Kişisel Verileri Koruma Kurumu (KVKK), Türkiye'de yüzlerce şubesi bulunan çocuk giyim markası Civil Mağazacılık'ta 'büyük bir veri sızıntısı' yaşandığını duyurdu. Yaklaşık 4.5 milyon kişinin kimlik ve iletişim bilgilerinin ele geçirildiği tahmin edilirken incelemeler devam ediyor.
Veri sızıntısı 16 gün sonra fark edildi
Siber saldırının detaylarıyla ilgili yapılan açıklamada siber saldırının şirketin Müşteri İlişkileri Yönetimi (CRM) sistemine sızılmasıyla gerçekleşti. KVKK'dan yapılan açıklamaya göre ihlal 16 gün sonra fark edildi.
Hangi bilgiler ele geçirildi
Açıklamada veri ihlalinden etkilenen kişisel verilerin isim, soy isim, TC kimlik numaraları ve iletişim bilgileri olduğu vurgulandı.
Veritabanı içerikleri sistem dışına çıkarıldı
KVKK tarafından yapılan açıklama ise şu bilgilere yer verildi:
Veri sorumlusu sıfatını haiz Civil Mağazacılık AŞ tarafından Kurula iletilen veri ihlal bildiriminde özetle;
Siber saldırganlarca veri sorumlusu CRM sisteminin çalıştığı 1 adet Windows Server üzerinde bulunan veritabanlarına, yönetici (Administrator) ve veritabanı seviyesinde bir hesap kullanılarak erişim sağlandığı ve ilgili veritabanı içeriklerinin sistem dışına aktarıldığı,
İhlalin 12.02.2026 tarihinde başladığı ve 28.02.2026 tarihinde tespit edildiği,
Veri ihlalinden etkilenen kişisel verilerin; kimlik (ad, soyad, T.C. kimlik no), iletişim (telefon, e-posta, adres) bilgileri olduğu,
Veri ihlalinden etkilenen kişi sayısının tahmini 4.500.000 kişi olabileceği,
İhlalden etkilenen ilgili kişi grubunun; çalışanlar ve müşteriler olduğu,
İlgili kişilerin, veri sorumlusuna ait “civilkvkk@civil.com.tr” adresi aracılığıyla veri ihlali hakkında bilgi alabileceği bilgilerine yer verilmiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 04.03.2026 tarih ve 2026/454 sayılı Kararı ile söz konusu veri ihlal bildiriminin Kurumun internet sitesinde ilan edilmesine karar verilmiştir."