Kişisel Verileri Koruma Kurumu (KVKK), Adidas Türkiye’ye yönelik bir siber saldırı sonucunda 544.395 kişinin kişisel verilerinin sızdırıldığını açıkladı. Yapılan duyuruda, ihlalin Adidas’ın bağlı olduğu global altyapıda meydana geldiği ve Türk kullanıcıların da bu durumdan etkilendiği belirtildi.
Olay, 17 Mayıs 2025 tarihinde Adidas Spor Malzemeleri Satış ve Pazarlama A.Ş. tarafından KVKK’ya yapılan bir bildirimle ortaya çıktı. İlgili bildirim, bir Adidas çalışanının, üçüncü bir şahıstan gelen ve müşteri verilerine erişim sağlandığını bildirir nitelikteki e-postayı, Siber Güvenlik Olaylarına Müdahale Ekibine iletmesi ile gündeme geldi.
İncelemeler sonucunda, söz konusu e-postanın eki olarak sunulan dosyanın büyük ihtimalle Adidas’a ait müşteri verilerini içerdiği ve bu verilerin arasında Türkiye’deki kullanıcıların da bulunduğu tespit edildi. Saldırının kaynağı ve nasıl gerçekleştiği üzerine soruşturma ise hala devam etmekte.
Elde edilen bilgiler, sızdırılan veriler arasında kullanıcıların isimleri, e-posta adresleri, cinsiyet bilgileri, doğum tarihleri ve telefon numaralarının yer aldığını göstermektedir. Ancak tüm kullanıcıların her bir veri türünden etkilenmediği, bunun yerine bazı kullanıcıların yalnızca belirli verilerinin sızdırıldığı açıklandı.
KVKK, 22 Mayıs 2025 tarihinde aldığı bir kararla, bu veri ihlali bildirimini resmi internet sitesinde yayımlama kararı verdi. Saldırının ardından Adidas tarafından gerçekleştirilen teknik analiz ve güvenlik önlemleriyle ilgili detayların ise henüz kamuoyuyla paylaşılmadığı ifade edildi. Kurum, sürecin devam ettiğini ve ilerleyen gelişmeleri duyuracağını belirtti.
KVKK açıklaması şu şekildedir:
6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12. maddesinin (5) numaralı fıkrası, “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildirmesi gerektiğini” ifade etmektedir. Kurul, gerekirse bu durumu kendi internet sitesinde ya da uygun gördüğü diğer yöntemlerle ilan edebilir.
Adidas Spor Malzemeleri Satış ve Pazarlama A.Ş. tarafından Kurul’a iletilen veri ihlali bildiriminde özetle;
-Veri sorumlusunun, Adidas AG (Adidas) grup altyapısıyla ilişkili bir siber güvenlik olayı hakkında 17.05.2025 tarihinde bilgilendirilmesiyle ihlal tespit edilmiştir,
-İhlalin, bir Adidas çalışanının üçüncü bir tarafın e-postasını Siber Güvenlik Olaylarına Müdahale Ekibine iletmesi sonucu ortaya çıktığı,
-Bu e-postada, üçüncü tarafın Adidas müşteri verilerine sahip olduğunu iddia ettiği ve ardından yapılan incelemede, eklenecek dosyanın muhtemelen Adidas’a ait müşteri verilerini içerdiği doğrulanmıştır. Türk müşterilerin de bu durumdan etkilendiği tespit edilmiştir,
-İhlalin kaynağı ve nasıl gerçekleştiği konusundaki soruşturma devam etmektedir,
-544.395 kişinin etkilendiği,
-Sızdırılan verilerin içinde isim, e-posta adresi, cinsiyet, doğum tarihi ve telefon numarasının bulunduğu, tüm kullanıcılar için her veri tipinin etkilenmediği bilgileri mevcut.
Konuya ilişkin incelemeler devam etmekte olup, KVKK’nın 22.05.2025 tarihli ve 2025/930 sayılı kararıyla söz konusu veri ihlali bildiriminin Kurumun internet sitesinde ilân edilmesine karar verildiği kamuoyuna duyurulmuştur.
Kamuoyuna saygıyla duyurulur.
Leave a comment