Comcast İle İlgili Veri İhlali Olayı
Comcast, Şubat 2024’te bir üçüncü taraf verici tarafından gerçekleştirilen veri ihlali nedeniyle yaklaşık 275,000 müşterinin kişisel bilgilerini ifşa eden bir olay sonucunda, Federal İletişim Komisyonu (FCC) tarafından 1.5 milyon dolarlık bir ceza ödemeyi kabul etti. Bu veri ihlali, Financial Business and Consumer Solutions (FBCS) isimli bir borç tahsilat şirketinin sistemlerine yapılan bir siber saldırı sonucu gerçekleşti.
İhlalin Tarihçesi
İlk olarak 1.9 milyon kişi etkilenmiş olarak rapor edilen veri ihlalinin, daha sonra Haziran’da 3.2 milyon, Temmuz’da ise 4.2 milyon kişiyi etkilediği belirlendi. FBCS, Ağustos 2024’te bir vergi ihlali bildirmeden önce iflas başvurusunda bulunmuş, Comcast’a ise saldırının üzerinden beş ay geçtikten sonra, 15 Temmuz’da ihlalin gerçekleştiğini bildirmiştir.
Bireylerin Kişisel Bilgileri Çalındı
Saldırı sırasında çalınan bilgiler arasında; isimler, adresler, Sosyal Güvenlik numaraları, doğum tarihleri ve Comcast hesap numaraları yer alıyordu. Bu etkilenen bireyler, Comcast’ın Xfinity markalı internet, televizyon, streaming, VoIP ve ev güvenlik hizmetlerini kullanan mevcut ve eski müşterilerdi.
FCC’nin Gerekli Önlemleri ve Comcast’ın Yükümlülükleri
FCC, Comcast’ın veri koruma politikalarını güçlendirmek ve müşteri gizliliğini sağlamak amacıyla bir uyum planı uygulamaya koyması şartıyla ihlalin sonuçlarını ele aldı. Bu plana göre, Comcast’ın, vericilerin müşteri bilgilerini düzgün bir şekilde imha etmesini sağlamak için daha iyi bir denetim süreci uygulaması gerekecek.
Comcast ayrıca, her iki yılda bir müşteri verisi işleyen tedarikçiler üzerinde risk değerlendirmesi yapacak, önümüzdeki üç yıl boyunca FCC’ye her altı ayda bir uyum raporu sunacak ve herhangi bir önemli ihlali 30 gün içinde bildirecek. Buna ek olarak, bir uyum görevlisi ataması da gerekecek.
Sorumluluk İddiaları ve Faaliyetleri
Comcast, bu olayla ilgili olarak herhangi bir yanlış yapmadığını ve ağlarının zarar görmediğini iddia etmektedir. Şirket, FBCS’in güvenlik gerekliliklerine uymakla yükümlü olduğunu ve bu bağlamda bir sorun yaşamadıklarını belirtmiştir.
Buna karşın, şirketin karıştığı bu olay, veri güvenliği alanında tedarikçilerin ne kadar önemli olduğunu ve bu tür dış kaynak kullanımının sağlıklı bir şekilde yönetilmesi gerektiğini gözler önüne sermektedir.
Sonuç
Comcast’ın 1.5 milyon dolarlık ceza ödemesi, siber güvenlik ihlalleriyle ilgili yasal süreçlerin ne denli ciddi olduğunu ve şirketlerin müşteri bilgilerini koruma yükümlülüklerini hatırlatmaktadır. Bu tür olayların, yalnızca şirketleri değil, aynı zamanda müşterileri de derinden etkilediği unutulmamalıdır.
