Veriler Bizden Sızmadı ki Neden Veri İhlali Bildirimi Yapalım - Credential Stuffing (25.02.2025)

12.03.2025

Bora Yazıcıoğlu

Kübra İslamoğlu Bayer

Barış Yiğitcan Duran

1. Nedir?
2. Hangi Riskler Söz Konusu?
3. Kişisel Verileri Koruma Kurulu Bu Soruya Nasıl Cevap Veriyor?
4. Ne Yapılmalı?
5. Tavsiyemiz

Kişisel Veri İhlali Bildiriminde “Koyu” Gri Alan

Kimlik Bilgisi Doldurma Saldırıları (Credential Stuffing)

ya da

“Veriler Bizden Sızmadı ki, Neden Veri İhlal Bildirimi Yapalım?”

Bilindiği gibi ülke kapsamında yurtiçi ve yurt dışı kaynaklı siber tehditleri tespit etme ve önleme faaliyetleri yürüten Ulusal Siber Olaylara Müdahale Merkezi (USOM), siber güvenlik faaliyetlerine yönelik yürüttüğü çalışmalar çerçevesinde ilgililere yönelik olarak dönem dönem alarm, uyarı ve duyuru işlemleri yapmaktadır. Bu kapsamda yürüttüğü siber tehdit istihbaratı faaliyetleri kapsamında, bazı kullanıcı hesaplarının siber saldırganlar tarafından ele geçirildiğini değerlendirdiğinde de bu kullanıcı hesaplarının ilgili olduğu şirketlere (veri sorumluları) yazı göndererek durumdan haberdar olmalarını sağlamakta ve önlem almalarını talep etmektedir.

Bu tür yazıları alan veri sorumluları şimdi ne yapmalıyız sorusunun cevabını ararken değerlendirilen akla gelen en son seçenek -o da uzmanların bu konudaki yönlendirmeleri sayesinde- kişisel veri ihlali bildirimi yapmak oluyor. Veri sorumlularının ilk tepkisi “E kullanıcı adı ve şifre bizden sızmamış ki neden biz kişisel veri ihlali bildirimi yapmalıyız?” oluyor.

Kimlik bilgisi doldurma saldırısı ile karşılaşan herkesin aklından benzer sorular geçmesi çok doğal. İşte bu sorunun cevabının neden “Evet” olması gerektiğini bu yazımızda sizler için açıkladık.

1. Nedir?

Kimlik bilgisi doldurma saldırıları, siber dünyada hızla yayılan ve kullanıcıların güvenliğini ciddi şekilde tehdit eden sofistike bir saldırı yöntemidir. Bu saldırı yönteminde siber saldırganlar, ya bizzat kendileri bir platforma saldırarak oradan kullanıcı adı ve şifre kombinasyonunu ele geçirirler ya da diğer saldırganlar tarafından halihazırda ele geçirilmiş ve çeşitli platformlarda satılan veri tabanlarını satın alarak bu kullanıcı adı ve şifre kombinasyonuna ulaşırlar. Daha sonra bu kişiler, elde ettikleri bu kullanıcı adı ve şifre kombinasyonlarını, farklı platformlarda deneyerek bu platformdaki kişisel verilere yetkisiz şekilde erişmeye çalışırlar.

Bu saldırılar genellikle otomasyon sağlayan bot yazılımlarla gerçekleştirilir ve kullanıcıların aynı şifre ve kullanıcı adı kombinasyonlarını birden fazla platformda kullanma alışkanlığı nedeniyle büyük oranda başarıya ulaşır.

