Saldırganlar, sistem yöneticisinin parolasını ele geçirerek yetkisiz erişim sağladı. KVKK saldırıyı doğrularken, olayla ilgili incelemelerin sürdüğünü duyurdu.
Afyon Kocatepe Üniversitesi’nin uzaktan eğitim sistemine yapılan siber saldırıda 26 bin 438 öğrenci ve çalışanın kişisel verileri ele geçirildi. Kişisel Verileri Koruma Kurumu (KVKK), saldırıyı doğrulayarak konuyla ilgili incelemenin sürdüğünü açıkladı.
Saldırı nasıl gerçekleşti?
Siber saldırganlar, uzaktan eğitim sisteminin yönetici hesabının parolasını ele geçirerek sisteme erişim sağladı.
Saldırı 20 Ocak 2025’te başladı ve aynı gün tespit edilerek sonlandırıldı.
Yetkisiz erişim, saldırganın uzaktan eğitim sistemi üzerinden yaptığı duyuru ile fark edildi.
Hangi veriler ele geçirildi?
Henüz netleşmemekle birlikte saldırganların şu verilere erişmiş olabileceği düşünülüyor
T.C. kimlik numaraları
Kurum sicil numaraları
e-posta adresleri
Uzaktan eğitim platformundaki görsel ve işitsel kayıtlar
Saldırıdan, öğrenciler, çalışanlar, kursiyerler ve sistem kullanıcıları olmak üzere yaklaşık 26 bin 438 kişi etkilendi.
KVKK ne dedi?
KVKK, veri ihlalinin ardından yaptığı açıklamada, Afyon Kocatepe Üniversitesi’nin ihlali bildirdiğini ve konuyla ilgili incelemenin devam ettiğini duyurdu:
“Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12. maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir” hükmünü amirdir.
Veri sorumlusu sıfatını haiz olan Afyon Kocatepe Üniversitesi tarafından Kurula iletilen veri ihlal bildiriminde özetle;
İhlalin, veri işleyene ait system_admin adlı kullanıcı hesabının parolası ile uzaktan eğitim sisteminde yer alan verilere erişmesiyle gerçekleştiği,
İhlalin 20.01.2025’te başladığı ve aynı gün içinde ihlalin tespit edilip sona erdirildiği,
İhlalin yetkisiz üçüncü kişi tarafından, uzaktan eğitim sistemi üzerinden yaptığı duyuruyla tespit edildiği,
İhlalden etkilenen kişisel verilerin, kullanıcıların T.C. kimlik numaraları, kurum sicil numaraları, sürekli eğitim merkezinde kayıtlı olan kursiyerlerin e-posta adresleri ve uzaktan eğitim amaçlı kullanılmakta olan görsel ve işitsel kayıtları olduğunun düşünüldüğü,
İhlalden etkilenen ilgili kişi gruplarının çalışanlar, kullanıcılar, öğrenciler ve müşteriler olduğu,
İhlalden yaklaşık olarak 26438 kişinin etkilendiği bilgilerine yer verilmiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 04.02.2025 tarih ve 2025/227 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sitesinde ilan edilmesine karar verilmiştir.”
