Kişisel Verileri Koruma Kurumu (KVKK), Adidas Türkiye’ye yönelik gerçekleşen siber saldırı sonucu yaklaşık 544.395 kişinin kişisel verilerinin sızdırıldığını açıkladı. Kurumun resmi açıklamasına göre, ihlal Adidas’ın global altyapısında meydana geldi ve Türkiye’deki kullanıcıları da doğrudan etkiledi.
Siber Saldırı Nasıl Ortaya Çıktı?
17 Mayıs 2025 tarihinde Adidas Spor Malzemeleri Satış ve Pazarlama A.Ş.’nin KVKK’ya yaptığı bildirimle ortaya çıkan veri ihlali, bir Adidas çalışanının Siber Güvenlik Olaylarına Müdahale Ekibine gelen şüpheli bir e-postayı iletmesiyle tespit edildi. İlgili e-postada, üçüncü bir şahıstan gelen ve müşteri verilerine erişildiğini bildiren bir uyarı yer alıyordu.
KVKK tarafından yapılan incelemede, e-postaya ekli dosyanın büyük ihtimalle Adidas’a ait müşteri bilgilerini içerdiği belirlendi. Dosyada Türkiye’deki kullanıcıların verilerinin de yer aldığı tespit edildi. Saldırının kaynağı ve detaylarıyla ilgili soruşturma devam ediyor.
Hangi Kişisel Veriler Etkilendi?
Kurumun açıklamasına göre, sızdırılan veriler arasında kullanıcıların isimleri, e-posta adresleri, cinsiyet bilgileri, doğum tarihleri ve telefon numaraları bulunuyor. Ancak, her kullanıcının tüm veri türlerinden etkilenmediği, bazı kullanıcıların yalnızca belirli kişisel bilgilerinin sızdırıldığı belirtildi.
KVKK’dan Resmi Karar ve Süreç Hakkında Bilgilendirme
KVKK, 22 Mayıs 2025 tarihli kararıyla söz konusu veri ihlali bildiriminin kendi resmi internet sitesinde yayımlanmasına karar verdi. Kurum, saldırının ardından Adidas tarafından yürütülen teknik analiz ve alınan güvenlik önlemleri hakkında henüz detaylı bilgi paylaşılmadığını bildirdi.
Açıklamada, soruşturmanın devam ettiği ve gelişmelerin kamuoyuyla düzenli olarak paylaşılacağı vurgulandı.
İşte KVKK'nın açıklaması!
"Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz olan Adidas Spor Malzemeleri Satış ve Pazarlama A.Ş. tarafından Kurula iletilen veri ihlali bildiriminde özetle;
-Veri sorumlusunun, Adidas AG (Adidas) grup altyapısıyla ilişkili bir siber güvenlik olayı hakkında bilgilendirilmesiyle 17.05.2025 tarihinde tespit edildiği,-İhlalin Adidas çalışanının üçüncü bir tarafın e-postasını Adidas Siber Güvenlik Olaylarına Müdahale Ekibine iletmesinin ardından ortaya çıktığı,-Bu e-postada üçüncü tarafın, Adidas müşteri verilerine sahip olduğunu iddia ettiği, Adidas tarafından yapılan inceleme sonucunda üçüncü şahıs tarafından paylaşılan dosyanın büyük olasılıkla Adidas müşteri verilerini içerdiğini ve Türk müşterilerinin de etkilendiği Adidas tarafından doğrulandığı,-İhlalin kaynağı ve nasıl gerçekleştiği hakkında soruşturmanın devam ettiği,-İhlalden etkilenen ilgili kişi sayısının 544.395 olduğu,-İhlalden etkilenen kişisel verilerin; isim, e-posta adresi, cinsiyet, doğum tarihi ve telefon numarası olduğu, tüm müşteriler için bütün veri tiplerinin etkilenmediği
bilgilerine yer verilmiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 22.05.2025 tarih ve 2025/930 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sitesinde ilan edilmesine karar verilmiştir.
Kamuoyuna saygıyla duyurulur."
