Kişisel Verileri Koruma Kurumu, Türkiye genelinde faaliyet gösteren Köfteci Yusuf’a ait bilgi sistemlerinde yaşanan ciddi bir veri ihlalini kamuoyuna duyurdu. Yapılan açıklamada, şirketin bilgi sistemlerine yönelik siber saldırı sonucunda hem çalışanlara hem de müşterilere ait kişisel verilerin yetkisiz kişilerce ele geçirildiği bildirildi. Olayın ardından toplam 163 bin kişinin verilerinin ihlal kapsamına girdiği açıklandı.

VERİ İHLALİ OCAK AYINDA TESPİT EDİLDİ

KVKK tarafından paylaşılan bilgilere göre veri ihlali 22 Ocak 2026 tarihinde başladı ve 23 Ocak 2026 tarihinde tespit edildi. İncelemelerde, ihlalin şirketin bordro yazılımı ile online yemek siparişlerinin yönetildiği Yemekpos bilgi sistemlerini barındıran yerel SQL veritabanına dışarıdan yapılan müdahale sonucu gerçekleştiği belirlendi. Saldırı sonrası sistemlerin şifrelenmesi nedeniyle şirketin kendi verilerine erişiminin de geçici olarak engellendiği ifade edildi.

Türk Telekom Devir İddialarına Resmî Yalanlama
Türk Telekom Devir İddialarına Resmî Yalanlama
İçeriği Görüntüle

MÜŞTERİ VE ÇALIŞAN VERİLERİ ETKİLENDİ

Veri ihlali kapsamında hem müşterilere hem de çalışanlara ait hassas bilgilerin yer aldığı açıklandı. Müşterilere ait ad ve soyad bilgileri, adresler, cep telefonu numaraları ve yemek sipariş detaylarının ihlal edilen veriler arasında bulunduğu belirtildi. Çalışanlara ait ihlal edilen veriler arasında ise kimlik bilgileri, iletişim bilgileri ve özlük dosyalarına ilişkin kayıtların yer aldığı aktarıldı.

163 BİN KİŞİ VERİ İHLALİNDEN ETKİLENDİ

KVKK’ya iletilen resmi bildirimde, veri ihlalinden 13 bin çalışanın ve yaklaşık 150 bin müşterinin etkilendiği bilgisi paylaşıldı. Toplamda 163 bin kişiye ait kişisel verilerin ihlal edilmesi, olayın boyutunu gözler önüne serdi. Uzmanlar, bu büyüklükteki ihlallerin bireyler açısından dolandırıcılık ve kötüye kullanım risklerini artırabileceğine dikkat çekiyor.

KVKK KARARIYLA KAMUOYUNA AÇIKLANDI

Kişisel Verileri Koruma Kurulu, yaşanan ihlale ilişkin değerlendirmesini sürdürürken, konunun kamuoyuna duyurulmasına karar verdi. Kurulun 27 Ocak 2026 tarihli ve 2026/141 sayılı kararı doğrultusunda, veri ihlaline ilişkin bilgilendirme Kurumun resmi internet sitesinde yayımlandı. İnceleme sürecinin devam ettiği ve elde edilecek bulgular doğrultusunda ek kararların alınabileceği belirtildi.

SİBER GÜVENLİK UYARISI

Yaşanan olay, büyük ölçekli şirketlerin siber güvenlik önlemlerinin önemini bir kez daha gündeme getirdi. Kişisel verilerin korunmasına yönelik teknik ve idari tedbirlerin yetersiz kalmasının, hem şirketler hem de vatandaşlar açısından ciddi sonuçlar doğurabileceği vurgulanıyor. KVKK, benzer ihlallerin önlenmesi için veri sorumlularının güvenlik önlemlerini düzenli olarak gözden geçirmesi gerektiğini hatırlatıyor.