Bu saldırı yöntemi, klasik parola kırma yöntemlerinden, yani kaba kuvvet saldırılarından (brute-force attack) önemli bir farkla ayrılır. Zira kaba kuvvet saldırısında, saldırganlar doğru kullanıcı adı ve şifre kombinasyonuna sahip değildir, amaçları sistematik şekilde çok sayıda deneme yaparak bu doğru kombinasyona ulaşmaktır. Oysa kimlik bilgisi doldurma saldırılarında saldırganlar, doğru kullanıcı adı ve şifre kombinasyonuna sahiptir, yapmaları gereken bu kombinasyonu farklı platformlarda deneyerek hangi platformlarda kullanıldığını bulmaktır. Dolayısıyla bu saldırıların tespit edilmesi, diğer saldırı türlerine göre daha zordur ve bu nedenledir ki geleneksel güvenlik önlemleri (örneğin, güvenlik duvarları ve standart parola korumaları) bu tür saldırıları önlemekte yetersiz kalabilmektedir.

2. Hangi Riskler Söz Konusu?

Başarılı bir kimlik bilgisi doldurma saldırısı bireyler için oldukça ağır sonuçlar doğurabiliyor. Kredi kartı bilgilerinin çalınması, hassas kişisel verilerin ifşa edilmesi, finansal kayıplar ve itibar zedelenmesi gibi ciddi riskler, bu saldırıların bireyler için yaratabileceği yıkıcı etkiler arasında yer alıyor. Bu tür saldırılar sonrasında özel görüntüleri ele geçirilen bireylerin, saldırganların şantajlarına maruz kaldığı ve bu mağdurlardan bazılarının intihar ederek yaşamına son verdiği de biliniyor.

Bu nedenle bu tür saldırılan başarıya ulaşmasında ilgili kişilerin bilinçlenmesi (örneğin, aynı kullanıcı adı ve şife kombinasyonunu farklı platformlarda kullanmama) önemli olduğu kadar bu platformları işleten veri sorumlularına da bu platformların güvenliğini sağlama ve bu tür saldırıları önlemek için tedbirler alma anlamında çok önemli görevler düşüyor.

3. Kişisel Verileri Koruma Kurulu Bu Soruya Nasıl Cevap Veriyor?

En baştan söyleyelim ki Kişisel Verileri Koruma Kurulu’nun (“Kurul”) bu soruya cevabı “Evet, Kişisel veri ihlali bildirimi yapılmalıdır” şeklinde. Nitekim bu konu, Kurul tarafından yayımlanan kararlarda (sırasıyla bu kararlar; 2020/421 Sayılı Karar, 2020/567 Sayılı Karar, 2020/715 Sayılı Karar ve 2024/1385 Sayılı Karar) defaatle ortaya konulduğu gibi konunun önemine binaen Kurul bu konuya özel olarak 15 Şubat 2022’de bir duyuruda da (“Duyuru”) (Bkz. “Kullanıcı Güvenliğine İlişkin Veri Sorumluları Tarafından Alınması Tavsiye Edilen Teknik ve İdari Tedbirlere İlişkin Kamuoyu Duyurusu) yayımlamıştı (Bkz. İlk üç karar ve Duyuru’yu incelediğimiz yazımız).

Tüm bu kararlar ve Duyuru birlikte değerlendirildiğinde söyleyebiliriz ki Kurul, veri sorumluları tarafından alınacak bazı idari ve teknik tedbirlerle bu saldırıların, -ilgili veri sorumlusunun platformu yönünden- önlenebileceği kanaatinde. Bu nedenle de böyle bir saldırı gerçekleşirse, saldırının kaynağı ne olursa olsun, veri sorumlusu, saldırıdan haberdar olur olmaz yetmiş iki saat içerisinde durumu Kurul’a bildirmekle yükümlü, diğer bir değişle kişisel veri ihlali bildirimi yapmalı. Aynı zamanda en kısa sürede ilgili kişilerin bilgilendirilmesi de gerekiyor.

Her ne kadar Kurul, duyurusunda ve kararlarında “Kimlik Bilgisi Doldurma Saldırısı” veya “Credential Stuffing” tabirini kullanmasa da bu duyuru ve kararların içeriğinden saldırı türünün kimlik bilgisi doldurma saldırısı olduğu anlaşılıyor.

