Hangi kişisel veriler etkilendi?

Olay, Maserati’nin CRM sisteminde saklanan birtakım kişisel verileri kapsamaktadır. Sistemde bulunabilecek ve dolayısıyla potansiyel olarak etkilenmiş olabilecek veri kategorileri şunlardır: Kimlik (ad, soyad, cinsiyet, medeni durum, doğum tarihi, uyruk, dil); İletişim (adres, posta kodu, e-posta adresi, telefon numarası, faks); Mesleki deneyim (yalnızca ilgili kişinin, Maserati ile olan etkileşimleri bağlamında, örneğin ticari sorular veya mesleki etkinlikler kapsamında paylaşıldıysa mevcut görev/meslek bilgisi); Müşteri işlemi (müşteri ismiyle doğrudan bağlantılı olmamakla birlikte araç şasi numarası ve plaka bilgisi); Pazarlama (pazarlama iletişimleri ile ilgili olarak gizlilik tercihleri, çocuk sayısı bilgisi); Bayi ve bayi çalışanı verileri (ad, soyad ve e-posta adresi). İhlal, finansal bilgiler, devlet kimlik numaraları veya özel nitelikli kişisel veriler (örneğin sağlık, biyometrik veya dini bilgiler) gibi hassas kişisel verileri içermemektedir. Ayrıca, yukarıda sayılan verilerin tümünün ilgili her bir kişi için mevcut olmadığının altını çizmek isteriz. Zira, potansiyel risk, ihlal anında bu tür bilgilerin veri tabanında mevcut olup olmamasına bağlıdır.

Olaydan kaynaklanan olası riskler nelerdir?

Kişisel verileri etkilenen kişiler için olası riskler şunlardır: Elde edilen iletişim bilgileriyle yapılan kimlik avı ve hedefli siber saldırılar; Kişisel verilerin izinsiz olarak ifşa edilmesi; LKişisel veriler üzerindeki kontrolün kaybı ve bunun sonucu olarak istenmeyen pazarlama iletişimlerinin alınması. Bununla birlikte, bu SSS’de belirtilen veriler dışında, bu olayın Şirket’in temel bilgi teknolojileri sistemleri üzerinden herhangi bir etkisi olmadığını; hizmetlerin kesintiye uğramasına veya operasyonel kontrolün kaybedilmesine yol açmadığını önemle vurgulamak isteriz.

Maserati bu olayı yönetmek için hangi önlemleri aldı?

Olaydan haberdar olur olmaz, etkilenen hesap derhal devre dışı bırakılmış ve siber güvenlik uzmanlarımızla birlikte gelecekte benzer olayların yaşanmaması adına ek güvenlik önlemleri alınmıştır. Ayrıca, bu tür bir olayın tekrar yaşanmaması adına, aşağıdakiler dahil olmak üzere gelişmiş önlemler derhal uygulamaya alınmıştır: Tüm iç ve dış kullanıcılara yönelik güvenlik farkındalığı hatırlatmalarının yapılması; Toplu veri indirme/ içe aktarma işlemlerinin kısıtlanması ve ilgili özelliğin belirli yöneticilerle sınırlandırılması; Trafik, kullanıcı etkinlikleri, erişim hakları ve çok faktörlü kimlik doğrulama için izleme araçlarının iyileştirilmesi; Veri erişimi ve kullanım eşikleri ile ilgili kontrollerin sıkılaştırılması.

Data Incident Communication

15 Şubat 2025 tarihinde, yetkisiz bir kişi, çağrı merkezi hizmet sağlayıcımızın bir çalışanına ait giriş bilgilerini kullanarak müşteri veri yönetim sistemimize (“CRM”) erişmiş ve Maserati müşterileri ile potansiyel müşterilere ait önemli miktarda kişisel veriyi indirmiştir. Yetkisiz erişim, Hindistan’da bulunan bir IP adresi üzerinden gerçekleştirilmiş olup aynı gün içerisinde kontrol altına alınmıştır.

Olay, 19 Şubat 2025 tarihinde tarafımızca tespit edilmiş ve derhal gerekli inceleme ve müdahale adımları başlatılmıştır.

Güncel Durum: Olayın ardından yürütülen kapsamlı soruşturmalar sonucunda, kişisel verisi etkilenen bireyler bakımından herhangi bir olumsuz etkiye rastlanmadığı, verilerin kötüye kullanıldığına ilişkin herhangi bir bildirim de alınmadığını önemle belirtmek isteriz. Ciddi bir etki beklenmemekle birlikte, etkilenen verilerin kötüye kullanıldığına dair herhangi bir bildirim alınmamış olsa da kimlik avı veya izinsiz pazarlama dahil olmak üzere olası riskleri en aza indirmek için bu SSS'nin “Kendimi korumak için ne yapabilirim?” bölümünde listelenen en iyi uygulamaları her zaman benimsemenizi önemle tavsiye ederiz.

