AstraZeneca Hacklendi! Saldırıda Ciddi Veri İhlali Yaşandı!

Dünyanın büyük ilaç şirketlerinden AstraZeneca, adını daha çok “Covid-19 aşısı” ile duyurmuştu. Geliştirdiği Covid-19 aşısıyla tartışmalara konu alan şirket, şimdi de hacklenmeyle gündeme geldi. “Kişisel Verileri Koruma Kurumu(KVKK)” tarafından yapılan açıklamaya göre AstraZeneca, siber saldırıya uğradı. Bilgisayar korsanlarının hedefindeki AstraZeneca’da ciddi veri ihlali meydana geldi. Söz konusu siber saldırıya ilişkin şirketten herhangi bir açıklama ise gelmedi.

Duyurulan siber saldırıya ilişkin detaylarda belli oldu. KVKK tarafından yapılan açıklamaya göre şirketteki siber saldırı “Workday Limited” sistemine yapıldı. Bu sistem AstraZeneca şirketinin iş başvurusu aldığı sistem olarak açıklandı. Bu nedenle siber saldırıda şirkete iş başvurusunda bulunan kişilerin verileri çalındı. Sisteme yapılan saldırıda çalınan veriler temel bilgilerden oluşuyor. Çalınan veriler “ülke”, “isim”, “e-posta”, “telefon numarası”, “maaş isteği” ve “maaş bilgisi” oldu.

KVKK Saldırıyı 6698 Sayılı Kanun Kapsamında Açıkladı

KVKK açıklamasında söz konusu siber saldırının 6698 sayılı Kanun’a istinaden açıklandığı belirtildi. İlgili kanunun 12.maddesinin 5.fıkrası gereğince veri ihlali bildirinin kamuoyuyla paylaşılması sağlandı.

İlgili kanun maddesi;

İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

Yapılan açıklamada AstraZeneca şirketi tarafından kurula veri ihlaline ilişkin bildirim gerçekleştirildiğine dikkat çekildi. Tespitlere göre şirketin iş başvurusu aldığı Workday Limited sisteminde veri ihlali gerçekleşti.

JavaScript Değişkeni Açığı Kullanıldı

Şirketin Workday sisteminde kullanıcı oturum verilerini takip etmek için JavaScript değişkeni kullandığı belirtildi. Söz konusu değişkenin “HTML” kaynağına eklendi. Bu çerçevede farklı sitelere yönelik HTML kaynağı incelenebildi. Yani kişiler web tarayıcısında sadece “Kaynağı Görüntüle” gibi basit bir özellikle verilerin görülebilir hale geldiği açıklandı. 

Bu açığın 13.07.2022 tarihi saat 23:53 ile 14.07.2022 tarihi saat 05:32 saatleri arasında gerçekleştiği belirtildi. Ayrıca 20.07.2022 saat 22:06 ile 01.08.2022 saat 23:15 saatleri arasında da gerçekleştiği açıklandı. Söz konusu sürelerde iş başvurusu yapan kişilerin “kişisel verileri” herkes tarafından erişilebilir oldu.

Şirketin söz konusu ihlali ancak 31.07.2022 tarihinde tespit ettiği belirtildi. Ayrıca ihlal süresi boyunca etkilenen kişi sayısının 981 olarak öngörüldüğüne de dikkat çekildi.

KVKK, açıklamasında söz konusu veri ihlaline ilişkin inceleme çalışmalarının sürdüğünü de hatırlattı.

AstraZeneca Covid-19 Aşısı

AstraZeneca şirketi tarafından Covid-19 aşısının etkinlik verileri şu şekilde açıklanmıştı;

Yaşanan veri ihlaliyle ilgili sizin düşünceleriniz neler? Görüşlerinizi yorum kısmına veya R10.NET Forum’a iletebilirsiniz.