4. Ne Yapılmalı?

Yukarıda ifade ettiğimiz gibi bu tür saldırılara muhatap olan veri sorumluları kişisel veri ihlali bildirimi yapmak konusunda yeterince bilinçli olmamalarından kaynaklı isteksiz davranmaktaysalar da yakın zamanda yayımlanan 2024/1385 sayılı kararda verilen idari para cezası miktarının 3.250.000 TL olduğu ve bu miktarın, Kurul’un geçmiş kararlarında verdiği cezalarla kıyaslandığında rekor seviyede sayılabileceği dikkate alındığında veri sorumlularının, bu tür saldırıların önlenmesi konusunda adım atmaları ve bir saldırı meydana geldiğinde Kurul’a bildirim yapmak konusunda daha dikkatli değerlendirmeler yapmaları gerektiği açık.

Alınabilecek idari ve teknik tedbirler çok çeşitli olsa da Kurul kararlarında ve Duyuru’da yer verilen tedbirleri aşağıdaki gibi sıralamak mümkün:

- Çift kademeli kimlik doğrulama (two-factor authentication) sistemlerinin kurulması ve bu sistemlerin kullanıcılara üyelik başvurusu aşamasından itibaren “alternatif” bir güvenlik önlemi olarak sunulması,

- Kullanıcıların hesaplarına sık kullandıkları cihazlar dışında farklı bir cihaz üzerinden giriş yapıldığında, giriş bilgilerinin e-posta/SMS veya benzeri yöntemlerle ilgili kullanıcının iletişim adreslerine bildirilmesinin sağlanması,

- Uygulamaların HTTPS (Hypertext Transfer Protocol Secure - Hiper Metin Aktarma Güvenli İletişim Kuralı) kullanılarak veya eşdeğer bir güvenlik seviyesi sağlayacak başka yöntemlerle korunmasının sağlanması,

- Kullanıcı parolalarının, siber saldırılara karşı korunmasını teminen, güvenli ve güncel karma (hashing) algoritmaların kullanılması,

- IP (Internet Protocol Address) adresinden yapılacak başarısız giriş denemesi sayısının sınırlandırılması,

- İlgili kişilerin en az son beş adet başarılı ve başarısız giriş denemeleri ile ilgili bilgilerini görüntüleyebilmelerinin sağlanması,

- İlgili kişilere aynı parolanın birden fazla platformda kullanılmaması gerektiğinin hatırlatılması,

- Veri sorumluları tarafından parola politikasının oluşturulması ve kullanıcılara ait parolaların belirli aralıklarla değiştirilmesinin sağlanması veya bu hususun ilgili kişilere hatırlatılması,

- Yeni oluşturulan parolaların, eski parolalarla (en az son üç parolayla) aynı olmasının engellenmesi, kullanıcı hesaplarına girişlerde bilgisayar ile insan davranışlarını ayırt edici güvenlik kodu gibi teknolojilerin (CAPTCHA, dört işlem vb.) kullanılması, erişime izin verilen IP adreslerinin sınırlandırılması,

- Veri sorumlularının sistemlerine giriş yapılan parolaların uzunluğunun asgari 10 karakter olması, büyük-küçük harf, rakam ve özel karakterlerin bir arada kullanılmasına yönelik güçlü parola oluşturulmasının sağlanması,

- Veri sorumlularının sistemlerine giriş için üçüncü parti yazılımlar veya servisler kullanılıyorsa bu yazılımların ve servislerin güvenlik güncelleştirmelerinin düzenli olarak gerçekleştirilmesi ve gerekli kontrollerin yapılması gibi teknik ve idari tedbirlerin alınması.

