Ünlü köfte zinciri Köfteci Yusuf’un bilgi sistemlerine siber saldırı gerçekleştirildi. KVKK tarafından yapılan açıklamada, saldırı sonucu 13 bini çalışan, 150 bini müşteri olmak üzere toplam 163 bin kişinin kişisel verilerinin ihlal edildiği duyuruldu. Müşterilerin; ad, soyad, adres ve cep telefonu bilgileri, çalışanların ise kimlik, iletişim ve özlük bilgileri ihlal kapsamında yer aldı. Öte yandan Köfteci Yusuf’tan konuyla ilgili olarak henüz açıklama gelmedi.
Saldırı Ne Zaman ve Nasıl Gerçekleşti ?
KVKK’nın açıklamasına göre veri ihlali 22 Ocak 2026 tarihinde başladı ve 23 Ocak 2026’da tespit edildi. İhlalin, şirketin bordro yazılımı ile online yemek siparişlerinin yönetildiği Yemekpos bilgi sistemlerini barındıran yerel SQL veritabanına dışarıdan yapılan müdahale sonucu gerçekleştiği bildirildi. Müdahale sonrası sistemlerin şifrelenmesi nedeniyle verilere erişim engellendi. Veri ihlalinden sadece müşteriler değil, 13 bin Köfteci Yusuf çalışanı da etkilendi. Çalışanlara ait kimlik ve iletişim bilgileriyle birlikte özlük dosyalarındaki verilerin de sızdırıldığı bildirildi. Bu durum, çalışanların özel yaşamı ve kişisel güvenliği açısından ciddi riskler barındırıyor. Özellikle özlük dosyalarında yer alan sağlık bilgileri, maaş dökümleri veya disiplin kayıtları gibi hassas içerikler üçüncü kişilerin eline geçebiliyor.
Hangi Veriler Çalındı?
KVKK’nın açıklamasına göre, sızıntıdan etkilenen müşteri bilgileri arasında ad-soyad, adres, telefon numarası ve sipariş bilgileri yer alıyor. Bu veriler, kötü niyetli kişilerin eline geçtiğinde hem kişisel gizliliği tehdit edebiliyor hem de dolandırıcılık girişimlerine zemin hazırlayabiliyor. Siber güvenlik uzmanları, bu tür bilgilerin özellikle sahte kampanyalar ya da kimlik avı (phishing) saldırılarında kullanılabileceği konusunda uyarılarda bulunuyor.
KVKK’nın Resmî Açıklaması
Kişisel Verileri Koruma Kurumu (KVKK), resmî internet sitesi üzerinden yayımladığı duyuruda, aralarında Köfteci Yusuf’un da bulunduğu 6 farklı kurumda kişisel veri ihlali yaşandığını kamuoyuna açıkladı. Yapılan açıklamada, söz konusu ihlaller sonucunda çok sayıda vatandaşın kişisel bilgilerinin yetkisiz üçüncü kişilerin erişimine açıldığı belirtildi. KVKK, ihlallerin farklı tarihlerde tespit edildiğini ve kurumlar tarafından yapılan bildirimler doğrultusunda inceleme süreçlerinin başlatıldığını vurguladı.
Paylaşılan bilgilere göre, ele geçirilen veriler arasında vatandaşların ad-soyad, telefon numarası, adres, e-posta bilgileri ile birlikte çeşitli müşteri ve kullanıcı kayıtlarının yer aldığı ifade edildi. Kurum, yaşanan veri ihlallerinin kişisel mahremiyet açısından ciddi riskler taşıdığına dikkat çekerken, ilgili şirketler hakkında idari ve hukuki süreçlerin sürdüğünü, gerekli teknik ve idari tedbirlerin alınıp alınmadığının detaylı şekilde incelendiğini bildirdi. KVKK ayrıca, vatandaşların olası risklere karşı dikkatli olmaları ve şüpheli iletişim girişimlerine karşı tedbirli davranmaları konusunda uyarıda bulundu.
Şirketten Henüz Açıklama Gelmedi
Köfteci Yusuf tarafından henüz kamuoyuna açık bir açıklama yapılmadı. Ancak KVKK’nın bildirimi doğrultusunda şirketin, etkilenen kişileri bilgilendirme ve gerekli teknik-idari önlemleri alma yükümlülüğü bulunuyor. Kurum, olayın ardından hem idari soruşturma sürecini başlattı hem de kamuoyunu konuyla ilgili bilgilendirmeye devam ediyor.
Ayrıca oku : Köfteci Yusuf ve Domuz Eti Gerçeği
Uzman Görüşleri / Siber Güvenlik Uyarıları
Uzmanlar, Köfteci Yusuf’a yönelik bu siber saldırının Türkiye’de büyük ölçekli firmaların hâlâ ciddi siber güvenlik açıklarıyla karşı karşıya olduğunu bir kez daha gözler önüne serdiğini belirtiyor. Özellikle müşteri ve çalışan verilerinin tek bir merkezî sistemde yeterli koruma olmadan tutulmasının, bu tür ihlalleri kaçınılmaz hâle getirdiğine dikkat çekiliyor. Siber güvenlik uzmanlarına göre, sızdırılan kişisel veriler dolandırıcılık, kimlik hırsızlığı ve sosyal mühendislik saldırılarında kullanılabilir; bu da etkilenen kişiler için uzun vadeli riskler anlamına geliyor.
Uzmanlar, veri ihlallerinin sadece teknik bir sorun değil, aynı zamanda kurumsal sorumluluk ve itibar meselesi olduğunu vurgularken, şirketlerin düzenli sızma testleri yapması, güçlü şifreleme sistemleri kullanması ve çalışanlarını siber tehditler konusunda eğitmesi gerektiğinin altını çiziyor. Ayrıca, kullanıcıların da şüpheli mesajlara ve aramalara karşı dikkatli olması, hesap şifrelerini güncellemesi ve kişisel bilgilerini paylaşırken daha temkinli davranması gerektiği uyarısı yapılıyor.