Olay, Maserati’nin CRM sisteminde saklanan birtakım kişisel verileri kapsamaktadır.

Sistemde bulunabilecek ve dolayısıyla potansiyel olarak etkilenmiş olabilecek veri kategorileri şunlardır:

Kimlik (ad, soyad, cinsiyet, medeni durum, doğum tarihi, uyruk, dil);
İletişim (adres, posta kodu, e-posta adresi, telefon numarası, faks);
Mesleki deneyim (yalnızca ilgili kişinin, Maserati ile olan etkileşimleri bağlamında, örneğin ticari sorular veya mesleki etkinlikler kapsamında paylaşıldıysa mevcut görev/meslek bilgisi);
Müşteri işlemi (müşteri ismiyle doğrudan bağlantılı olmamakla birlikte araç şasi numarası ve plaka bilgisi);
Pazarlama (pazarlama iletişimleri ile ilgili olarak gizlilik tercihleri, çocuk sayısı bilgisi);
Bayi ve bayi çalışanı verileri (ad, soyad ve e-posta adresi).

İhlal, finansal bilgiler, devlet kimlik numaraları veya özel nitelikli kişisel veriler (örneğin sağlık, biyometrik veya dini bilgiler) gibi hassas kişisel verileri içermemektedir.

Ayrıca, yukarıda sayılan verilerin tümünün ilgili her bir kişi için mevcut olmadığının altını çizmek isteriz. Zira, potansiyel risk, ihlal anında bu tür bilgilerin veri tabanında mevcut olup olmamasına bağlıdır.

Kişisel verileri etkilenen kişiler için olası riskler şunlardır:

Elde edilen iletişim bilgileriyle yapılan kimlik avı ve hedefli siber saldırılar;
Kişisel verilerin izinsiz olarak ifşa edilmesi;
LKişisel veriler üzerindeki kontrolün kaybı ve bunun sonucu olarak istenmeyen pazarlama iletişimlerinin alınması.

Bununla birlikte, bu SSS’de belirtilen veriler dışında, bu olayın Şirket’in temel bilgi teknolojileri sistemleri üzerinden herhangi bir etkisi olmadığını; hizmetlerin kesintiye uğramasına veya operasyonel kontrolün kaybedilmesine yol açmadığını önemle vurgulamak isteriz.

Aşağıdaki güvenlik önlemlerinin alınmasını önemle tavsiye ederiz:

Kişisel bilgi talep eden mesajlar veya şüpheli e-postalar gibi kimlik avı girişimlerine karşı dikkatli olun.
Hassas bilgileri çevrim içi olarak paylaşmaktan kaçının ve aldığınız iletişimlerin doğruluğunu her zaman kontrol edin.

Olaydan haberdar olur olmaz, etkilenen hesap derhal devre dışı bırakılmış ve siber güvenlik uzmanlarımızla birlikte gelecekte benzer olayların yaşanmaması adına ek güvenlik önlemleri alınmıştır.

Ayrıca, bu tür bir olayın tekrar yaşanmaması adına, aşağıdakiler dahil olmak üzere gelişmiş önlemler derhal uygulamaya alınmıştır:

Tüm iç ve dış kullanıcılara yönelik güvenlik farkındalığı hatırlatmalarının yapılması;
Toplu veri indirme/ içe aktarma işlemlerinin kısıtlanması ve ilgili özelliğin belirli yöneticilerle sınırlandırılması;
Trafik, kullanıcı etkinlikleri, erişim hakları ve çok faktörlü kimlik doğrulama için izleme araçlarının iyileştirilmesi;
Veri erişimi ve kullanım eşikleri ile ilgili kontrollerin sıkılaştırılması.

Maserati, olayın yönetilmesinde azami şeffaflığı sağlamaya önem vermektedir ve bu nedenle, kişisel verilerinin olayla ilişkisi hakkında bilgi talep etmek isteyen kişilere bir kanal sunmaktadır.

Nasıl bilgi talebinde bulunulabilir:

Individuals can send their requests via email to the following addresses: Kişiler, bilgi taleplerini info@maserati.com adresine e-posta yoluyla iletebilir. Hızlı ve doğru bir yanıt alabilmek için:

E-postanın konusu olarak “Bilgi Talebi SSS - Information Request FAQ” ifadesi yazılmalıdır.
Maserati’nin talep sahibinin kimliğini doğrulayabilmesi için gerekli bilgiler (örneğin ad, soyad, Maserati ile iletişimde kullandığınız e-posta adresi) mutlaka eklenmelidir.
Maserati, taleplere mümkün olan en kısa sürede yanıt vermeyi taahhüt etmektedir.

Tam olarak ne oldu?

Hangi kişisel veriler etkilendi?

Olaydan kaynaklanan olası riskler nelerdir?

Kendimi korumak için ne yapabilirim?

Maserati bu olayı yönetmek için hangi önlemleri aldı?

Olay hakkında daha fazla bilgiyi nasıl edinebilirim?