Kişisel Verileri Koruma Kurumu (KVKK), Adidas Türkiye’ye yönelik siber akın sonucunda 544.395 kişinin şahsî datalarının sızdırıldığını duyurdu. Kurumun yaptığı açıklamaya nazaran, ihlal Adidas’ın bağlı olduğu küresel altyapıda gerçekleşti ve Türk kullanıcıları da direkt etkiledi.
17 Mayıs 2025 tarihinde Adidas Spor Gereçleri Satış ve Pazarlama A.Ş. tarafından Kuruma yapılan bildirime nazaran, olay bir Adidas çalışanının, üçüncü bir şahıstan gelen ve müşteri bilgilerine erişildiğini belirten e-postayı Siber Güvenlik Olaylarına Müdahale Takımına iletmesiyle ortaya çıktı.
Yapılan incelemede, e-postaya ekli evrakın büyük olasılıkla Adidas’a ilişkin müşteri datalarını içerdiği ve bu datalar ortasında Türkiye’deki kullanıcıların da bulunduğu belirlendi. Atağın kaynağı ve nasıl gerçekleştiği konusunda soruşturma hala devam ediyor.
Ancak şu ana kadar elde edilen bulgulara nazaran sızdırılan bilgiler ortasında kullanıcıların isimleri, e-posta adresleri, cinsiyet bilgileri, doğum tarihleri ve telefon numaraları yer alıyor. Tüm kullanıcıların her data cinsinden etkilenmediği, yani birtakım kullanıcıların sırf makul bilgilerinin sızdırıldığı da açıklamada yer aldı.
KVKK, 22 Mayıs 2025 tarihli kararıyla kelam konusu data ihlali bildiriminin resmi internet sitesinde yayımlanmasına karar verdi. Atağın akabinde Adidas tarafından yürütülen teknik tahlil ve güvenlik tedbirleriyle ilgili ayrıntılar şimdi paylaşılmadı. Kurumun açıklamasında sürecin devam ettiği ve gelişmelerin kamuoyuyla paylaşılacağı söz edildi.
KVKK açıklaması şu formda:
Bilindiği üzere, 6698 sayılı Ferdî Bilgilerin Korunması Kanununun “Veri güvenliğine ait yükümlülükler” başlıklı 12 nci hususunun (5) numaralı fıkrası “İşlenen şahsî dataların yasal olmayan yollarla diğerleri tarafından elde edilmesi hâlinde, data sorumlusu bu durumu en kısa müddette ilgilisine ve Şuraya bildirir. Şura, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği öbür bir prosedürle ilan edebilir.” kararını amirdir.
Veri sorumlusu sıfatını haiz olan Adidas Spor Gereçleri Satış ve Pazarlama A.Ş. tarafından Şuraya iletilen bilgi ihlali bildiriminde özetle;
-Veri sorumlusunun, Adidas AG (Adidas) küme altyapısıyla bağlantılı bir siber güvenlik olayı hakkında bilgilendirilmesiyle 17.05.2025 tarihinde tespit edildiği,
-İhlalin Adidas çalışanının üçüncü bir tarafın e-postasını Adidas Siber Güvenlik Olaylarına Müdahale Grubuna iletmesinin akabinde ortaya çıktığı,
-Bu e-postada üçüncü tarafın, Adidas müşteri bilgilerine sahip olduğunu argüman ettiği, Adidas tarafından yapılan inceleme sonucunda üçüncü şahıs tarafından paylaşılan evrakın büyük olasılıkla Adidas müşteri datalarını içerdiğini ve Türk müşterilerinin de etkilendiği Adidas tarafından doğrulandığı,
-İhlalin kaynağı ve nasıl gerçekleştiği hakkında soruşturmanın devam ettiği,
-İhlalden etkilenen ilgili kişi sayısının 544.395 olduğu,
-İhlalden etkilenen şahsî bilgilerin; isim, e-posta adresi, cinsiyet, doğum tarihi ve telefon numarası olduğu, tüm müşteriler için bütün data tiplerinin etkilenmediği
bilgilerine yer verilmiştir.
Konuya ait inceleme devam etmekle birlikte, Şahsî Bilgileri Muhafaza Konseyinin 22.05.2025 tarih ve 2025/930 sayılı Kararı ile kelam konusu data ihlali bildiriminin Kurumun internet sitesinde ilan edilmesine karar verilmiştir.
Kamuoyuna hürmetle duyurulur.
