KVKK açıkladı! Adidas hacklenince hangi verilerimiz çalındı?

Kişisel Verileri Koruma Kurumu (KVKK), Adidas Türkiye’ye yönelik siber saldırı sonucunda 544.395 kişinin kişisel verilerinin sızdırıldığını duyurdu. Kurumun yaptığı açıklamaya göre, ihlal Adidas’ın bağlı olduğu global altyapıda gerçekleşti ve Türk kullanıcıları da doğrudan etkiledi.

17 Mayıs 2025 tarihinde Adidas Spor Malzemeleri Satış ve Pazarlama A.Ş. tarafından Kuruma yapılan bildirime göre, olay bir Adidas çalışanının, üçüncü bir şahıstan gelen ve müşteri verilerine erişildiğini belirten e-postayı Siber Güvenlik Olaylarına Müdahale Ekibine iletmesiyle ortaya çıktı.

Yapılan incelemede, e-postaya ekli dosyanın büyük olasılıkla Adidas’a ait müşteri verilerini içerdiği ve bu veriler arasında Türkiye’deki kullanıcıların da bulunduğu belirlendi. Saldırının kaynağı ve nasıl gerçekleştiği konusunda soruşturma halen devam ediyor.

Ancak şu ana kadar elde edilen bulgulara göre sızdırılan veriler arasında kullanıcıların isimleri, e-posta adresleri, cinsiyet bilgileri, doğum tarihleri ve telefon numaraları yer alıyor. Tüm kullanıcıların her veri türünden etkilenmediği, yani bazı kullanıcıların yalnızca belirli verilerinin sızdırıldığı da açıklamada yer aldı.

KVKK, 22 Mayıs 2025 tarihli kararıyla söz konusu veri ihlali bildiriminin resmi internet sitesinde yayımlanmasına karar verdi. Saldırının ardından Adidas tarafından yürütülen teknik analiz ve güvenlik önlemleriyle ilgili detaylar henüz paylaşılmadı. Kurumun açıklamasında sürecin devam ettiği ve gelişmelerin kamuoyuyla paylaşılacağı ifade edildi.

KVKK açıklaması şu şekilde:

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

Veri sorumlusu sıfatını haiz olan Adidas Spor Malzemeleri Satış ve Pazarlama A.Ş. tarafından Kurula iletilen veri ihlali bildiriminde özetle;

-Veri sorumlusunun, Adidas AG (Adidas) grup altyapısıyla ilişkili bir siber güvenlik olayı hakkında bilgilendirilmesiyle 17.05.2025 tarihinde tespit edildiği,
-İhlalin Adidas çalışanının üçüncü bir tarafın e-postasını Adidas Siber Güvenlik Olaylarına Müdahale Ekibine iletmesinin ardından ortaya çıktığı,
-Bu e-postada üçüncü tarafın, Adidas müşteri verilerine sahip olduğunu iddia ettiği, Adidas tarafından yapılan inceleme sonucunda üçüncü şahıs tarafından paylaşılan dosyanın büyük olasılıkla Adidas müşteri verilerini içerdiğini ve Türk müşterilerinin de etkilendiği Adidas tarafından doğrulandığı,
-İhlalin kaynağı ve nasıl gerçekleştiği hakkında soruşturmanın devam ettiği,
-İhlalden etkilenen ilgili kişi sayısının 544.395 olduğu,
-İhlalden etkilenen kişisel verilerin; isim, e-posta adresi, cinsiyet, doğum tarihi ve telefon numarası olduğu, tüm müşteriler için bütün veri tiplerinin etkilenmediği

bilgilerine yer verilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 22.05.2025 tarih ve 2025/930 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sitesinde ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.