Artan API Güvenlik Olaylarının Nedeni Ne Olabilir?

selen guvenc

Ekim 5, 2022

Noname Security, API görünürlüğü eksikliği ve mevcut kontrollerde yanlış yere güven düzeyi ile ilgili olarak hızla artan sayıda API güvenlik olayını ortaya çıkaran API güvenlik raporu, "The API Security Disconnect – API Security Trends in 2022" nin bulgularını açıkladı.

Ankete katılanların %76' sı son 12 ayda bir API güvenlik olayı yaşadı ve bu olaylara öncelikle; Hareketsiz/Zombi API'leri, Yetkilendirme Açıkları ve Web Uygulaması Güvenlik Duvarları neden oldu. Ayrıca, siber güvenlik uzmanlarının %74' ü tam bir API envanterine sahip değil veya hangi API'lerin hassas veriler döndürdüğünü bilmiyor.

Bu, ankete katılanların çoğunluğunun ekosistemlerinde API'lere ilişkin gerçek zamanlı ayrıntılı görüntülemeleri yoksa, herhangi bir API güvenlik tehdidine karşı çözüm bulmakta ve hangisine öncelik vereceğini bilememekte zorlanacağı anlamına gelir.

Diğer önemli bulgular şunları içermektedir:

• %71'i yeterli API koruması aldıklarından emin ve memnundu.
• Ankete katılanların %48'i, Aktif API'lerin güvenlik durumunu görebiliyor.
• Yanıt verenlerin yalnızca %11'i API'leri gerçek zamanlı olarak kötüye kullanım belirtileri açısından test ediyor.
• %39'u günde bir defadan az ve haftada bir defaya kadar test yapıyor.
• Katılımcıların %67'si, DAST (Dinamik Uygulama Güvenliği Testi) ve SAST (Statik Uygulama Güvenlik Testi)araçlarının API'leri test edebildiğinden emin.

IP Kısıtlamasıyla API Bağlantı Güvenliğini Sağlayın!

https://www.mobildev.com/blog/ip-kisitlamasiyla-api-baglantinizin-guvenligini-saglayabilecegini-biliyor-musunuz

Sporu herkes için sürdürülebilir olarak ulaşılabilir kılmayı hedefleyen Decathlon, Türkiye’de Mayıs 2010’dan beri faaliyet gösteriyor. Şimdilerde ise 40 fiziksel mağazası, web sitesi ve yeni kanalları ile bu misyonu devam ettirmektedir.

selen guvenc Kasım 30

Verilerim işlenebilir Verilerim sözleşmede belirtilen kuruluşlar ile paylaşılabilir Verilerim yurt dışına aktarılabilir GSM Numaram üzerinden ticari ileti almak istiyorum E-posta adresim üzerinden ticari ileti almak istiyorum Ticari iletişim iznimin paylaşılmasını istiyorum

Aydınlatma Metninde belirtilen kapsam, amaç ve süre dahilinde kişisel verilerimin işlenmesini kabul ediyorum.

KİŞİSEL VERİLERİN KORUNMASI KANUNU UYARINCA AYDINLATMA METNİ

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca Veri Sorumlusu sıfatıyla hareket eden İstanbul Ticaret Sicili nezdinde 538515 sicil numarası ile kayıtlı, 0622042115500019 Mersis numaralı, şirket merkezi Esentepe Mahallesi D-100 Güney Yanyol Cad. No:25 D:147-151 34870 Soğanlık Kartal İstanbul adresinde bulunan Mobildev İletişim Hizmetleri Sanayi ve Ticaret Anonim Şirketi (“MOBİLDEV”) olarak kişisel verilerinizin aşağıda belirtilen kapsam dahilinde kaydedileceği, saklanacağı, güncelleneceği, ilgili mevzuatın izin verdiği durumlarda 3. kişilere açıklanabileceği, aktarılabileceği, sınıflandırılabileceği ve ilgili mevzuatta belirtilen diğer usul ve esaslara uygun olarak işlenebileceği hususlarında sizleri bilgilendirmek isteriz. MOBİLDEV kişisel verilerinizin hukuka uygun olarak geniş anlamda işlenmesi ve gizliliğin korunması amacıyla mümkün olan en üst seviyede gerekli idari ve güvenlik tedbirlerini almaktadır.