5. Tavsiyemiz

Kurul’un bu tür saldırıların kişisel veri ihlali olarak kendisine bildirilmesini beklediği dikkate alındığında kimlik bilgisi doldurma saldırısına muhatap olan veri sorumluları öncelikle bu tür saldırıların başarıya ulaşmasını önlemek adına gerekli idari ve teknik tedbirleri almaları, böyle bir saldırıya maruz kalırlarsa da durumu Kurul’a ve ilgili kişilere bildirmeleri önemli. Bu nedenle başta kullanıcı adı – şifre kombinasyonlarıyla giriş yapılabilen internet ve mobil platformları işleten veri sorumluları olmak üzere tüm veri sorumlularının bu önlemleri vakit kaybetmeden hayata geçirmesini tavsiye ediyoruz.

This website is available “as is. Turkish Law Blog is not responsible for any actions (or lack thereof) taken as a result of relying on or in any way using information contained in this website, and in no event shall they be liable for any loss or damages.

The content and materials published on this website are provided for informational purposes only and should not be used as a legal opinion in any way. This website and the information contained are not intended to establish an attorney-client relationship.

Sermaye Piyasası Kurulu’ndan Yeni İlke Kararı: Pay Geri Alım Süreçlerinde Önemli Değişiklikler

New Resolution from the Capital Markets Board: Significant Changes in Share Buyback Processes

SPK, Kripto Varlık Hizmet Sağlayıcılarına Yönelik İki Önemli Tebliği Yayımladı

Türk Hukukunda Ön Anonim Şirket

Pre-joint Stock Company in Turkish Law

Türk Parası Kıymetini Koruma Hakkında 32 Sayılı Kararda Değişiklik Yapılmasına Dair Karar Yayımlandı

Two-minute Recap of Competition Law Matters in Türkiye February 2025

Newsletter No.19 | Competition Market Overview

Competition Investigations in the Shadow of the Settlement Procedure

Construction Law Wrap Up 2024

Construction Arbitration: Türkiye - Part 4

Construction Arbitration: Türkiye - Part 3

The Cybersecurity Law Has Entered into Force

Guidelines on Processing Sensitive Personal Data

The Guideline on the Processing of Special Categories of Personal Data (14 March 2025)

The ICC 2024 Preliminary Statistics

Anayasa Mahkemesi, İstinaf ve Temyize İlişkin Parasal Sınırların Uygulanmasında Dava Tarihinin Esas Alınması Gerektiğine Hükmetti

The Constitutional Court Ruling About the Application of Monetary Thresholds for Appeal and Cassation

E-Ticaret Mevzuatında Meydana Gelen Gelişmeler (18.03.2025)

Elektronik Ticaret Yönetmeliği’nde Güncel Değişiklikler

Elektronik Ticaret Aracı Hizmet Sağlayıcı ve Elektronik Ticaret Hizmet Sağlayıcılar Hakkında Yönetmelik Değişiklikleri

Elektrik Piyasasında Toplayıcılık Yönetmeliği Ne Getiriyor?

Kamuda Enerji Performans Sözleşmesi Uygulaması

Ulusal Taşıt Tanıma Sistemi Uygulama Genel Tebliği Hakkında Bilgilendirme

İklim Kanunu Teklifi TBMM Çevre Komisyonu'nda Kabul Edildi

Türkiye Sürdürülebilirlik Raporlama Standartları Uygulama Kapsamında Değişiklikler Yapıldı

Amendments to Türkiye Sustainability Reporting Standards

Kripto Varlıklara İlişkin Beklenen İkincil Düzenlemeler Yayımlandı!

Expected Secondary Regulations on Crypto Assets Published!

