KVKK’nın yaptığı açıklamaya nazaran Trabzonspor, 19 Mayıs 2023 tarihinde siber hücuma uğradı ve bu durumu birebir gün fark etti. Saldırganlar, sisteme sızdıktan sonra kullanıcılara ilişkin dataları de şifrelediler. Hal bu türlü olunca kaç bireye ilişkin dataların sızdırıldığı tam olarak tespit edilemedi.
Trabzonspor’a ilişkin veritabanında kullanıcılara ilişkin kimlik ve irtibat bilgileri, finans bilgileri, mesleksel tecrübeleri, geçmişte yaptıkları süreçler ve pazarlama üzere kategorilerdeki datalar bulunuyordu. 19 Mayıs’ta gerçekleştirilen akın ile tüm bu bilgiler, potansiyel manada hackerların eline geçmiş oldu. Saldırıyı kim yahut kimlerin, ne emelle yaptıkları bilinmiyor.
İhlalden etkilenenler, çalışanlar, kullanıcılar, öğrenciler, müşteriler ve potansiyel müşteriler olurken, ihlal nedeniyle kimlik, irtibat, özlük, müşteri süreç, finans, mesleksel tecrübe, pazarlama, görsel ve işitsel kayıtlar ile başka bilgi kategorileri de etkilendi.
KVKK’nın açıklaması şu biçimde:
“Bilindiği üzere, 6698 sayılı Şahsî Dataların Korunması Kanununun “Veri güvenliğine ait yükümlülükler” başlıklı 12 nci unsurunun (5) numaralı fıkrası “İşlenen ferdî bilgilerin yasal olmayan yollarla diğerleri tarafından elde edilmesi hâlinde, bilgi sorumlusu bu durumu en kısa müddette ilgilisine ve Şuraya bildirir. Heyet, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği diğer bir metotla ilan edebilir.” kararını amirdir.
Bilgi sorumlusu sıfatını haiz Trabzonspor Sportif Yatırım ve Futbol İşletmeciliği Ticaret A.Ş. tarafından Heyete iletilen bilgi ihlal bildiriminde özetle;
Bilgi sorumlusunun sunucularının uğradığı siber atak sonucunda şifrelendiği,
İhlalin 19.05.2023 tarihinde gerçekleştiği ve tıpkı gün tespit edildiği,
Siber ataktan ayrıyeten Trabzonspor Ticari Eserler ve Turizm İşletmeciliği Ticaret A.Ş, Trabzonspor Futbol İşletmeciliği Ticaret A.Ş., Trabzonspor Telekomünikasyon Danışmanlık ve Servis Hizmetleri Ticaret A.Ş, Bordo Mavi Futbol Yatırımlar Ticaret A.Ş., Trabzonspor Kulübü Derneği, Trabzonspor Bordo Mavi Güç Elektrik Üretim A.Ş.’nin de etkilendiği,
Şifrelenen sunucularda tutulan belgelere erişim sağlanamadığı; bu sebeple ihlalden etkilenen kişi ve kayıt sayısının tespit edilemediği,
İhlalden etkilenen ilgili kişi kümelerinin çalışanlar, kullanıcılar, öğrenciler ve müşteriler ve potansiyel müşteriler olduğu,
İhlalden kimlik, irtibat, özlük, müşteri süreç, finans, mesleksel tecrübe, pazarlama, görsel ve işitsel kayıtlar ile öbür bilgi kategorilerinin etkilendiği,
İlgili bireylerin davet merkezi aracılığıyla data ihlali hakkında bilgi alabileceği bilgilerine yer verilmiştir.
Mevzuya ait inceleme devam etmekle birlikte, Ferdî Dataları Müdafaa Şurasının 25.05.2023 tarih ve 2023/918 sayılı Kararı ile kelam konusu bilgi ihlal bildirimlerinin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.
Kamuoyuna hürmetle duyurulur.”
