KVKK duyurdu: Üç kurum ve şirkette veri ihlali yaşandı!

Ülkemiz dahil tüm dünyada siber saldırı olaylarının sayısında bir artış söz konusu. Genellikle kripto para borsaları, teknoloji şirketleri ve yemek sipariş sitelerini hedef alan bilgisayar korsanları bu sefer bir üniversite, bir lüks ürün markası ve ulaşım hizmeti veren bir şirketi hedef aldı.

KVKK, üç kurum ve şirkette veri ihlali yaşandığını duyurdu

Kişisel Verileri Koruma Kurumu (KVKK), geçtiğimiz saatlerde resmi internet sitesinden bir bildiri yayınladı. Yapılan açıklamada İstanbul Gedik Üniversitesi, lüks ürün markası Richemont ve Manisa merkezli ulaşım şirketi Manulaş’ın veri ihlaliyle karşı karşıya olduğu belirtildi.

Platformdan söz konusu şirketler ve kurumlar için yapılan açıklamalar şöyle;

Manulaş Manisa Ulaşım Hizmetleri Makina Sanayi ve Ticaret A.Ş

”Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

Veri sorumlusu sıfatını haiz Manulaş Manisa Ulaşım Hizmetleri Makina Sanayi ve Ticaret A.Ş. tarafından Kurula iletilen veri ihlali bildiriminde özetle;

• Veri sorumlusu sistemlerine gerçekleştirilen siber saldırı (fidye yazılımı saldırısı) neticesinde ihlalin meydana geldiği,
• İhlalin 25.05.2025 tarihinde gerçekleştiği ve aynı gün tespit edildiği,
• Siber saldırı neticesinde verilerin dışarıya aktarılıp aktarılmadığının henüz tespit edilemediği,
• İhlalden etkilenen ilgili kişi gruplarının; aboneler/üyeler olduğu,
• Veri ihlalinden etkilenen kişi/kayıt sayısının 1.268.222 olduğu ancak sistem içerisinde çok sayıda mükerrer kayıt bulunması sebebiyle ihlalden etkilenen gerçek kişi sayısının muhtemelen çok daha az olduğu,
• İhlalden etkilenen kişisel verilerin; ad, soyadı, T.C. kimlik numarası, doğum tarihi, cinsiyet, telefon numarası, e-posta adresi, açık adres, meslek bilgisi (öğretmen/ polis/öğrenci vb.), plaka no, fotoğraf ve sağlık bilgileri (engellilik bilgisi, engellilik oranı) olduğu,
• İlgili kişilerin; veri sorumlusunun web sitesi (https://manulas.com.tr/), telefon numarası (0 236 232 19 00) veya e-posta adresi (info@manulas.com.tr) aracılığıyla ihlal hakkında bilgi alabilecekleri

bilgilerine yer verilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 03.06.2025 tarih ve 2025/999 sayılı Kararı ile söz konusu veri ihlal bildiriminin Kurumun internet sitesinde ilan edilmesine karar verilmiştir.”

Richemont İstanbul Lüks Eşya Dağıtım Anonim Şirketi

”Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

Veri sorumlusu sıfatını haiz Richemont İstanbul Lüks Eşya Dağıtım Anonim Şirketi tarafından Kurula iletilen veri ihlali bildiriminde özetle;

• İhlalin 17.01.2025-18.01.2025 tarihleri arasında gerçekleştiği ve 30.05.2025 tarihinde tespit edildiği,
• Veri sorumlusunun da dahil olduğu Richemont Group bünyesinde görev yapan bir çalışanın hesabının yetkisiz kişi/kişilerce elde edilmesi ve bu hesap kullanılarak veri sorumlusunun müşterilerine ait kişisel verilerin ele geçirilmesi neticesinde ihlalin gerçekleştiği,
• İhlalden etkilenen ilgili kişi grubunun müşteriler/potansiyel müşteriler olduğu,
• İhlalden etkilenen ilgili kişi sayısının 25.737 olduğu,
• İhlalden etkilenen kişisel verilerin; isim, e-posta adresi, ülke bilgisi, müşteri kimliği ve doğum tarihi olduğu

bilgilerine yer verilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 03.06.2025 tarih ve 2025/1006 sayılı Kararı ile söz konusu veri ihlal bildiriminin Kurumun internet sitesinde ilan edilmesine karar verilmiştir.”

İstanbul Gedik Üniversitesi

”Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

Veri sorumlusu sıfatını haiz İstanbul Gedik Üniversitesi tarafından Kurula iletilen veri ihlali bildiriminde özetle;

• İhlalin, veri sorumlusu adına veri işleyen şirketin sistemlerine yetkisiz erişim gerçekleştirilmesi neticesinde gerçekleştiği,
• İhlalin 13.05.2025-14.05.2025 tarihleri arasında gerçekleştiği ve 14.05.2025 tarihinde tespit edildiği,
• İhlalden etkilenen ilgili kişi gruplarının; çalışanlar, kullanıcılar ve öğrenciler olduğu,
• İhlalden etkilenen ilgili kişi sayısının 23.269, kayıt sayısının ise 209.421 olduğu,
• İhlalden etkilenen kişisel verilerin; ad, soyadı, kullanıcı adı, maskelenmiş ve yalnızca son dört hanesi görünür biçimde T.C. kimlik numarası, e-posta adresi, kurum-departman bilgileri ve kullanıcının trafik verileri olduğu

bilgilerine yer verilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 03.06.2025 tarih ve 2025/997 sayılı Kararı ile söz konusu veri ihlal bildiriminin Kurumun internet sitesinde ilan edilmesine karar verilmiştir.”