Veri gizliliğine önemli bir darbe olarak BMW, Hong Kong’daki yaklaşık 14.000 müşteriyi etkileyen büyük bir veri ihlali bildirdi. İlk olarak 18 Temmuz 2024’te Kişisel Veriler Gizlilik Komiserliği Ofisi’ne bildirilen BMW veri ihlali, etkilenen bireyler arasında ciddi endişelere yol açtı ve yerel gizlilik yetkilileri tarafından bir soruşturma başlattı.
Perşembe günü, Hong Kong’daki BMW araçlarının münhasır distribütörü olan BMW Concessionaires (HK), yaklaşık 14.000 müşterisine ait hassas bilgilerin ifşa edildiğini açıkladı. South China Morning Post’un bildirdiğine göre, buna isimler, cep telefonu numaraları ve SMS devre dışı bırakma tercihleri de dahil. Şirket, tehlikeye atılan verilerin, hem polisi hem de gizlilik gözlemcisini BMW veri sızıntısı hakkında uyaran üçüncü taraf bir yüklenici olan Sanuker tarafından yönetildiğini açıkladı.
BMW Veri İhlalinin Ayrıntıları
Siber güvenlik uzmanı ve BMW iX elektrikli araç sahibi Michael Gazeley, durumun ele alınışından duyduğu hayal kırıklığını dile getirdi. Gazeley, BMW’yi etkilenen müşterilerle doğrudan iletişim kurmaması nedeniyle eleştirdi ve şirketin web sitesinde yalnızca kısa bir duyuru yayınladığını belirtti. Gazeley, “Bu, çok sayıda gizli verinin kaybolduğu oldukça ciddi bir ihlal,” diye belirtti. “Müşteri bilgilerine dayalı dolandırıcılık ve sahtekarlıkların her türlü sonucu olabilir.”
Kişisel Veriler Gizlilik Komiserliği Ofisi şu anda olayı araştırıyor. Soruşturma devam ederken, denetçi henüz ihlalle ilgili herhangi bir resmi şikayet veya soruşturma almadı. Kurum, BMW’ye etkilenen kişileri derhal bilgilendirmesini tavsiye etti, ancak şirketin tepkisiyle ilgili önemli bir kamu memnuniyetsizliği yaşandı.
Son ihlale ek olarak, BMW’nin siber saldırıları ve veri ihlalleri konusunda endişe verici bir geçmiş var. Şubat 2024’ün başlarında, ayrı bir güvenlik açığı hassas dahili bilgileri ifşa etti. Bu olay, Microsoft Azure’da barındırılan yanlış yapılandırılmış bir bulut depolama sunucusunu içeriyordu. Güvenlik araştırmacısı Can Yoleri, interneti tararken ifşa edilen verileri keşfetti ve BMW’nin geliştirme ortamından özel anahtarları ve dahili veri dosyalarını ortaya çıkardı.
BMW’deki Önceki Veri İhlalleri
Yoleri, bulut depolama kovasının yanlış yapılandırılmasının onu özel yerine herkese açık hale getirdiğini vurguladı. Açığa çıkan veriler arasında Çin, Avrupa ve Amerika Birleşik Devletleri dahil olmak üzere birden fazla bölgedeki BMW’nin bulut hizmetlerine erişim kimlik bilgileri yer alıyordu. Açığa çıkmanın tam süresi belirsizliğini koruyor ve ihlalin tam kapsamının anlaşılmasında önemli bir boşluk bırakıyor.
Alarma ek olarak, 888 olarak bilinen hacker grubu veri sızıntısının sorumluluğunu üstlendi. Ünlü bir hacker forumu olan BreachForums’daki raporlara göre, 888 çalınan verileri 15 Temmuz 2024’te kamuya açık hale getirdi. Bu veri dökümü, Hong Kong’daki BMW müşterilerinin selamlamaları, soyadları, adları, cep telefonu numaraları ve SMS’ten çıkma tercihleri gibi ayrıntılı kişisel bilgileri içeriyordu.
Son veri ihlaline yanıt olarak BMW, müşterilerinin gizliliğini çok ciddiye aldığını belirtti. Şirket, gelecekteki olayları önlemek için veri güvenliği önlemlerini artırmaya kararlı. BMW ayrıca sistemlerinin güvenliğini artırmak ve müşteri verilerini yetkisiz erişimden korumak için devam eden çabalarını vurguladı.