezdindeki kredi limiti, risk ve teminatlarına ilişkin rakamsal bilgileri, firmanın kuruluş tarihi, çalışan sayısı, geçmiş döneme ilişkin ciro bilgisi, telefon ve adresi, firma sahibinin ortaklarının isimleri, ortaklık payları ve ortakların TC kimlik numaraları, ihale yasağına ilişkin notlar, firma tarafından ibraz edilen çeklere ilişkin muhtelif bilgiler (ödenen çek adedi ve tutarı, arkası yazılan çek adedi ve tutarı, son 1 ay, 3 ay ve 12 ay içinde ödenen / arkası yazılan çek adet ve tutarı, çek hesabının bulunduğu bankaların isimleri), firma sahibi ve ortaklarının firma ile ilişki durumu (kefalet/ortaklık/yöneticilik v.s.) ve firma kredi skorları bilgilerine ulaşılabildiği,
1.172 adet gerçek kişi ticari işletmesinin KRM raporları ile adres ve telefon verilerinin, ilave olarak KRM raporlarında yer alan tüzel kişilikleri oluşturan gerçek kişilere ilişkin bilgiler kontrol edildiğinde toplam 19.055 adet gerçek kişinin TCKN ve isim bilgilerinin banka dışına aktarıldığının anlaşıldığı,

–İNG Bank A.Ş tarafından kontrolü mümkün alanlara yönelik olarak denetim, tespit ve farkındalık arttırıcı unsurların değerlendirme altına alınarak, yetki denetimini devre dışında bırakmak için kullanılan yöntemin engellendiği, 

Eski personelin hukuka aykırı edimleri dâhilinde veri güvenliği ihlali gerçekleştiğine dair bu durumdan etkilenen gerçek kişi ticari işletmelere mevzuat gereği yapılacak bildirimlerin usulü ve içeriğine ilişkin olarak çalışmanın TBB Risk Merkezi ile koordineli şekilde başlatıldığı
bilgilerine yer verilmiştir.

Bu kapsamda, Kişisel Verileri Koruma Kurulunun 01.03.2019 tarih ve 2019/43 sayılı Kararı ile  söz konusu veri ihlalinin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.
Kamuoyuna saygıyla duyurulur.