Güney Kore merkezli finansal hizmetler şirketi Salı günü yaptığı açıklamada, Shinhan Kart veri ihlalinin yaklaşık 192.000 kart satıcısının kişisel bilgilerini açığa çıkardığını doğruladı. Telefon numaralarının ve sınırlı kişisel bilgilerin izinsiz olarak ifşa edilmesini içeren olay, ülkenin Kişisel Bilgileri Koruma Komisyonu’na (PIPC) bildirildi.
Shinhan Card’a göre ihlal, franchise mağazaları işleten ve standart satıcı anlaşmalarının bir parçası olarak kişisel bilgilerini paylaşan serbest meslek sahibi kişileri etkiledi. Şirket, şu anda kredi kartı numaraları, banka hesap bilgileri veya ulusal kimlik numaraları gibi hassas mali bilgilerin ele geçirildiğine dair hiçbir kanıt bulunmadığını söyledi.
Shinhan Kart Veri İhlalinin Sebebi Olarak Tanımlanan Çalışan Suistimali
Shinhan Card yaptığı açıklamada, Shinhan Card veri ihlalinin harici bir siber saldırının sonucu olmadığını açıkladı. Bunun yerine şirket, satış şubesindeki bir çalışanın satışla ilgili amaçlar için satıcı verilerini bir kart işe alım görevlisine ilettiği iddiasıyla dahili suiistimalden şüpheleniyor.
Bir Shinhan Card yetkilisi, “Bu, harici bilgisayar korsanlığından değil, bir çalışanın suistimalinden kaynaklandı” dedi ve söz konusu dahili sürecin o zamandan beri engellendiğini ekledi. Şirket, olayın farkına varır varmaz bir iç soruşturma başlattı ve gelecekte benzer eylemleri önlemek için adımlar attı.
Kişisel Bilgi Sızıntısının Kapsamı
Sızan veriler öncelikle yaklaşık 180.000 vakaya karşılık gelen cep telefonu numaralarını içeriyordu. Yaklaşık 8.000 vakada isimlerin yanı sıra telefon numaraları da sızdırıldı. Kayıtların daha küçük bir alt kümesinde doğum tarihleri ve cinsiyet gibi ek ayrıntılar da yer alıyordu.
Shinhan Card, soruşturmasında vatandaş kayıt numaralarının, kart numaralarının, hesap ayrıntılarının veya kredi bilgilerinin açığa çıktığı vakaları tespit etmediğini belirtti. Bu aşamada şirket, sızdırılan bilgilerin kötüye kullanıldığına dair onaylanmış herhangi bir vakanın bildirilmediğini de belirtti.
Düzenleyicilerle paylaşılan bulgulara göre kişisel bilgi sızıntısı, Mart 2022 ile Mayıs 2025 arasında Shinhan Card ile sözleşme imzalayan satıcıları etkiledi.
Shinhan Kart Veri İhlali Timeline ve Düzenleme Bildirimi
İhlal, Güney Kore’nin veri koruma otoritesi olan Kişisel Bilgilerin Korunması Komisyonu’na sunulan bir raporun ardından geçen ay ortaya çıktı. Bildirimi aldıktan sonra PIPC, olayın kapsamını ve nedenini değerlendirmek için Shinhan Card’dan destekleyici materyaller talep etti.
Dahili incelemenin ardından Shinhan Card, düzenleyici açıklama gerekliliklerine uygun olarak veri ihlalini 23 Aralık’ta PIPC’ye resmi olarak bildirdi. Şirket, inceleme süreci devam ederken yetkililerle işbirliği yapmaya devam etti.
Şirket Müdahalesi ve Satıcı Destek Tedbirleri
Shinhan Kart veri ihlaline yanıt olarak şirket, web sitesinde ve mobil uygulamasında bir özür ve ayrıntılı bir kılavuz yayınladı. Ayrıca etkilenen satıcıların kişisel verilerinin ele geçirilip geçirilmediğini kontrol etmelerine olanak tanıyan özel bir sayfa da başlattı.
Shinhan Card sözcüsü, “Müşterilerimizi korumak ve benzer olayların tekrarlanmasını önlemek için her türlü çabayı göstereceğiz” dedi. Şirket, iç kontrolleri güçlendirdiğini ve üye işyeri verilerine ilişkin erişim izinlerini gözden geçirdiğini vurguladı.
Shinhan Card ayrıca, şu ana kadar sızdırılan verilerle bağlantılı herhangi bir ek zarar doğrulanmasa da, tüccarları potansiyel kimlik avı veya istenmeyen iletişim girişimlerine karşı dikkatli olmaya çağırdı.
Finansal Verilerin Korunmasına Yönelik Daha Geniş Etkiler
Shinhan Kart veri ihlali olayı, şirketler dış tehditlere karşı siber güvenlik savunmalarına yoğun yatırım yapmaya devam ederken, finansal kurumlarda veri yönetimi ve içeriden öğrenilen risklerle ilgili süregelen zorlukları vurguluyor. Dünya çapında birçok ihlal, bilgisayar korsanlığı veya fidye yazılımını içeriyor olsa da, çalışanların suiistimalinden kaynaklanan olaylar, bankalar ve ödeme sağlayıcılar için kalıcı bir endişe kaynağı olmaya devam ediyor.
Yetkililer soruşturmanın ardından ceza mı yoksa düzeltici eylem mi uygulanacağını henüz açıklamadılar. Shinhan Card şimdilik müşterinin korunmasına ve olayın ardından güvenin yeniden tesis edilmesine odaklandığını sürdürüyor.