Bu metinde;

MOBİLDEV’in, https://yeni.mobildev.com/ uzantılı internet sitesini (“Site”) ziyaret etmeniz (“Çevrimiçi Ziyaretçi”) veya MOBİLDEV mobil uygulamasını (“Mobil Uygulama”) kullanmanız,
MOBİLDEV ile hizmet sözleşmesi imzalayarak Site harici ve Site üzerinden MOBİLDEV hizmetlerini kullanmanız,
Ticari iletişim kanalları ile genel ve kişiye özel kampanya bilgilendirmelerin yapılmasını kabul etmeniz,
İletişim kanallarımız üzerinden karşılıklı olarak iletişime geçmemiz,
MOBİLDEV tarafından düzenlenen kampanya ve diğer etkinliklere katılmanız

halinde kişisel veri işleme süreçlerine ilişkin aydınlatılmanız amaçlanmıştır.

MOBİLDEV olarak Site ve Mobil Uygulama kullanımlarına ilişkin istatistiksel çalışmaların yapılması, hedeflenmiş reklam/tanıtımların yapılması ve etkin bir müşteri deneyimi yaşamanızı sağlamak amacıyla Mobil Uygulama’da ve Site’de çerez vb. yöntemler kullanmaktayız. Çerezlerle ilgili ayrıntılı bilgi için https://yeni.mobildev.com/ adresinde yer alan çerez politikasını inceleyebilirsiniz.

A. TANIMLAR
İşbu aydınlatma metninde geçen;Kişisel Veri; Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,Kişisel Verilerin Korunması Kanunu (KVKK): 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu,MOBİLDEV veya Veri Sorumlusu: Kişisel Verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan tüzel kişiyi, ifade etmektedir

B. KİŞİSEL VERİLERİNİZİN İŞLENME AMAÇLARI VE İŞLENEN KİŞİSEL VERİLER
B.1 Sitemizin Ziyaret Edilmesi/Mobil Uygulamamızın Kullanılması Durumunda Sitemizi ziyaret etmeniz veya Mobil uygulamamızı kullanmanız durumunda kullanımlarınıza ilişkin istatistiksel çalışmaların yapılması, hedeflenmiş reklam/tanıtımların yapılması ile etkin bir müşteri deneyimi yaşamanızı sağlamak amacıyla çerezler kullanmakta ve Site/Mobil Uygulama’yı kullanım (gezinti) bilgilerinizi işlemekteyiz. Çerezlerle ilgili ayrıntılı bilgi için https://yeni.mobildev.com/ adresinde yer alan çerez politikasını inceleyebilirsiniz.

B.2 Site/Online/Mobil Uygulama Kullanıcı Üyeliği (Üyelik) Durumunda
MOBİLDEV ile imzalamış olduğunuz hizmet ve üyelik sözleşmelerinin gerçekleştirilmesi ve Site/Mobil Uygulama kullanıcı bilgilerinizin kaydedilmesi, üyelik girişinin yapılabilmesini sağlanması, üyeliğinizle ilgili bilgilendirmelerde bulunulması, üyelik sözleşmesinin gereğini yerine getirilmesi ve tekrar tüm üyelik bilgilerinin girilmesine gerek kalmaksızın üye bilgilerini kullanarak Site’ye ve Mobil Uygulamaya giriş yapılabilmesi amacıyla ad soyad, e-posta adresi, cep telefonu numarası, işlem güvenliğinin sağlanması amacıyla log kayıtları bilgilerinizi,

Üyelik esnasında otomatik olarak atanması nedeniyle Kullanıcı ID bilginizi,

Üyelik işlemleri sırasında ya da başka kanallardan vereceğiniz bilgilerinizin güncellenmesi ve/veya daha sonra değiştireceğiniz bilgilerinizin tüm üyeliklerinize ilişkin vermiş olduğunuz bilgiler için de güncellenmesinin sağlanması ve kişisel verilerinizi güncel olarak tutma yükümlülüğümüzü yerine getirebilmek amacıyla ad soyad, e-posta adresi, cep telefonu numarası, sistem tarafından otomatik olarak atanan Kullanıcı ID bilgilerinizi,

Üyeliğinize göre size özel olanak ve teklifler sunulması, genel veya size özel kişiselleştirilmiş kampanyalar, avantajlar, promosyonlar, reklamların oluşturulması, diğer etkinliklerin düzenlenmesi, segmentasyon, profilleme, raporlama, pazarlama ve analiz çalışmalarının yapılması, müşteri deneyimini iyileştirmeye yönelik çalışmalar ve operasyonel süreçlere ilişkin stratejik planlama, analiz ve iş geliştirme çalışmaları kapsamında ad soyad, e-posta adresi, cep telefonu numarası, Site ve Uygulama içi bildirimlere/anketlere/tekliflere/kampanyalara karşı yaklaşımlar, alışkanlıklar, davranışlar, tercihler, arama hareketleri, segmentler, çerez kayıtları, çerez ve reklam tanıtıcısı/kimliği bilgileri ve cihaz ID, kullanılan cihaza ilişkin marka, model, teknik özellik ve işletim sistemi bilgileri, kullanılan operatör bilgisi, anket cevapları verilerinizi işlemekteyiz.

