Giriş
Fransa’daki veri koruma otoritesi CNIL, Free Mobile ve ana şirketi Free’e, siber tehditlere karşı müşteri verilerini yetersiz koruma nedeniyle toplamda 42 milyon Euro ceza verdi. Bu olay, sadece kullanıcı bilgilerini tehlikeye atmakla kalmayıp, aynı zamanda veri güvenliği uygulamalarının ne kadar kritik olduğunu da gözler önüne sermektedir.
Saldırı Nasıl Çalışıyor?
Ekim 2024’te gerçekleşen verihırsızlığı, Free’in yönetim aracını hedef alarak gerçekleştirildi. Saldırganlar, drussellx adıyla bilinen bir hesaptan, yaklaşık 23 milyon mobil ve sabit abonenin bilgilerini çalarak bu bilgileri hacker forumlarında satışa sundu. Ele geçirilen bilgiler arasında, etkilenen 19.2 milyon müşterinin verileri ve yaklaşık %25’inin IBAN numaraları da yer almaktadır.
Etkilenen Sistemler
Free Mobile, Fransa’nın ikinci en büyük internet hizmet sağlayıcısıdır ve siber güvenlik zaafları, gelir kaybı ve müşteri güveninin sarsılmasına yol açmıştır. CNIL tarafından yapılan inceleme, şirketin kötü güvenlik uygulamaları nedeniyle GDPR kurallarını ihlal ettiğini ortaya çıkarmıştır. Belirtilen ihlaller şunlardır:
- Veri güvenliğini sağlama konusundaki eksiklik (Madde 32 GDPR) – Free Mobile ve Free, yetersiz güvenlik önlemleri, zayıf VPN kimlik doğrulama yöntemleri ve anormal etkinlik tespitindeki etkisizlikle saldırıya açık hale gelmiştir.
- Etkilenen bireyleri ihlal konusunda yeterince bilgilendirmeme (Madde 34 GDPR) – Şirketlerin gönderdiği bildirimlerde detaylı bilgi eksikliği ve ihlalin sonuçlarının açıklanmadığı görülmüştür.
- Kişisel verilerin gereğinden uzun süre tutulması (Madde 5(1)(e) GDPR) – Free Mobile, eski abonelerin kişisel verilerini gereğinden fazla süreyle saklamış ve bu verileri zamanında sortlayıp silmemiştir.
Çözüm ve Korunma
CNIL, Free Mobile ve Free şirketlerine yeni güvenlik önlemlerini üç ay içinde tamamlamalarını ve fazla müşteri verilerini altı ay içinde temizlemelerini talep etmiştir. Ayrıca, bu olaydan sonra Fransa’da diğer büyük telekomünikasyon hizmet sağlayıcılarında da veri ihlalleri yaşanmıştır. Örneğin, Temmuz 2025’te Orange France, sistemlerinde bir ihlal tespit etmiş ve Bouygues Telecom da sonraki ay 6.4 milyon müşterinin hassas verilerini açığa çıkaran bir veri ihlali yaşamıştır.
Sonuç
Kullanıcılar ve işletmeler için önemli bir ders niteliği taşıyan bu olay sonrası, sistemi korumak adına şu adımlar atılmalıdır:
- Veri güvenliğinin artırılması için gerekli güncellemeleri yapın.
- Port kapatma veya gereksiz erişim noktalarını devre dışı bırakma yöntemlerini değerlendirin.
- Veri saklama politikalarınızı gözden geçirip, gereksiz verileri temizleyin.
Etkilenen kullanıcılar, hizmet sağlayıcıları ile iletişime geçerek kendi verilerinin güvenliğini sorgulayabilir ve gerektiğinde destek talebinde bulunabilir.
