Boyner’in kampanya tanıtımı ve üyelik işlemleri için kullandığı SMS Gönderim Paneli’ne bir hacker 28.04.2023 tarihinde kullanıcı adı ve şifre kullanarak giriş yaptığı tespit edildi. 06.05.2023 tarihi saat 19:36’ya kadar birden fazla çeşitli girişler tespit edildi. Bu girişlerde kullanıcı adı ve şifre girişinde herhangi bir hata olmadığı, sisteme erişen kişilerin doğru kullanıcı adı ve şifre kombinasyonu bilgisine sahip olduğunun düşünüldüğü; ancak bu kullanıcı adı ya da şifre bilgisine nasıl sahip olunduğunun henüz tespit edilemediği duyuruldu.
Boyner sızıntısında hangi verilere erişildi?
Boyner’in SMS Gönderim Paneli’ne kayıtlı toplam 2.313.962 kullanıcının cep telefonu numarasına erişildi. Kullanıcılardan 534.605 kişiye Medimart’ı taklit eden sahte bir internet sitesinin linkini içeren kampanya SMS’i gönderildi. Bu linke tıklayarak alışveriş yapan kullanıcıların kimlik, iletişim ve kredi kartı bilgileri ele geçirilmeye çalışıldı.
Boyner’in veri ihlali bildiriminde şu ifadelere yer verildi:
Veri sorumlusu sıfatını haiz Boyner Büyük Mağazacılık Anonim Şirketi (Boyner) tarafından Kurula iletilen veri ihlal bildiriminde özetle:
Veri sorumlusunun, mevzuatın izin verdiği ve/veya gerektirdiği konularda bilgilendirmelerin yapılması ve ticari elektronik iletişim izni veren müşterilerine ticari elektronik ileti gönderilmesi amaçlarıyla toplu SMS ve MMS gönderimine yönelik mesajlaşma hizmetleri kullandığı; bu mesajlaşma hizmetinin veri işleyenin sahibi olduğu internet sitesi üzerinde oluşturulmuş SMS Gönderim Paneli vasıtasıyla gerçekleştirildiği,
Yapılan kontrollerde, SMS Gönderim Paneli üzerinden sunulan hizmetlere erişmek için kullanılan hesaplardan bir tanesine ait kullanıcı adı ve şifresi kullanılarak ilk kez 28.04.2023 günü saat 18:15’te SMS Gönderim Paneli’ne şüpheli giriş yapıldığı; 06.05.2023 tarihi saat 19:36’ya kadar da çeşitli şüpheli girişler yapıldığının anlaşıldığı; bu girişlerde, herhangi bir hatalı şifre denemesi bulunmadığı görüldüğünden sisteme erişen kişilerin doğru kullanıcı adı ve şifre kombinasyonu bilgisine sahip olduğunun düşünüldüğü; ancak bu kullanıcı adı ya da şifre bilgisine nasıl sahip olunduğunun henüz tespit edilemediği,
SMS Gönderim Panelinde kayıtlı toplam 2.313.962 müşterinin iletişim (cep telefonu numarası) ve müşteri işlem verilerine (ilgili müşteriye hangi pazarlama SMS’lerinin gönderildiği ve bu SMS’lerin ilgili müşteriye ulaşıp ulaşmadığı bilgisi) erişildiğinin anlaşıldığı; ayrıca bu kişilerin içerisinden 534.605 kişiye, Media Markt Turkey Ticaret Ltd. Şti. tarafından işletilen “www.mediamarkt.com.tr” internet sitesini taklit eden sahte bir internet sitesinin linkini içeren SMS’lerin gönderildiğinin anlaşıldığı,
Bahse konu sahte internet sitesi aracılığıyla, kullanıcıların kimlik, iletişim ve finansal bilgilerini toplamanın yanısıra, banka hesabı olmaksızın para gönderip almayı ve para yükleyip çekebilmeyi sağlayan bir uygulamadaki bir hesaba para gönderilmesinin amaçlandığı,
Bununla birlikte SMS Gönderim Panelinde kayıtlı toplam 741.945 müşteriye ise, bu müşterilerin herhangi bir verisine erişim sağlanmaksızın, SMS Gönderim Paneli’nden daha önce gönderilmiş SMS’lerin içerikleri değiştirilerek yeniden SMS gönderildiği;
İhlalden tahmini olarak 3.055.907 kişinin etkilendiği,
İhlalin 28.04.2023 tarihinde başladığı ve 06.05.2023 tarihinde tespit edildiği,
İlgili kişilerin veri ihlali ile ilgili veri sorumlusunun çağrı merkezi olan 444 2 967 telefon numarasından, boynerkvkk@boyner.com.tr e-posta adresinden ve yazılı olarak “Boyner Büyük Mağazacılık A.Ş. Büyükdere Cad. USO Center Binası No:245/2 34396 Maslak, Sarıyer/İstanbul” adresinden bilgi alabilecekleri