Louis Vuitton’un Türkiye’deki veri tabanına siber saldırı: 143 bin kişinin bilgileri çalındı
Lüks moda markası Louis Vuitton’un Türkiye’de faaliyet gösteren şirketi Louis Vuitton Çantacılık Ticaret AŞ’ye yönelik büyük bir veri ihlali gerçekleşti. Kişisel Verileri Koruma Kurumu (KVKK), şirketin veri tabanına yetkisiz erişim sağlandığını ve yaklaşık 143 bin kişinin kişisel bilgilerinin ele geçirildiğini açıkladı.
KVKK tarafından kamuoyuna duyurulan bilgilere göre, veri ihlali 7 Haziran 2025 tarihinde başladı ve ancak 2 Temmuz 2025’te tespit edilebildi. Şirket tarafından yapılan bildirimde, ihlalin üçüncü taraf bir hizmet sağlayıcının yöneticisine ait servis hesabının ele geçirilmesiyle gerçekleştiği belirtildi. Bu hesap üzerinden Louis Vuitton’a ait müşteri verilerinin bulunduğu veri tabanına erişim sağlandı.
Sızan veriler kimlik ve iletişim bilgileriyle sınırlı
Yapılan açıklamada, veri ihlalinden etkilenen kişilerin mevcut veya potansiyel müşteriler olduğu belirtildi. İhlal kapsamında ele geçirilen verilerin yalnızca kimlik ve iletişim bilgileriyle sınırlı olduğu bildirildi.
Kurumun teknik incelemeleri sürerken, ihlalden Türkiye'de yerleşik 142.995 kişinin etkilendiği netleşti. KVKK, 10 Temmuz 2025 tarihli kararıyla veri ihlalinin kamuoyuna duyurulmasına karar verdi. Açıklama, Kurumun resmi internet sitesinde yayımlandı.
KVKK’dan uyarı: Gecikmeden bildirilmek zorunda
KVKK, veri güvenliği konusunda yükümlülükleri hatırlatarak, 6698 sayılı kişisel verilerin korunması Kanunu’nun 12. maddesine göre veri sorumlularının kişisel verilerin yasa dışı yollarla ele geçirilmesi durumunda, bu durumu en kısa sürede hem ilgili kişilere hem de Kurula bildirmekle yükümlü olduğunu vurguladı.
Siber saldırıların artış gösterdiği bu dönemde, vatandaşların kişisel verilerini koruma konusunda daha dikkatli olması gerektiği ifade edilirken, kurumlar da teknik ve idari tedbirleri artırmaları yönünde uyarıldı.
KVKK'nın internet sitesinde yer alan bildirimde şu ifadelere yer verildi:
Kamoyu Duyurusu (Veri İhlali Bildirimi) – Louis Vuitton Çantacılık Ticaret Anonim ŞirketiBilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.Veri sorumlusu sıfatını haiz Louis Vuitton Çantacılık Ticaret Anonim Şirketi tarafından Kurula iletilen veri ihlal bildiriminde özetle;İhlalin 7 Haziran 2025 tarihinde başladığı ve 2 Temmuz 2025 tarihinde tespit edildiği,Müşterilere ait kişisel verileri içeren veritabanına yetkisiz erişim sağlanması ile ihlalin gerçekleştiği; üçüncü taraf bir hizmet sağlayıcının yöneticisi tarafından kullanılan bir servis hesabının ele geçirildiğinin belirlendiği, İhlalden etkilenen ilgili kişi grubunun müşteri/potansiyel müşteriler olduğu, İhlalden etkilenen kişisel veri kategorilerinin kimlik ve iletişim verileri olduğu, incelemelerin devam ettiği, İhlalden Türkiye’de yerleşik 142.995 kişinin etkilendiği bilgilerine yer verilmiştir.Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 10.07.2025 tarih ve 2025/1246 sayılı Kararı ile söz konusu veri ihlal bildiriminin Kurumun internet sitesinde ilan edilmesine karar verilmiştir.Kamuoyuna saygıyla duyurulur.
