Uluslararası otel zincirine müşteri verilerini çaldırdığı için ceza verildi
Kişisel Verileri Koruma Kurumu (KVKK), uluslararası otel zinciri Marriott’a para cezası verdiğini açıkladı. KVKK’nın sitesinde verilen bilgiye göre, cezanın gerekçesi misafir veritabanına yetkisiz erişim olarak gösterildi. KVKK, Marriott’a bir milyon 450 bin TL ceza verdi.
Olay, Marriott’un Starwood’u devralmasıyla başlıyor
Marriott’un aldığı ceza aslında dünya çapında bir veri sızmasına dayanıyor. Marriott, 2016 Eylül ayında diğer bir otel bir zinciri olan Starwood’u devralıyor ve Temmuz 2014’ten bu yana zincirin veritabanına izinsiz erişim sağlandığı belirtiliyor. Bununla birlikte, bu yetkisiz erişim 8 Eylül 2018’de tespit ediliyor.
Veriler nasıl çalındı?
Yetkisiz erişim şu şekilde gerçekleştiriliyor: Hacker’lar otelin internet sunucusuna erişimin sağlııyor ve bunun ardından sunucuya uzaktan erişim sağlayan bir truva atı yükleniyor. Hacker’ların saldırıyla 383 milyon müşterinin verilerine eriştiği ortaya çıktı. Türkiye’den erişilen müşteri sayısı ise 1,24 milyon seviyesinde bulunuyor. Yetkisiz erişim sağlanan veriler şöyle: Müşterilere ait ad, soyad, posta adresi, telefon numarası, doğum tarihi, cinsiyet, pasaport numarası, Starwood Preferred Guest (“SPG”) hesap bilgileri, otel ödül bilgileri, otele giriş ve çıkış bilgileri, ödeme kartı numaraları ve ödeme kartı son kullanma tarihleri, rezervasyon tarihi ve iletişim tercihleri.
Öte yandan, İngiltere’de kişisel verilerin korunması ve düzenlenmesinden sorumlu olan İngiltere Veri Koruma Otoritesi (ICO) bu olay nedeniyle Marriott’a 123 milyon dolar ceza verdi.