Ticari İletişim İzni Verilmesi Halinde
MOBİLDEV’e herhangi bir kanaldan ticari iletişim izni (açık rıza) vermeniz halinde, MOBİLDEV tarafından yürütülen genel veya özel kişiselleştirilmiş kampanyalar, avantajlar, ürün ve hizmet tanıtımları, anket çalışmaları, müşteri memnuniyeti uygulamalarının sunumu, promosyonlar, reklamlar, bilgilendirmeler, pazarlama faaliyetleri kapsamında seçeceğiniz kanallar üzerinden (SMS, e-posta, Çağrı Merkezi vb.) ticari iletişim faaliyetlerinde bulunulabilmesi, kampanya ve diğer etkinliklere ilişkin davetlerimizin iletilmesi amaçlarıyla ad soyad, sabit telefon numarası, cep telefonu numarası, e-posta adresi ile log kayıt bilgilerinizi işlemekteyiz.

B.4 Iletişim Kanalları Üzerinden MOBİLDEV ile İletişime Geçilmesi Halinde
Çağrı merkezi, e-posta, Site, Mobil Uygulama, sosyal medya ve benzeri kanallar (“İletişim Kanallarımız”) üzerinden bizimle iletişime geçtiğiniz takdirde bize ilettiğiniz talep ve şikayetlerinizin çözümlenmesi ve gerektiğinde sizinle iletişime geçebilmek, çağrı merkezimiz üzerinden iletişime geçtiğiniz takdirde tarafınıza doğru hitap edebilmek, hizmet/işlem güvenliğini sağlayabilmek, tüm müşteri ilişkileri süreçlerini daha iyi yönetebilmek, takip edebilmek ve raporlayabilmek ile kalite standartlarını iyileştirmeye yönelik çalışmalar kapsamında ad soyad, sosyal medya kullanıcı adı, e-posta adresi, cep telefonu numarası, paylaşılması halinde sabit telefon numarası, ilgili ise hukuki işlem bilgilerinizi, talep ve şikayetlerinizi, talep şikayetinizle ilgili veya talep şikayetinizin sonuçlandırılması için log kayıtları verilerinizi, talep ve şikayetinize bağlı tarafınızca aktarılacak olan ilgili diğer bilgilerinizi,

Site’deki İletişim formunu doldurmanız durumunda veya Chatbot üzerinden aktarmanız durumunda ad soyad, telefon no veya cep telefon no, e-mail, çalıştığı şirket bilgisi, pazarlama amacıyla kampanya çalışmaları neticesinde elde edilen bilgiler ve değerlendirmeler, müşterinin online aktivite bilgisi, IP adresi izleme, bunların sonuçlarının ilgili iş birimleri tarafından değerlendirildiği raporlara yönelik bilgiler, kişinin ürün ve hizmetler hakkında yaptığı şikayetlerle ilgili toplanan bilgiler ve kayıtlar, kişinin ürün ve hizmetler hakkında yaptığı taleplerle ilgili toplanan bilgiler ve kayıtlar gibi kişisel verilerinizi,

Müşteri memnuniyetine yönelik çalışmalarımız ve aramızda doğabilecek uyuşmazlıklarda delil olarak kullanılmak üzere çağrı merkezi ses kayıtlarınızı işlemekteyiz.

