Webhocam

Türk Ceza Kanunu (TCK) 243. maddesi 'bilişim sistemine girme' suçunu düzenlemektedir. Bilgisayar korsanları, Yemeksepeti'nin verilerine erişim sağlayarak onlara ait bilişim sistemlerine giriş sağlamıştır. Bu suçun cezası 'bir yıla kadar hapis veya adlî para cezasıdır. Bu eylem gerçekleştirilirken Yemeksepeti’ne ait bilişim sistemlerinde verilerin yok olması veya değiştirilmesi gibi bir eylem de gerçekleştirilmişse ilgili maddenin ikinci fıkrasında düzenlenen suç gerçekleşmiş olmakla bu sefer 'altı aydan iki yıla kadar hapis cezası' ile karşı karşıya kalınacaktır.

Bilgisayar Korsanları ellerinde 20 milyonun üzerinde kullanıcıya ait isim, soy isim, telefon numarası, açık adres, adres tarifi ve kredi kartlarının ilk ve son dört hanelerine ait bilgilerin olduğunu, verilerin Kasım ayı itibariyle güncel veriler olduğunu iddia ediyorlar. Bu bilgisayar korsanlığı sonucu elde edildiği iddia olunan veriler ile internette paylaşılan 20 bin kişiye ait veriler de göz önüne alındığında ayrıca TCK'nın 134. maddesinde düzenlenen "özel hayatın gizliliğini ihlal" suçu, TCK'nın 135. maddesinde düzenlenen "kişisel verilerin kaydedilmesi" suçu, TCK'nın 136. maddesinde düzenlenen "verileri hukuka aykırı olarak verme veya ele geçirme" suçlarının da gerçekleşmiş olma ihtimali de yüksektir. Böyle bir durumda yürürlükteki ceza kanunumuzda düzenlenen zincirleme suç ve fikri içtima maddeleri kapsamında her bir suçtan ayrı ayrı ceza vermek veya tek bir suçtan ceza verip bu cezayı artırma durumları da s?öz konusu olabilir.

Yemeksepeti örneğine benzer şekilde siber saldırıya uğrayan veri sorumlularının yükümlülükleri 6698 Sayılı Kişisel Verilerin Korunması Kanununda (KVKK) düzenlenmektedir. Kişisel verilerin güvenliğini koruma yükümlülüğü KVKK’nın 12. maddesinde düzenlenmiştir. İlgili maddeye göre gerçek veya tüzel kişi veri sorumluluları kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amaçlarıyla bünyelerinde uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. 

Kişisel Verileri Koruma Kurulu, 21 milyon 504 bin 83 kişinin etkilendiği belirtilen Yemeksepeti’nin ilk siber saldırısının ardından veri ihlali gerekçesiyle 29 Mart 2021'de de inceleme başlatmıştı. Ancak bilgisayar korsanları tarafından Yemeksepeti'nden fidye talep edildiği, bunun yerine getirilmediği için 20 bin kullanıcının kişisel verilerinin paylaşıldığı yönündeki haberler üzerine kurul 29/11/2021 tarihinde yaptığı açıklama ile re’sen soruşturma başlattığını duyurdu. 

Kurul tarafından yapılacak inceleme sonucu iddiaların doğru çıkması halinde KVKK’nın 18. maddesi uyarınca veri sorumlusu olarak KVKK’nın 12. maddesinde yer alan uygun güvenlik düzeyini temin etmeyi ihlalinden ötürü 2021 yılı için 29.503 ? ile 1.966.862 ? arasında bir ceza ile karşı karşıya kalacaktır. Kişisel Verileri Koruma Kurulu’nun daha önce Facebook için vermiş olduğu ceza dikkate alındığında kişisel verilerin büyüklüğü ve etkilenen insan sayısının fazlalığı hususları da dikkate alındığında inceleme sonucu eğer iddialar doğru çıkarsa verilebilecek maksimum ceza üst sınır olan 1.966.862 ? olabilecektir. Ayrıca Yemeksepeti tarafından yapılan "herhangi bir veri hırsızlığının tespit edilemediği" yönündeki açıklaması da dikkate alındığında inceleme sonucunda eğer veri hırsızlığına ilişkin tespitlere varılırsa KVKK’nın 12. maddesinin 5. fıkrasında yer alan veri ihlalini en kısa sürede kuruma bildirim yükümlülüğünü yerine getirmemesinden dolayı ayrı bir ceza daha verilebilecektir.

Bilgisayar korsanları tarafından ele geçirilen verilerin öncelikli kullanım alanı reklam ve pazarlama faaliyetlerinde gerçekleştiriliyor. Ancak sızdırılan veri kategorilerini ele aldığımızda kişiler adına sahte kimlikler oluşturulup kredi çekilme, şirket kurma, telefon hattı alma ve zararlı yazılımlar ile şantaj gibi eylemlerle karşı karşıya kalınması ihtimali mümkün.

Son dönemlerde sıklıkla artan dolandırıcılık faaliyetlerine de bu veriler kullanılabilecektir. Son olarak yine son dönemde ortaya çıkan kişilerin, kapıda ödemeli kargoyu teslim almadığından dolayı borcu olduğunu iddia eden dolandırıcılık faaliyetlerinde de yine bu sızdırılan veriler kullanılabilecektir. Bu sebeple kişilerin dikkatli olması gerekmektedir.