KVKK, Baydöner'de veri sızıntısı olduğunu doğruladı: 3.7 milyon kayıt sızdı

HABER MERKEZİ -Türkiye’de yaygın şubeleri bulunan restoran zinciri Baydöner, büyük çaplı bir veri ihlaliyle gündeme geldi. Siber suç forumlarında paylaşılan bilgilere göre şirketin veri tabanı ele geçirilmiş durumda ve yaklaşık 3.7 milyon kayıt içeren bir verinin ele geçirildiği iddia ediliyor.

Sızıntıyı paylaştığını iddia eden saldırgan, verilerin şirketin kullanıcı sistemi ve müşteri ilişkileri yönetimi (CRM) altyapısından elde edildiğini öne sürüyor. İddialara göre veri setinde kayıtlı kullanıcı bilgileri, sipariş geçmişleri ve müşteri tercihleri gibi oldukça geniş kapsamlı bilgiler yer alıyor.

Sızdırılan bilgiler arasında müşterilerin ad, soyad, adres, telefon numarası, parola ve doğum tarihi gibi bilgilerin yanı sıra 42 bin kimlik numarasının olduğu belirtiliyor. Aynı zamanda sipariş ve teslimat detaylarının da sızıntılar arasında olduğu iddia edildi.

İddia edilen veri büyüklüğü hakkında henüz bir doğrulama gelmese de olayın ardından Kişisel Verileri Koruma Kurumu (KVKK), konuya ilişkin bir duyuru yaptı. Sızıntılar ile ilgili iki farklı duyuru yayınlayan KVKK, farklı dönemlerde veri sızıntısının yaşandığını duyurdu.

KVKK’nın yayımladığı duyuruya göre Baydöner tarafından kurula yapılan bildirimde, 15 Şubat 2026 başlayan veri ihlali 8 Mart 2026 tarihinde tespit edilmiş. Ayrıca geçtiğimiz yıl 24 - 26 Nisan tarihleri arasında da veri sızıntısı olduğu ve bu sızıntının da 2 Mart 2026'da tespit edildiği açıklandı.

Açıklamada ihlalin, şirketin tedarikçi firması tarafından geliştirilen ve aynı zamanda barındırılan müşteri hizmetleri ve çağrı merkezi yönetim platformu üzerinden gerçekleştiği ifade edildi. Yetkisiz kişilerin bu sistemdeki verilere erişim sağlaması sonucu kişisel verilerin ele geçirildiği belirtiliyor.



KVKK'DAN RESMİ AÇIKLAMA

KVKK tarafından yapılan açıklama şu şekilde;

''Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Baydöner Restoranları A.Ş. Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12’nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

Veri sorumlusu sıfatını haiz Baydöner Restoranları A.Ş. tarafından Kurula iletilen veri ihlal bildiriminde özetle;

• İhlalin 15.02.2026 tarihinde başladığı, 08.03.2026 tarihinde tespit edildiği,
• İhlalin; veri sorumlusu tedarikçi firması tarafından geliştirilen, yönetilen ve aynı zamanda host edilen Müşteri Hizmetleri ve Çağrı Merkezi yönetimi platformunda yer alan bilgilerin yetkisiz kişiler tarafından ele geçirilmesi sonucu gerçekleştiği,
• İhlal edilen kişisel verilerin; ad-soyad, telefon numarası, e-posta adresi, T.C. kimlik numarası, uygulama parolaları ve sipariş/teslimat bilgileri olduğu, İhlalden etkilenen kişi grubunun kullanıcılar olduğu,
• Sistemde bulunan kişi sayısının 1.490.789 olduğu, kaç kişinin etkilendiğinin bilinmediği,
• İlgili kişilerin, veri ihlali ile ilgili bilgi almak için kvk@apazgroup.com adresinin iletişim adresi olarak kararlaştırıldığı, ilgili kişilere yapılan e-posta bildirimde ve internet sitesi duyurusunda bu adresin bildirildiği, bunun yanında Çağrı Merkezi numarasının da iletişim için kullanıldığı bilgilerine yer verilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 12.03.2026 tarih ve 2026/523 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sitesinde ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.''

Bilgi için teşekkürler.