B.5 Yasal Yükümlülükler ve Şirket içi Faaliyetler Amacıyla

Mevzuata aykırı her türlü fiil, suç veya davranışa karşı sizin, MOBİLDEV ve çalışanlarının ve diğer üçüncü kişilerin güvenliğini sağlamak, mevzuattan kaynaklanan yükümlülüklerimizi yerine getirmek ve yetkili ve görevli özel veya kamu kurum ve kuruluşlarına karşı hukuki yükümlüklerimizi yerine getirmek, doğacak uyuşmazlıklarda mahkeme, icra dairesi, hakem heyeti gibi resmi kurum ve kuruluşlara karşı her türlü dava, cevap ve itiraz hakkının kullanılması, uyuşmazlıklara ilişkin görüşme ve anlaşma süreçlerinin yürütülmesi, tarafımızdan bilgi talep etmeniz veya yasal haklarınız kapsamında başvuruda bulunmanız halinde gerekli bilgilerin tarafınıza ulaştırılabilmesi, sözleşme ve mevzuata aykırı şekilde kullanımı engellemek, şüpheli işlemleri ve hukuka aykırı kullanımları tespit edebilmek, iptal işlemlerini gerçekleştirebilmek, iç denetim ve kontrol ile raporlama, test, geliştirme çalışmalarını yapabilmek ve müşteri deneyimini iyileştirmeye yönelik çalışma ve geliştirmeler, operasyonel süreçlere ilişkin stratejik planlama, analiz ve iş geliştirme çalışmaları yapılması kapsamında ad soyad, doğum tarihi, yasal süreçler nedeniyle aktarılması veya resmi mercilerce gönderilen belgelerde bulunması halinde imza ve T.C. Kimlik Numarası, cep telefonu numarası, e-posta adresi, adres, talep ve şikayetleriniz, faturalarınız, ödeme bilgileriniz, çağrı merkezi ses kayıtlarınız, Site üzerinden işlem yapmanız halinde log kayıtları, Kullanıcı ID, IP adresi, güvenlik kamerası kayıtları, ilgili hukuki işlem bilgileriniz ile uyuşmazlık süreçlerine ilişkin yazışma ve dosya bilgilerinizi,

Çevrimiçi Ziyaretçi bakımından ise bilgi işlem güvenliğinin sağlanması ve kötü amaçlı kullanımların önlenmesi, faaliyetlerin mevzuata uygun yürütülmesi, yetkili ve görevli kamu kurum ve kuruluşlarına karşı diğer hukuki yükümlüklerimizi yerine getirmek amacıyla çerez kayıtları (IP adresi, gezinti bilgileri, kullanılan cihaz bilgisi (ID) ve trafik verisi) verilerinizi işlemekteyiz.

C. KİŞİSEL VERİLERİN KİMLERE VE HANGİ AMAÇLA AKTARILABİLECEĞİ
Kişisel verilerinizi işbu Metin’de belirtilen amaçlar doğrultusunda ve KVKK'nın 8. ve 9. maddelerine uygun olarak;

Yurtiçinde bulunan depolama, arşivleme, bilişim teknolojileri desteği (sunucu, hosting, program, bulut bilişim) gibi alanlarda destek aldığımız üçüncü kişilerle, işbirliği yapılan ve/veya hizmet alınan GSM Operatörleri, iş ortakları, tedarikçi firmalar, bankalar, finans kuruluşları, hukuk, vergi, bayiler vb. benzeri alanlarda destek alınan danışmanlık firmaları, satış, pazarlama ve MOBİLDEV’in faaliyetleri ile ilgili sair alanlarda destek veren üçüncü kişilere ile kurum ve kuruluşlara,

Yetkili ve görevli özel veya kamu kurum ve kuruluşlar ile adli makamlara ve resmi kurum/kuruluşlara karşı olan bilgi, belge verme ve ilgili sair yükümlülüklerimizi yerine getirmek ve dava ve cevap hakları gibi yasal haklarımızı kullanabilmek amacıyla bizden istenen bilgileri anılan bu kurum, kuruluş ve makamlara,

Şüpheli işlemlerin takibi, tespiti ve hukuka aykırı işlemlerin önlenmesi amaçlarıyla gerekli durumlarda danışmanlık hizmeti aldığımız tedarikçilerimiz ve ilgili işleme ilişkin ödeme kuruluşlarına,

Site ziyaret trafiğinin artırılmasına ilişkin faaliyetler kapsamında tedarikçilerimize aktarmaktayız.

