Facebook “Başkasının Gözünden Gör” Uygulaması Üzerinden Gerçekleşen Veri İhlaline 1 Milyon 600 Bin TL İdari Para Cezası

 

Facebook hakkında Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/269 sayılı Karar Özeti

 

Karar Tarihi : 18/09/2019
Karar No : 2019/269
Konu Özeti : Facebook “Başkasının Gözünden Gör” uygulaması üzerinden gerçekleşen veri ihlali hakkında Karar

 

KVKK – Facebook temsilcisi tarafından Kurumumuza gönderilen 14.10.2018 tarihli e-posta ile Facebook sisteminin birbirinden farklı üç özelliği olan “başkasının gözünden gör”, “doğum günü kutlayıcı” ve “video yükleyicinin” etkileşimi sonucunda oluşan bir hatadan kaynaklanan veri ihlaline ilişkin bilgi verilmiştir. Facebook temsilcisinin göndermiş olduğu e-postada özetle;

  • Facebook Inc. nezdinde 14-28 Eylül 2018 tarihleri arasında access token (erişim jetonları) kullanılmak suretiyle Facebook platformları üzerinden çeşitli Facebook hesabı bilgilerinin ele geçirildiği,
  • 25 Eylül 2018 tarihinde saldırganların erişim jetonları elde etmek için sistemleri üzerindeki üç hata arasındaki kompleks etkileşimden doğan bir zafiyetten faydalandıklarının tespit edildiği,
  • Erişim jetonlarının, aynı dijital bir anahtar gibi, Facebook platformları üzerinden çeşitli bilgilerin elde edilebilmesi için kullanıldığı,
  • İncelemeler sonucunda, ilgili zafiyetin Facebook’un kodu içerisinde 21 Temmuz 2017 tarihinde meydana geldiğinin tespit edildiği, ancak erişim jetonlarına yetkisiz olarak erişilmesine sebep olan bu saldırının 14 Eylül 2018 tarihinde başladığı kanaatini taşıdıkları, zira (25 Eylül 2018 tarihinde gerçekleştirilen incelemeler kapsamında) beklentinin üzerinde bir “View As” (Başkasının Gözünden Gör) trafiği artışının bu tarihte başladığının tespit edildiği,
  • 28 Eylül 2018 tarihinde kod üzerindeki zafiyetin düzeltilerek saldırının durdurulduğu, bununla birlikte ihlal hakkındaki incelemelerin devam ettiği,
  • İlgili zafiyetin, üç ayrı hatanın birbiri ile etkileşiminin bir sonucu olarak meydana geldiği, buna göre etkileşen üç hatanın; 1) “Başkasının Gözünden Gör” ara yüzünün, kullanıcıların kendi profillerinin başkaları tarafından nasıl görüntülendiğini görebildiği bir gizlilik özelliği olduğu, “Başkasının Gözünden Gör” özelliğinin yalnızca bir görüntüleme arayüzü olarak tasarlandığı, ancak kişilerin Facebook’a içerik yüklemesini sağlayan bir kutucuk (composer) üzerinden (spesifik olarak, kişilerin arkadaşlarının doğum günlerini kutlamalarını sağlayan versiyon üzerinden) “Başkasının Gözünden Gör” arayüzünde video yüklenmesi imkanının yanlışlıkla sağlandığı, 2) Video yükleyicisinin Temmuz 2017’de hayata geçirilen yeni bir versiyonunun (ilk hata sebebiyle uygulamaya konulan yeni arayüz), hatalı bir şekilde, Facebook mobil uygulamasının izinlerini taşıyan bir erişim jetonu oluşturduğu, bu erişim jetonunun sayfanın HTML kodunda görüntülenmekte olduğu, 3) Video yükleyicisinin “Başkasının Gözünden Gör” ekranının bir parçası olarak görüntülendiğinde, görüntüleyene ait erişim jetonu yerine görüntülediğiniz kullanıcıya ait erişim jetonunu oluşturduğu, ve bu üç hatanın bir araya gelmesi ile ilgili zafiyetin ortaya çıkığı, kişinin bir arkadaşının gözünden profilini görüntülemesini sağlayan “Başkasının Gözünden Gör” özelliğini kullanırken, uygulama kodunun kişilerin başkalarının doğum gününü kutlamalarını sağlayan kutucuğu kaldırmadığı, video yükleyicisinin yaratmaması gerekirken bir erişim jetonu yarattığı ve yaratılan erişim jetonunun kullanıcının kendisine değil görüntülenen kişiye ait olduğu,
  • İlgili erişim jetonunun ise sayfanın HTML kodu üzerinden görüntülenebildiği, saldırganların bu erişim jetonunu buradan elde etikleri, daha sonra saldırganların bu erişim jetonunu kullanarak bir diğer hesaba eriştikleri ve aynı adımları izleyerek bu hesapla ilişkili olan diğer hesapların erişim jetonlarını ele geçirdikleri,

ifadelerine yer verilmiştir.

