Kişisel Verileri Koruma Kurumu (KVKK), Türkiye’nin en büyük restoran zincirlerinden biri olan Köfteci Yusuf hakkında önemli bir duyuru yayımladı. Kurumun kamuoyuyla paylaştığı açıklamaya göre, şirket bünyesinde yaşanan kapsamlı bir Köfteci Yusuf veri ihlali sonucunda toplam 163 bin kişinin kişisel verileri etkilendi.
Bu gelişme, hem müşteri güvenliği hem de çalışanların kişisel bilgilerinin korunması açısından ciddi endişelere yol açtı. KVKK, olayla ilgili incelemenin sürdüğünü bildirirken, veri güvenliği konusunun bir kez daha gündeme taşındığını vurguladı.
İHLALDEN 150 BİN MÜŞTERİ VE 13 BİN ÇALIŞAN ETKİLENDİ
KVKK tarafından yapılan bilgilendirmeye göre veri ihlalinden 150 bin müşteri ile birlikte 13 bin çalışan zarar gördü. İhlal kapsamında müşterilere ait birçok hassas bilginin açığa çıktığı aktarıldı.
Etkilenen veriler arasında şu bilgiler yer aldı:
Ad ve soyad
Adres bilgileri
Cep telefonu gibi iletişim verileri
Yemek siparişlerine ilişkin işlem detayları
Çalışanlar açısından ise kimlik bilgileri, iletişim detayları ve özlük dosyalarında bulunan bazı kişisel verilerin de ihlal kapsamına girdiği ifade edildi.
Bu tablo, kişisel veriler sızıntısı riskinin boyutunu ortaya koydu.
SİBER SALDIRI SQL VERİTABANINA DIŞARIDAN MÜDAHALEYLE GERÇEKLEŞTİ
KVKK’nın yayımladığı veri ihlal bildiriminde olayın başlangıç tarihi 22 Ocak 2026, tespit tarihi ise 23 Ocak 2026 olarak açıklandı.
İhlalin, şirketin bordro yazılımı ile online sipariş süreçlerinde kullanılan Yemekpos sistemlerini barındıran yerel SQL veritabanına dışarıdan müdahale edilmesi sonucu gerçekleştiği belirtildi.
Saldırının ardından veritabanının şifrelenerek erişimin engellendiği ve sistem üzerinde ciddi bir güvenlik zafiyeti oluştuğu kaydedildi.
Uzmanlar, bu tür saldırıların yalnızca şirketleri değil, doğrudan vatandaşların kişisel güvenliğini de tehdit ettiğini belirtiyor.
KVKK’DAN KANUNİ HATIRLATMA VE SÜREN İNCELEME
KVKK açıklamasında, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12. maddesine dikkat çekildi. Buna göre, kişisel verilerin hukuka aykırı yollarla ele geçirilmesi durumunda veri sorumlusu şirketin, durumu en kısa sürede hem ilgili kişilere hem de Kurula bildirme yükümlülüğü bulunuyor.
Kurul, konuya ilişkin incelemenin devam ettiğini ve kamuoyunun bilgilendirilmeye sürdürüleceğini duyurdu.
Ayrıca KVKK, 27 Ocak 2026 tarihli ve 2026/141 sayılı kararla veri ihlal bildirisinin kurumun resmi internet sitesinde yayımlanmasına karar verildiğini açıkladı.
VERİ GÜVENLİĞİ TARTIŞMASI YENİDEN GÜNDEMDE
Yaşanan Köfteci Yusuf veri ihlali, Türkiye’de dijital güvenlik ve kişisel verilerin korunması konusundaki hassasiyeti bir kez daha artırdı. Özellikle müşteri bilgilerinin restoran ve sipariş sistemleri üzerinden işlenmesi, şirketlerin siber güvenlik önlemlerini daha da güçlendirmesi gerektiğini ortaya koyuyor.
KVKK açıklaması, “Kamuoyuna saygıyla duyurulur” ifadeleriyle sona erdi.
