Christie’s’e siber saldırı nedeniyle toplu dava
Hiç unutmuyorum, tam 4 yıl önce müzayedelerde son nokta diye düşünmüştüm, Christie’s’in 341 milyon dolarlık satış yapan, 280 bin kişinin çevrimiçi canlı takip ettiği açık artırmasında koleksiyonerlerin en çok ilgisini çeken şeyi görünce.
Hayır, Mark Rothko, Paul Cezanne, Willem de Kooning ya da Gerhard Richter imzalı eserler değildi.
‘Stan’ adlı bir T-Rex dinozor iskeletiydi söz konusu olan. Tam 28 milyon dolara satıldı.
Alıcının kimliği de, kişi ya da kurum olduğu bilgisi de açıklanmadı.
Müzayede evlerinde sık sık rastlanan bir durum bu, alıcının kimliğinin açıklanmaması.
Şimdi ise Christie’s büyük bir siber saldırı ile gündemde.
Müzayede evinin verileri çalındı ve hatta hackerlar bu verileri açık artırma ile satacakları açıklamasını yaptı.
İşte bu siber saldırıdan birkaç hafta sonra şimdi de toplu bir dava açıldı müzayede evine karşı.
Dava, müzayede evinin “müşterilerinin hassas bilgilerini uygun şekilde güvence altına alma ve koruma” konusunda başarısız olduğunu iddia ediyor ve ihmal, sözleşme ihlali gibi suçlamalarda bulunuyor.
ABD New York Güney Bölgesi Bölge Mahkemesi’nde 3 Haziran’da açılan davadaki şikâyete göre, ele geçirilen kişisel bilgiler arasında davacıların “tam adları, cinsiyetleri, pasaport numaraları, kredi kartı son kullanma tarihleri, doğum tarihleri, doğum yerleri ve MRZ’ler” yer alıyor.
MRZ, pasaport sahibinin kişisel verilerinin yer aldığı “makineler tarafından otomatik okunabilen sayfa” anlamına geliyor.
Şikayette, veri ihlalinde ele geçirilen bilgilerin siber suçlular tarafından sızdırıldığı ve kimlik hırsızları açısından değeri nedeniyle bilgileri hedef alan siber suçluların elinde kaldığı iddia edildi.
Sonuç olarak 500 bin toplu dava üyesinin mahremiyetin ihlaline, bilgi hırsızlığına maruz kaldığı ve ihlalin potansiyel sonuçlarını hafifletme girişimiyle bağlantılı zaman ve fırsat maliyetleri kaybına maruz kaldığı iddia edildi.
RansomHub, saldırının sorumluluğunu üstlendi. 27 Mayıs’taki bir gönderide, bir hafta içinde fidye ödenmediği takdirde müzayede evinin müşteri verilerini sızdırmakla tehdit etti.
Bu tarih yaklaşırken ise hacker grubu verileri açık artırmaya çıkardı.
56 sayfalık şikayet, Christie’s’in sorumlulukları, kişisel verileri korumadaki başarısızlığı ve ileriye dönük olarak devam eden güvenlik açığı, özellikle de yüksek ve yakın dolandırıcılık ve kimlik hırsızlığı riski hakkında kapsamlı ayrıntılara yer veriyor.
Bir Christie’s sözcüsü, e-posta yoluyla açıklama yaptı: “Siber güvenlik olayı meydana geldiğinden beri, Christie’s’ten veya verilerimizden herhangi bir şekilde bahsedilmesi konusunda çevrimiçi etkinlikleri aktif olarak izliyoruz. Sonuç olarak bir siber grubun, sistemlerimizin sınırlı bir kısmından alınan verilerin satıldığı yönünde henüz doğrulanmamış bir açıklama yaptığını biliyoruz. Mali veya işlemsel kayıtların veya belge kopyalarının, imzaların veya fotoğrafların alındığına dair elimizde hiçbir kanıt bulunmamaktadır. Kişisel kimlik bilgileri alınan müşterilerimizi zaten bilgilendirmiştik. GDPR’ye [Genel Koruma Veri Yönetmeliği] ve diğer ilgili ulusal ve eyalet düzenlemelerine uymaya devam ediyoruz.”
Christie’s, RansomHub’ın verilerini satma teklifi hakkında yorum yapmayı ise reddediyor.
Açıklama şöyle devam ediyor: “Müşterilerimize bu zorlu dönemde devam eden güvenleri ve destekleri için teşekkür etmek istiyoruz ve verdiğimiz rahatsızlıktan dolayı üzüntümüzü bir kez daha ifade ediyoruz.”
Bu, elbette günümüzde sadece Christie’s’in başına gelen bir saldırı değil.
Daha birçok büyük kurum da benzer saldırılarla mücadele etmek zorunda kalıyor.
Bu durumda her ne kadar Kişisel Verilerin Korunması Kanunu önemsense de, çoğu zaman kişiler de, büyük kurumlar da çaresiz.
İşte o yüzden Christie’s’e açılan bu davanın sonucu ne olacak, nasıl bir emsal yaratacak, heyecanla bekleniyor.