Facebook temsilcisi tarafından gönderilen 14.10.2018 tarihli e-postada bilgilendirmenin takip eden hafta içinde yazılı olarak Kurula arz edileceğinin ifade edilmesine rağmen 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (5) numaralı fıkrasında yer alan “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir….” hükmü uyarınca Facebook tarafından Kurul’a herhangi bir bildirim yapılmamıştır. Bunun üzerine Kurul, Kanun’un 15 nci maddesinin (1) numaralı fıkrasında yer alan “Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.” hükmü kapsamında resen inceleme yapma kararı almıştır.

Kurul tarafından yapılan inceleme neticesinde,

  1. Veri ihlalinin, Facebook sisteminin birbirinden farklı üç özelliği olan Başkasının Gözünden Gör modu, Doğum Günü Kutlayıcı ve Video Yükleyicinin etkileşimi sonucunda oluşan bir zafiyetten kaynaklandığı, bu durumun bir kullanıcının kendi profilini Başkasının Gözünden Gör modunda görüntülediğinde;
    • Gelen ekranda kullanıcının doğum gününün görünür olduğu arkadaşlarına doğum günü mesajı gönderme opsiyonunun verildiği,
    • Doğum günü mesajı gönderme opsiyonunun Video Yükleyici ile kullanıldığı takdirde, Başkasının Gözünden Gör modu için video yükleyicisinin bir erişim jetonu ürettiği,
    • Bu erişim jetonunun doğum günü mesajının gönderileceği kullanıcının arkadaşına ait olduğu,
    • Üretilen bu erişim jetonu sonucunda karşı tarafın profil bilgilerini elde etmek üzere kullanılabildiği,

    göz önünde bulundurulduğunda, bu tip hataların test aşamasında tespit edilerek değişiklik yayına alınmadan evvel düzeltilmesi gerektiği dikkate alınarak Şirketin bahse konu veri ihlali kapsamında Kanunun 12 inci maddesinin (1) numaralı fıkrasında belirtilen teknik ve idari tedbirleri almakta kusurlu olduğu,

  2. İlgili zafiyetin 21 Temmuz 2017 tarihinden 27 Eylül 2018 tarihine kadar yaklaşık 14 ay boyunca devam etmesinin gerekli denetim ve kontrollerin yapılmadığının göstergesi olduğu, bu durumun ise 6698 sayılı Kanunun 12 inci maddesinin (1) ve (3) numaralı fıkralarında belirtilen tedbirlerin alınması hususunda Facebook’un kusurlu olduğunu gösterdiği,
  3. İlgili zafiyetten kaynaklı olarak ihlalin 14 – 27 Eylül 2018 tarihleri arasında 13 gün boyunca gerçekleştiği Şirket tarafından belirtilmiş olup,
    • 27 Eylül 2018 tarihinde güvenlik açığına yönelik yama geliştirildiği ancak 25 Eylül 2018 tarihinde Facebook tarafından ihlalin tespit edilmesine rağmen 2 gün boyunca ihlalin devam ettiği,
    • 28 Eylül 2018 tarihinde geçici olarak “Başkasının Gözünden Gör” özelliğinin bütünüyle devre dışı bırakıldığı, bahse konu devre dışı bırakma işleminin tespitten itibaren 3 gün sonra yapılmış olduğu,
    • Potansiyel olarak etkilendikleri belirlenen hesaplara ait erişim jetonlarının (yaklaşık 90 milyon) 27 Eylül 2018 tarihinden başlayarak 29 Eylül 2018 tarihine kadar devre dışı bırakıldığı,
    • 14 Eylül 2018 tarihinde başlamış olan olağandışı bir aktivite sonrası ihlalin tespit edilmiş olduğu, olağandışı aktivitenin olmadığı 21 Temmuz 2017 – 14 Eylül 2018 tarihleri arasında da veri ihlalinin gerçekleşmiş olabileceği

    göz önüne alındığında, ihlale zamanında müdahale edilmediği ve bu konuda teknik ve idari tedbirlerin alınmasında eksikliklerin göstergesi olduğu, bu durumun ise veri sorumlusunun Kanunun 12 inci maddesinin (1) numaralı fıkrasında belirtilen teknik ve idari tedbirleri almakta kusurlu olduğunu gösterdiği,

