Türkiye, gıda sektörünün dev ismi Köfteci Yusuf cephesinden gelen şok edici bir haberle sarsıldı. Son yıllarda kurumları hedef alan dijital casusluk ve veri hırsızlığı vakalarına bir yenisi daha eklenirken, bu kez fatura oldukça ağır oldu. Kişisel Verileri Koruma Kurulu (KVKK), resmi internet sitesi üzerinden yaptığı kritik duyuru ile ünlü köfte zincirinin bilgi işlem sistemlerine sızıldığını ve devasa bir veri ihlalinin yaşandığını kamuoyu ile paylaştı. Restoran zincirinin veri tabanlarına girmeyi başaran siber saldırganlar, sadece müşterilerin değil, şirketin binlerce çalışanının da hassas bilgilerini ele geçirdi. Olayın duyulmasıyla birlikte markaya olan güven sorgulanırken, verileri çalınan vatandaşlar büyük bir tedirginlik yaşamaya başladı.
Fatura çok ağır: Yüz binlerce kişinin mahremiyeti tehlikede
KVKK tarafından yayınlanan ihlal bildiriminin detayları, siber saldırının boyutunun tahmin edilenden çok daha geniş kapsamlı olduğunu gözler önüne serdi. Yapılan resmi açıklamaya göre, siber korsanların hedefinde sadece müşteri portföyü yoktu. Şirket bünyesinde emek veren 13 bin çalışan ile online veya fiziksel olarak hizmet alan 150 bin müşteri, bu dijital saldırının doğrudan mağduru oldu. Toplamda 163 bin kişiyi etkileyen bu güvenlik zafiyeti, Türkiye’de son dönemde özel sektörde yaşanan en ciddi veri sızıntılarından biri olarak kayıtlara geçti. Saldırganların elde ettiği verilerin çeşitliliği, olası dolandırıcılık ve kimlik hırsızlığı risklerini de beraberinde getiriyor.
Tabaklar değil kimlikler masaya döküldü
Siber saldırının niteliği incelendiğinde, çalınan verilerin sadece basit iletişim bilgilerinden ibaret olmadığı anlaşılıyor. Korsanlar, çalışanların en özel bilgilerini barındıran özlük verileri, kimlik numaraları ve iletişim bilgilerini kopyalamayı başardı. Ancak tehlike müşteriler için de bir o kadar büyük. Müşterilerin ad soyad, adres ve cep telefonu gibi iletişim kanallarının yanı sıra, tüketici alışkanlıklarını ifşa eden yemek sipariş detayı gibi veriler de sızdırılan dosyalar arasında yer alıyor. Bir vatandaşın hangi saatte, hangi adrese, ne sipariş ettiğine kadar varan bu detaylı fişleme, mahremiyet sınırlarını yerle bir eden bir tablo ortaya koyuyor.
Korsanlar yemekpos sistemindeki açıktan sızdı
Saldırının teknik detaylarına inildiğinde ise olayın gerçekleşme tarihleri ve yöntemi dikkat çekiyor. KVKK’nın raporuna göre siber saldırı, 22 Ocak 2026 tarihinde başlayıp 23 Ocak 2026 tarihine kadar devam eden bir süreçte gerçekleşti. Şirketin en kritik dijital varlıklarından biri olan bordro yazılımı ile siparişlerin yönetildiği Yemekpos bilgi sistemleri, saldırıların ana hedefi oldu. Bu sistemleri barındıran yerel SQL veri tabanı üzerinde bir açık bulan veya dışarıdan müdahale yoluyla erişim sağlayan hackerlar, veri havuzunu adeta boşalttı. Uzmanlar, yerel veri tabanlarına dışarıdan erişimin bu denli kolay olmasının ciddi bir güvenlik zafiyeti olduğuna işaret ediyor.
Şirket sessizliğini koruyor gözler gelecek açıklamada
Olayın KVKK tarafından resmen duyurulmasının ve kamuoyunda infial yaratmasının üzerinden saatler geçmesine rağmen Köfteci Yusuf yönetiminden henüz tatmin edici bir açıklama gelmemesi tepkileri artırıyor. Müşteriler, verilerinin güvenliği ve olası riskler konusunda şirketten acil bir bilgilendirme beklerken, markanın sessizliğe bürünmesi kriz yönetiminde soru işaretlerine neden oluyor. Öte yandan KVKK, yaşanan siber saldırı ve veri ihlali ile ilgili başlattığı incelemeyi derinleştirerek sürdürüyor. Önümüzdeki günlerde şirketin bu güvenlik açığı nedeniyle idari para cezasıyla karşı karşıya kalabileceği, mağdur olan vatandaşların ise yasal haklarını aramak için mahkemelerin yolunu tutabileceği belirtiliyor. Gıda güvenliğinden sonra "veri güvenliği"nin de ne denli hayati olduğu, bu acı tecrübeyle bir kez daha anlaşılmış oldu.