07.03.2025 tarihinde Türkiye Bankalar Birliği İnternet Sitesinde “Aralık 2024-Türkiye Finansal Sektör Ödeme Sistemleri Raporu” Yayınlanmıştır

Sigorta Acenteleri Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelik Yayımlandı

An Amendment to the Insurance Agencies Regulation Has Been Published

Reasürans Sözleşmelerinden Doğan Uyuşmazlıklarda Reasürans Sigortacısının Esas İşyeri Mahkemesinin Yetkili Olduğuna Dair Karar

Major Development in Non-Use Actions Before the Turkish Patent and Trademark Office (TPTO): What Right Holders Must Know

Markaların İdari İptali: Yönetmelik Değişiklileri Yürürlükte

Creative Signatures: How a Work Reflects Its Author’s Unique Characteristics

A Rising Financial Crime: Sanctions Evasion

The BR International Trade Report: March 2025

OFAC Yaptırımları ile Baş Etmenin Yolları: Olası Yaptırımlarla Mücadelede ve Yaptırım Listesinden Çıkma Sürecinde Uyum Programlarının Önemi

SGK 2025/8 Sayılı Genelgesi ile İşten Çıkış Kodlarının Düzeltilmesine İlişkin Yeni Esaslar

Presidential Circular on the Prevention of Psychological Harassment (Mobbing) in Workplaces Published

Understanding Business Regulations and Bonuses Under UAE Labor Law Business Regulations, Applicable Law, and Jurisdiction in the UAE

İkinci Trump Dönemi Yaşam Bilimleri Sektöründe Nasıl Etkiler Doğuracak?

Market Availability of Products and Parallel Trade

Healthcare & Life Sciences Newsletter - January 2025

Reklam Kurulu Kararları Serisi – 13

Reklam Kurulu'nun 353 Sayılı Toplantısında Alınan Kararlar

Reklam Kurulu’ndan Bankacılık Sektörüne Çevresel Beyan Denetimi

Legal Due Diligence in M&A Deals: Key Areas and Compliance Focus

The Power of Disclosure: How Disclosure Letters Shape Liability in M&A Transactions

ESG Factors and the Impact of ESG on M&A’s in Turkey

Kentsel Dönüşümde Mülkiyet Hakkı İhlalleri

Property Rights Violations in Urban Transformation Law

İmar, Yapı Denetimi ve Kentsel Dönüşüm Düzenlemelerine Getirilen Önemli Değişiklikler

İcra ve İflas Kanunu Uyarınca Yapılacak Satışların İlanlarına İlişkin Parasal Limitlerin Güncellenmesi Hakkında Tebliğ Yayımlandı

Communiqué on the Update of Monetary Limits for Announcements of Sales to Be Made Under the Enforcement and Bankruptcy Law is Published

Konkordato

TEKMER (Teknoloji Geliştirme Merkezi) Nasıl Kurulur ve Girişimcilere Hangi Destekleri Sunar?

Ters Hak Ediş (Reverse Vesting) Nedir?

Köprüden Önce Son Çıkış: Önemli Olumsuz Değişiklik Maddesi (MAC Kloz)

Pillar One – Amount B will not Apply to Transactions of Distributors, Sales Agents and Commissioners Operating in Türkiye

9487 Sayılı Cumhurbaşkanı Kararı ile Gelir Vergisi Kanunu Geçici 67. Maddesi Kapsamında Değişiklikler

Amendments Enacted Under Presidential Decree No. 9487 within the Scope of Provisional Article 67 of the Income Tax Law

A First in Turkey: Cyber Security Law Published

Yapay Zekâ 101: Yapay Zekâ Kullanıyorum, Sözleşmelerde Nelere Dikkat Etmeliyim?

Artificial Intelligence 101: I Use AI, What Should I Consider in Contracts?

Regulation on Pilotage and Towage Services Published

Limanlar Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelik Yayımlandı

Regulation on Preventing Collision at Sea

Boşluğa Dikkat Edin: İç Kontrolleriniz Tasarlandığı Gibi Çalışıyor mu?

Kişisel Kullanım ve Hırsızlık Yoluyla Şirket Varlıklarının Suistimali

Yoğurdu Üfleyerek Yemek: Üçüncü Taraflara İlişkin Due Diligence