  4. İhlalinden etkilenen ve Facebook’u Türkçe olarak kullanan 280.959 kullanıcıdan;
    • 133.510 kullanıcının (Grup 1) temel profil bilgilerine (isim, telefon numarası veya eposta bilgileri) ulaşıldığı,
    • 143.974 kullanıcı (Grup 2) için yukarıda yer alan temel profil bilgilerine ek olarak, aşağıda yer alan bilgilere de erişilmiş olunabileceği (ilgili alanlarda kullanıcı tarafından bilgi sağlanmış olması şartıyla);
      • Kullanıcı adı, Ad [profilinde kullanıcı tarafından belirlenmiş olan takma ad (eğer mevcutsa)]
      • Cinsiyet [kullanıcı tarafından profilde belirlendiği üzere]
      • Yerel ayarlar [kullanıcı tarafından seçilen dil]
      • İlişki durumu [kullanıcı tarafından profilde belirlendiği üzere]
      • Din bilgisi [kullanıcı tarafından profilde tanımlandığı üzere]
      • Memleket [kullanıcı tarafından profilde belirlendiği üzere]
      • Konum [yaşanılan şehir, kullanıcı tarafından profilde belirlendiği üzere]
      • Doğum günü [kullanıcı tarafından profilde belirlendiği üzere]
      • Cihazlar [kullanıcı tarafından Facebook’a erişmek için kullanılan cihazlar – alanlar işletim sistemi (örn. iOS) ve donanım (örn. iPhone) bilgilerini içermektedir]
      • Eğitim geçmişi [kullanıcı tarafından profilde belirlendiği üzere]
      • İş geçmişi [kullanıcı tarafından profilde belirlendiği üzere]
      • Web sitesi [kullanıcı tarafından profilinde yer alan web sitesi alanına girilmiş olan sayfa adları]
      • Kimlik doğrulama [bu, Facebook’un ilgili kullanıcının söylediği kişi olduğuna dair kuvvetli göstergelere sahip olduğunu gösteren bir işareti ifade eder]
      • Kullanıcının son zamanlarda bulunduğunu bildirdiği yerlerin listesi [bu yerler gönderilerin içinde geçen yer isimlerinden belirlenmektedir (önemli bir yapı ya da bir restoran gibi) ve bir cihazdan sağlanan konum bilgisi değildir]
      • Facebook’ta son zamanlarda yapılan aramalar
      • Kullanıcının takip ettiği 500’e kadar başlıca hesaplar
    • 3.475 kullanıcının (Grup 3) ise ilk iki grubun erişilen veri türlerine ilave olarak profil sayfalarındaki verilerinin de riske maruz kaldığı,

    göz önünde bulundurulduğunda, Facebook kullanıcılarına ait kişisel verileri ile özel nitelikli kişisel verilerine bu zafiyeti kullanan kişiler tarafından erişilebildiği, bu durumun “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 2018/10 sayılı Kararının (3) numaralı maddesine ve Kanunun 12 inci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği,

  5. İhlalden etkilenen kişilere ait çok sayıda kişisel verilerin elde edildiği dikkate alındığında, bu verilere yetkisiz bir şekilde erişenler tarafından ilgili kişiler hakkında profilleme yapılabileceği ve bu faaliyetlerin bu kişilerin aleyhine bir sonuç oluşturabileceği,
  6. Veri ihlali hakkında Facebook tarafından Kurum’a bildirim yapılmadığı,

tespit edilmiş olup, bu kapsamda

  • Şirketin bahse konu veri ihlali kapsamında Kanunun 12 inci maddesi (1) numaralı fıkrasında belirtilen teknik ve idari tedbirlerde kusurunun bulunması nedeniyle, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca Şirket hakkında 1.150.000 TL,
  • Söz konusu veri ihlalinin 25 Eylül 2018 tarihinde tespit edilmesine rağmen Kanunun 12 nci maddesinin (5) numaralı fıkrası gereğince veri ihlali hakkında Kuruma bildirim yapılmadığı hususu da dikkate alınarak, Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 450.000 TL,

idari para cezası uygulanmasına,

oy birliğiyle karar verilmiştir.