D. KİŞİSEL VERİ TOPLAMA YÖNTEMLERİ VE HUKUKİ SEBEPLERİ
Kişisel verilerinizi;

MOBİLDEV ile imzaladığınız hizmet sözleşmeleri ve kullanıcı üyelik sözleşmesi uyarınca yükümlülüklerimizin yerine getirilmesi ile satış ve satış sonrası destek süreçlerine ilişkin olarak “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması”

Pazarlama, segmentasyon ve analiz çalışmaları kapsamında kişisel veri işleme süreçlerine ve ticari iletişim faaliyetlerine ilişkin olarak vereceğiniz “açık rıza”,

MOBİLDEV tarafından sunulan hizmetlerin, Site’nin ve Mobil Uygulamalarınınn kullanımı kapsamında şüpheli işlemlerin tespiti ve önlenmesi, işlem güvenliğinin sağlanması, operasyonel süreçlere (stratejik planlama, analiz ve iş geliştirme çalışmaları) ilişkin çalışmalar ve müşteri ilişkileri süreçlerimize ilişkin olarak “veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması”,

Mevzuattan kaynaklanan yükümlülüklerimize ilişkin “hukuki yükümlülüğün yerine getirilmesi” ve “kanunlarda açıkça öngörülmesi”,

Hukuki uyuşmazlık, soruşturma ve diğer adli/resmi süreçlere ilişkin olarak da “hakların tesisi, kullanılması veya korunması için veri işlemenin ve aktarmanın zorunlu olması”,

İlgili kişinin kendisi tarafından alenileştirilmiş olması hukuki sebeplerine dayanarak otomatik ve otomatik olmayan yöntemlerle işlemekteyiz.

E. KVKK KAPSAMINDAKİ HAKLARINIZ

Veri Sorumlusu sıfatıyla hareket eden MOBİLDEV tarafından verilerinizin işlendiği kapsam dahlinde Esentepe Mahallesi D-100 Güney Yanyol Cad. No:25 D:147-151 34870 Soğanlık Kartal, İstanbul adresine yazılı olarak bizzat veya posta yoluyla veya “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”de belirtilen diğer usuller ile başvuruda bulunarak her zaman;

a) kişisel verilerinizin işlenip işlenmediğini öğrenme,
b) kişisel verilerinizin işlenme faaliyetlerine ilişkin olarak bilgi talep etme,
c) kişisel verilerinizin işlenme amaçlarını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) kişisel verilerinizin yurt içinde üçüncü kişilere aktarılmış olması durumunda bu kişileri öğrenme,
d) kişisel verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
e) kişisel verilerinizin işlenmesini gerektiren sebeplerin ortadan kalkması veya söz konusu verileri işleyebilmek için hukuki dayanağın veya meşru menfaatin bulunmaması halinde kişisel verilerinizin silinmesini veya yok edilmesini isteme,
f) kişisel verilerinizin aktarıldığı üçüncü kişilere (d) ve (e) bentlerinde belirtilen taleplerinizin bildirilmesini ve aynı işlemleri gerçekleştirmelerini isteme,
g) kişisel verilerinizin otomatik sistemler vasıtasıyla analiz edilmesi suretiyle ortaya çıkabilecek aleyhte sonuçlara itiraz etme,
ğ) kişisel verilerinizin kanuna aykırı bir şekilde işlenmesi sebebiyle zarara uğramanız halinde bu zararın tazmin edilmesini talep etme hakkına sahipsiniz.

Başvurunuzda;
Ad, soyad ve başvuru yazılı ise elle atılmış imza,
Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
Tebligata esas yerleşim yeri veya iş yeri adresi,
Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
Talep konusu,
yer almalı ve konuya ilişkin bilgi ve belgeler de başvuruya eklenmelidir.

Bu amaçlarla yaptığınız başvurunun ek bir maliyet gerektirmesi durumunda, Kişisel Verileri Koruma Kurulu tarafından belirlenecek tarifedeki ücret tutarını ödemeniz gerekebilir. Başvurunuzda yer alan talepleriniz, talebin niteliğine göre en kısa sürede ve en geç başvurunuz ulaştıktan sonra 30 (otuz) gün içinde sonuçlandırılacaktır.
KVKK ve ilgili mevzuat kapsamındaki haklarınız hakkında detaylı bilgi almak için Kişisel Verileri Koruma Kurumu’nun internet sayfasını (https://www.kvkk.gov.tr/) ziyaret edebilirsiniz.

Aydınlatma Metni Metnine uygun olarak elektronik ticari ileti almayı kabul ediyorum.

Artan API Güvenlik Olaylarının Nedeni Ne Olabilir?

selen guvenc

İlgili İçerik

Mobildev' den Aralık Ayında 2 Büyük Webinar

Siber Güvenlikte Uyumluluğun Rolü

Futbol Kulüpleri Siber Savunmalarını Neden Artırmalı?

Ticimax E Ticaret Sohbetleri Ankara Etkinliğindeyiz

Pazarlamada Veri Analitiği Neden Önemli?

Decathlon Mobildev Çözümlerini Tercih Etti

Bültene Üye Ol