Mango İspanya’ya saldırdılar 4 milyondan fazla Türkiye Vatandaşı’nın verileri açığa çıktı
Tekstil perakendecisi Mango'ya yapılan siber saldırıda 4 milyon 349 bin 620 Türkiye vatandaşının kişisel bilgileri açığa çıktı.
İspanya merkezli tekstil perakendecisi Mango’ya yapılan siber saldırıda müşterilerin bilgileri açığa çıktı. Mango, İspanyol Veri Koruma Kurumu’na yaptığı açıklamada veri ihlalinin, pazarlama kampanyalarını yürüten bir şirketteki güvenlik açığından kaynaklandığını, açığa çıkan müşteri verilerinin ise sadece pazarlama kampanyalarında yer alan iletişim bilgileri olduğunu açıkladı.
Kişisel Verilerin Korunması Kanunu kapsamında, Türkiye’de de faaliyette bulunan şirket Kişisel Verilerin Korunması Kurulu’na bir bilgilendirme yaparak İspanya’da gerçekleştirilen saldırın 10 Ekim’de tespit edildiğini açıkladı.
Türkiye’de 4.4 milyon müşteri etkilendi
Mango T.R. Tekstil Tic. Ltd. Şti. tarafından Kişisel Verileri Koruma Kurulu’na iletilen veri ihlal bildiriminde özetle;
- İhlalin 06.10.2025-10.10.2025 tarihleri arasında gerçekleştiği, 10.10.2025 tarihinde tespit edildiği,
- İhlalin, veri sorumlusunun kullandığı dijital pazarlama e-posta sistemi platformunun API’sine erişim için kullanılan bir yönetici kimlik bilgisinin sızdırılması sonucu, müşteri verilerine yetkisiz erişim sağlanmasıyla gerçekleştiği,
- Siber saldırının Mango’nun İspanya merkezine gerçekleştirildiği ve Türk vatandaşları da dahil olmak üzere global olarak tüm müşterilerin kişisel verilerine yetkisiz olarak erişilmiş olduğu,
- İhlalden müşterilere ait ad (soyad verisi için ihlal olmadığı), ülke, posta kodu, telefon numarası ve e-posta adresi bilgilerinin etkilendiği,
- İhlalden, Mango Türkiye için 4.349.620 ilgili kişinin etkilendiği,
- İlgili kişilerin veri ihlali ile ilgili olarak
- İlgili kişilerin veri ihlali ile ilgili olarak e-posta, çağrı merkezi ve sohbet robotu iletişim araçlarıyla bilgi alabilecekleri
bilgilerine yer verildi.
Türk müşterilerin verisi İspanya’da ne arıyor?
24 Mart 2016’da yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması kanunu çerçevesinde, kişisel verilerin yurtdışına çıkarılmasına ilişkin katı kurallar bulunuyor.
2 Mart 2024 tarihinde bu kanunda yapılan düzenleme ile yurtdışına veri aktarımına ilişkin yeni düzenlemeler yapıldı ve KVKK, 10 Mart Çarşamba günü bununla ilgili bir yönetmelik yayımladı.
Yönetmelikte, kişisel verilerimizin yurtdışına aktarılması ve orada işlenmesine ilişkin katı kurallar bulunuyor. Mango, verilerimizi yurtdışına bu kurallara ve düzenlemelere göre mi taşıdı? Yoksa bu düzenlemelere aykırı olarak mı taşıdı bu konu öncelikli tartışılması gereken konu.
İspanya ve Türkiye’de ceza alacaklar
Türkiye’de KVKK isimli bir kuruluş olduğu gibi İspanya’da da Veri Koruma Kurumu bulunuyor. Mango, İspanyol Veri Koruma Ajansına, mevcut mevzuat gereği bilgilendirmesini yaparken Türkiye’de de bilgilendirmesini yaptı.
Her iki ülkenin kanunlarına göre, veri sızıntısına yol açan kurumlar belirli cezalara çarptırılıyor.
Türkiye’de de faaliyette bulunan bir kurumun, yurtdışı merkezinde, Türkiye’deki müşterilerine ilişkin verilerini sızdırması verilen cezaların karşılaştırılması açısından da bize birebir örnek teşkil edecek.
Hem İspanyol Veri Koruma Kurumu, hem de Kişisel Verileri Koruma Kurumu’nun bu konuda Mango’ya vereceği cezalar, Türkiye’de bu alandaki cezaların durumunu da net bir şekilde ortaya koyacak.
