Türk Nippon Sigorta A.Ş. Veri İhlali Bildirimi – 193 Kişi Etkilendi
Summary
KVKK published Türk Nippon Sigorta A.Ş.'s data breach notification revealing that insufficient object-level authorization controls and query parameter manipulation on the company's claims inquiry screen allowed unauthorized access to third-party claims file contents. The breach began on April 6, 2026 and was discovered on April 9, 2026, affecting 193 individuals' personal data comprising names and vehicle license plates. KVKK's Personal Data Protection Board decided on April 22, 2026 to publish the notification on its website, with investigations continuing.
“Veri sorumlusuna ait internet sitesi üzerinden sunulan hasar dosyası sorgulama ekranında, nesne seviyesinde yetkilendirme kontrollerinin yetersizliği ve sorgu parametrelerinin manipülasyonu suretiyle, sorguyu yapan kullanıcı ile ilgisi bulunmayan üçüncü kişilere ait hasar dosyası içeriklerine yetkisiz erişim sağlandığı”
Companies operating web-based portals that process personal data, including insurance companies, should verify that their authorization controls prevent parameter manipulation attacks. Turkish Law No. 6698 Article 12(5) requires data controllers to notify KVKK and affected individuals when personal data is obtained unlawfully by third parties.
About this source
GovPing monitors Turkey Personal Data Protection Authority for new data privacy & cybersecurity regulatory changes. Every update since tracking began is archived, classified, and available as free RSS or email alerts — 3 changes logged to date.
What changed
KVKK published Türk Nippon Sigorta A.Ş.'s data breach notification disclosing unauthorized access to personal data of approximately 193 customers. The breach occurred through the company's online claims file inquiry screen due to insufficient object-level authorization controls and manipulation of query parameters, exposing names and vehicle license plates of unrelated third parties. The breach began on April 6, 2026 and was detected on April 9, 2026.
Insurance companies and other entities operating web-based portals that process personal data should review their authorization and access control mechanisms. Turkish Law No. 6698 on Protection of Personal Data Article 12(5) requires data controllers to notify both affected individuals and KVKK when personal data is unlawfully obtained by third parties. KVKK may publish such breach notifications on its website when deemed necessary.
What to do next
- Affected individuals can obtain information about the data breach by contacting the data controller's call center
Archived snapshot
Apr 23, 2026GovPing captured this document from the original source. If the source has since changed or been removed, this is the text as it existed at that time.
Yayınlanma Tarihi: 22 Nisan 2026, Çarşamba
Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Türk Nippon Sigorta A.Ş.
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz Türk Nippon Sigorta A.Ş. tarafından Kurula iletilen veri ihlal bildiriminde özetle;
- Veri sorumlusuna ait internet sitesi üzerinden sunulan hasar dosyası sorgulama ekranında, nesne seviyesinde yetkilendirme kontrollerinin yetersizliği ve sorgu parametrelerinin manipülasyonu suretiyle, sorguyu yapan kullanıcı ile ilgisi bulunmayan üçüncü kişilere ait hasar dosyası içeriklerine yetkisiz erişim sağlandığı,
- İhlalin 06.04.2026 tarihinde başladığı ve 09.04.2026 tarihinde tespit edildiği,
- İhlalden etkilenen kişisel verilerin; kimlik (ad soyad) ve araç plaka verileri olduğu,
- İhlalden etkilenen kişi sayısının ilk belirlemelere göre 193 kişi olduğu, araştırmaların devam ettiği,
- İhlalden etkilenen ilgili kişi grubunun müşteriler olduğu,
- İlgili kişilerin, veri sorumlusuna ait çağrı merkezi aracılığıyla veri ihlali hakkında bilgi alabileceği bilgilerine yer verilmiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 22.04.2026 tarih ve 2026/866 sayılı Kararı ile söz konusu veri ihlal bildiriminin Kurumun internet sitesinde ilan edilmesine karar verilmiştir.
Kamuoyuna saygıyla duyurulur.
##### Kişisel Verileri Koruma Uzman Yardımcısı Alımı Yazılı Sınav Duyurusu 10 Nisan 2026
##### Kişisel Verileri Koruma Kurumu ile Jandarma Genel Komutanlığı Arasında İş Birliği ve Bilgi Paylaşımı Protokolü İmzalandı 09 Nisan 2026
##### Ayın Tarihi’nde Dijital Egemenlik ve Veri Koruma Kültürü 09 Nisan 2026
##### KVKK ve Dijital Dünyada Veri Güvenliği Etkinliği Rize’de Gerçekleştirildi 22 Nisan 2026
##### “Finansal Okuryazarlıkta Güncel Gelişmeler” Konulu Çarşamba Semineri Düzenlendi 22 Nisan 2026
##### Kurumumuzun 10. Yılına Anlamlı Hatıra: KVKK Hatıra Ormanı 15 Nisan 2026
Named provisions
Parties
Related changes
Get daily alerts for Turkey Personal Data Protection Authority
Daily digest delivered to your inbox.
Free. Unsubscribe anytime.
About this page
Every important government, regulator, and court update from around the world. One place. Real-time. Free. Our mission
Source document text, dates, docket IDs, and authority are extracted directly from KVKK.
The summary, classification, recommended actions, deadlines, and penalty information are AI-generated from the original text and may contain errors. Always verify against the source document.
Classification
Who this affects
Taxonomy
Browse Categories
Get alerts for this source
We'll email you when Turkey Personal Data Protection Authority publishes new changes.
Subscribed!
Optional. Filters your digest to exactly the updates that matter to you.