AstraZeneca Hacklendi: Çalışanların Detayları Ortaya Saçıldı

Geliştirdiği COVID-19 aşısı ile bir dönem çoğunlukla haberlerimize mevzu olan AstraZeneca ile ilgili mühim bir gelişme yaşandı. Kişisel Verileri Korumu Kurumu (KVKK) tarafınca meydana getirilen açıklamalarda, AstraZeneca’da ciddi bir veri ihlali yaşandığı ifade edildi. AstraZeneca’dan mevzuyla ilgili bir açıklama gelmezken, KVKK’ya nazaran bu ihlalden ortalama 1000 şahıs etkilendi.

KVKK’ya nazaran AstraZeneca’daki veri ihlali, firmanın iş başvurularını toplayan “Workday Limited” adlı sisteminde gerçekleşti. Bilgisayar korsanları, gerçekleştirdikleri saldırı ile Workday Limited sisteminde kaydı olan kullananların bulundukları ülke, isim, e-posta, telefon numarası, maaş beklentisi ve mevcut maaş bilgisi benzer biçimde verilerine ulaştılar. KVKK, saldırının 31 Temmuz 2022’de tespit edildiğini açıkladı.

KVKK’nın açıklaması şu şekilde

“Bilinmiş olduğu suretiyle, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafınca elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi web sitesinde ya da uygun göreceği başka bir yöntemle duyuru edebilir.” hükmünü amirdir.

Veri sorumlusu sıfatını haiz AstraZeneca İlaç Endüstri ve Tecim Limited Şirketi tarafınca Kurula iletilen veri ihlal bildiriminde özetle;

• Çalışan adaylarının, “AstraZeneca”daki açık pozisyonlara başvurabilmelerini elde eden, veri işleyen (Workday Limited) sisteminde ihlal gerçekleştiği,
• Bir adayın kendi hesabına giriş yapmadan iş başvurusu gönderebilmesi için Workday’in, kullanıcı oturumuna ilişkin verileri seyretmek adına bir JavaScript değişkeni kullandığı, bu değişkenin HTML kaynağına dahil edilmiş olduğu, değişkenin değerinin, harici kariyer sitesi için HTML kaynağını inceleyen, mesela tarayıcının “Deposu Görüntüle” hususi durumunu kullanan kullanıcılar tarafınca görülebilir hale geldiği,
• Bahse mevzu durumdan dolayı, 13 Temmuz 2022 saat 23:53 (İstanbul saati) ila 14 Temmuz 2022 saat 05:32 içinde ve/yada 20 Temmuz 2022 saat 22:06 ila 1 Ağustos 2022 saat 23:15 içinde iş başvurusu meydana getiren çalışan adaylarının kişisel verilerinin kısa süreliğine erişilebilir hale geldiği,
• İhlalin 31 Temmuz 2022 tarihinde tespit edilmiş olduğu,
• İhlalden etkilenen şahıs grubunun çalışan adayları olduğu,
• İhlalden tahmini 981 kişinin etkilendiği,
• İhlalden etkilenen kişisel verilerin; ülke, isim, e-posta, telefon numarası, maaş beklentisi, mevcut maaş bilgisi, var ise “AstraZeneca” ile önceki iş ilişkisi bilgisi, vize durumu, mevcut yada önceki işveren ile ilgili kısıtlayıcı maddelerin ayrıntıları bulunduğunun tahmin edilmiş olduğu, buna ek olarak, çalışan adaylarının veri işleyen sistemi üstünden gönüllü olarak da kişisel URL, iş deneyimi, eğitim, dil, kabiliyetler ve özgeçmiş verilerini sağlayabildiği

bilgilerine yer verilmiştir.

Mevzuya ilişkin araştırma devam etmekle beraber, Kişisel Verileri Koruma Kurulunun 11.08.2022 tarih ve 2022/831 sayılı Sonucu ile söz mevzusu veri ihlali bildiriminin Kurumun web sayfasında duyuru edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.”