KVKK’dan 'Vodafone Net' için veri ihlali duyurusu: 320 bin kişi etkilenmiş olabilir

Vodafone Net’e ait bazı abonelere ve saha hizmetlerinde görev alan çalışanlara ilişkin kişisel verilerin Dark Web’de satışa sunulduğu iddiası üzerine, Kişisel Verileri Koruma Kurumu (KVKK) resmi internet sitesinden veri ihlali duyurusu yayımladı. Kurumun açıklamasına göre ihlal 10 Ocak 2026’da başladı, 26 Ocak 2026’da tespit edildi. İhlalden etkilenen kişi sayısının en fazla 321 bin 504 olabileceği belirtilirken, soruşturma sürecinin devam ettiği bildirildi.

Bildirimde, Vodafone Net’in elektronik haberleşme hizmetlerine bağlı kurulum, nakil, arıza, evrak toplama ve aktivasyon süreçlerinde, bölgesel hizmet tedarikçisi olarak görev yapan yapı kapsamında hizmet sunduğu belirtildi. Bu kapsamda; Vodafone Net aboneleri, veri işleyen çalışanlar ve saha operasyonları için hizmet alınan tedarikçi çalışanlarına ait verilerin etkilenmiş olabileceği ifade edildi.

Dark Web iddiası

Açıklamada, söz konusu kişi gruplarına ait verilerin Dark Web üzerinden satışa sunulduğuna dair istihbarat alındığı bilgisine yer verildi. Bu kapsamda, ilgili kayıtların bulunabileceği sistemler üzerinde detaylı bir soruşturma süreci başlatıldığı belirtildi. Yapılan incelemeler sonucunda, kişisel verilerin veri işleyenin sisteminden elde edilmiş olabileceği yönünde bir kanaate varıldığı aktarıldı. Bu tespitlerin, devam eden inceleme sürecine dayalı olduğu vurgulandı.

İhlalden etkilenen kişi sayısının tam olarak belirlenemediği, tespit çalışmalarının sürdüğü bildirildi.
Etkilenen kişi sayısının daha az olduğu değerlendirilmekle birlikte, en fazla 321.504 kişi olabileceği ifade edildi.

Etkilenmiş olabilecek kişisel veri kategorileri ise şöyle sıralandı:

• Kimlik bilgileri,
• İletişim bilgileri,
• Müşteri işlem bilgileri,
• Diğer (temin edilen ürün ve hizmet kapsamında cihaz bilgileri).

Açıklamada, özel nitelikli kişisel veriler, T.C. kimlik numarası, finansal veriler veya benzeri hassas nitelikte kişisel verilerin ihlal kapsamında yer almadığı özellikle belirtildi.

İhlalden etkilenmiş olabilecek kişilerin, veriguvenligi@vodafone.com e-posta adresi üzerinden bilgi alabilecekleri belirtildi. Aynı zamanda çağrı merkezi kanalıyla da taleplerini iletebilecekleri bildirildi.

Veri sorumlusu sıfatını haiz Vodafone Net İletişim Hizmetleri A.Ş tarafından Kurula iletilen veri ihlal bildiriminde özetle; İhlalin 10.01.2026 tarihinde başladığı ve 26.01.2026 tarihinde tespit edildiği, Veri sorumlusunun elektronik haberleşme hizmetlerine bağlı kurulum, nakil, arıza, evrak toplama ve aktivasyon süreçlerinin bölgesel hizmet tedarikçisi olarak söz konusu yetki bölgesinde yerleşik Vodafone ev interneti abonelerine sunulması kapsamında hizmet tedarik ettiği, VodafoneNet aboneleri, veri işleyen çalışanları ve veri işleyenin saha operasyonları adına hizmet aldığı tedarikçi çalışanı verilerinin DarkWeb üzerinden satışa sunulduğunun istihbar olunduğu, İstihbar olunan ilgili kayıtların yer alabileceği sistemler üzerinde detaylı bir soruşturma süreci başlatıldığı; yapılan incelemeler sonucunda, olaya konu kişisel verilerin, veri işleyenin sisteminden elde edilmiş olabileceği kanısına varıldığı, İhlalden etkilenen ilgili kişi sayısının tam olarak bilinemediği ve tespit etme çalışmalarının devam ettiği; ihlalden etkilenen ilgili kişi sayısının çok daha az olduğu düşünülmekle birlikte en fazla 321.504 olabileceği, İhlalden etkilenmiş olabilecek kişisel veri kategorilerinin; kimlik, iletişim, müşteri işlem ve diğer (temin edilen ürün-hizmet kapsamında cihaz bilgileri) olduğu, bunların içerisinde herhangi bir özel nitelikli kişisel veri veya T.C. kimlik numarası, finansal veriler ve benzeri hassas nitelikte kişisel veri bulunmadığı, İlgili kişilerin veriguvenligi@vodafone.com adresi üzerinden veri ihlali ile ilgili bilgi almalarının sağlanacağı; aynı zamanda çağrı merkezi kanalından da taleplerini iletebilecekleri bilgilerine yer verilmiştir.

KVKK duyurdu: Köfteci Yusuf'ta 163 bin kişinin verileri sızdırıldıŞirket Haberleri