Kişisel Verileri Koruma Kurumu (KVKK), Adidas Türkiye’ye yönelik siber taarruz sonucunda 544.395 kişinin şahsî datalarının sızdırıldığını duyurdu. Kurumun yaptığı açıklamaya nazaran, ihlal Adidas’ın bağlı olduğu küresel altyapıda gerçekleşti ve Türk kullanıcıları da direkt etkiledi.
17 Mayıs 2025 tarihinde Adidas Spor Materyalleri Satış ve Pazarlama A.Ş. tarafından Kuruma yapılan bildirime nazaran, olay bir Adidas çalışanının, üçüncü bir şahıstan gelen ve müşteri datalarına erişildiğini belirten e-postayı Siber Güvenlik Olaylarına Müdahale Takımına iletmesiyle ortaya çıktı.
Yapılan incelemede, e-postaya ekli belgenin büyük olasılıkla Adidas’a ilişkin müşteri bilgilerini içerdiği ve bu datalar ortasında Türkiye’deki kullanıcıların da bulunduğu belirlendi. Hücumun kaynağı ve nasıl gerçekleştiği konusunda soruşturma hala devam ediyor.
Ancak şu ana kadar elde edilen bulgulara nazaran sızdırılan bilgiler ortasında kullanıcıların isimleri, e-posta adresleri, cinsiyet bilgileri, doğum tarihleri ve telefon numaraları yer alıyor. Tüm kullanıcıların her data tipinden etkilenmediği, yani kimi kullanıcıların sadece muhakkak bilgilerinin sızdırıldığı da açıklamada yer aldı.
KVKK, 22 Mayıs 2025 tarihli kararıyla kelam konusu bilgi ihlali bildiriminin resmi internet sitesinde yayımlanmasına karar verdi. Atağın akabinde Adidas tarafından yürütülen teknik tahlil ve güvenlik tedbirleriyle ilgili ayrıntılar şimdi paylaşılmadı. Kurumun açıklamasında sürecin devam ettiği ve gelişmelerin kamuoyuyla paylaşılacağı söz edildi.
KVKK açıklaması şu biçimde:
Bilindiği üzere, 6698 sayılı Ferdî Bilgilerin Korunması Kanununun “Veri güvenliğine ait yükümlülükler” başlıklı 12 nci unsurunun (5) numaralı fıkrası “İşlenen ferdî bilgilerin yasal olmayan yollarla diğerleri tarafından elde edilmesi hâlinde, bilgi sorumlusu bu durumu en kısa müddette ilgilisine ve Heyete bildirir. Heyet, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği diğer bir metotla ilan edebilir.” kararını amirdir.
Veri sorumlusu sıfatını haiz olan Adidas Spor Materyalleri Satış ve Pazarlama A.Ş. tarafından Heyete iletilen bilgi ihlali bildiriminde özetle;
-Veri sorumlusunun, Adidas AG (Adidas) küme altyapısıyla alakalı bir siber güvenlik olayı hakkında bilgilendirilmesiyle 17.05.2025 tarihinde tespit edildiği,
-İhlalin Adidas çalışanının üçüncü bir tarafın e-postasını Adidas Siber Güvenlik Olaylarına Müdahale Grubuna iletmesinin akabinde ortaya çıktığı,
-Bu e-postada üçüncü tarafın, Adidas müşteri datalarına sahip olduğunu tez ettiği, Adidas tarafından yapılan inceleme sonucunda üçüncü şahıs tarafından paylaşılan belgenin büyük olasılıkla Adidas müşteri datalarını içerdiğini ve Türk müşterilerinin de etkilendiği Adidas tarafından doğrulandığı,
-İhlalin kaynağı ve nasıl gerçekleştiği hakkında soruşturmanın devam ettiği,
-İhlalden etkilenen ilgili kişi sayısının 544.395 olduğu,
-İhlalden etkilenen şahsî dataların; isim, e-posta adresi, cinsiyet, doğum tarihi ve telefon numarası olduğu, tüm müşteriler için bütün bilgi tiplerinin etkilenmediği
bilgilerine yer verilmiştir.
Konuya ait inceleme devam etmekle birlikte, Şahsî Bilgileri Müdafaa Heyetinin 22.05.2025 tarih ve 2025/930 sayılı Kararı ile kelam konusu bilgi ihlali bildiriminin Kurumun internet sitesinde ilan edilmesine karar verilmiştir.
Kamuoyuna hürmetle duyurulur.
Kaynak : Shiftdelete
