Siber SaldırılarVeri Sızıntısı
0

Köfteci Yusuf’a Siber Saldırı! 163 Bin Kişinin Verisi Çalındı

Köfteci Yusuf’a Siber Saldırı! 163 Bin Kişinin Verisi Çalındı
Yazı Özetini Göster

Türkiye’nin en bilinen restoran zincirlerinden Köfteci Yusuf, ciddi bir siber saldırıya maruz kaldı. Kişisel Verileri Koruma Kurumu (KVKK) tarafından yapılan açıklamaya göre, 22-23 Ocak 2026 tarihlerinde gerçekleşen saldırı sonucunda 150 bin müşteri ve 13 bin çalışan olmak üzere toplamda 163 bin kişinin kişisel verileri ihlal edildi. Saldırganlar, şirketin bordro yazılımı ve online sipariş sistemi Yemekpos’un bulunduğu SQL veritabanına dışarıdan müdahale ederek hassas verilere erişim sağladılar. Müşterilerin ad, soyad, adres, telefon ve sipariş detayları; çalışanların ise kimlik, iletişim ve özlük bilgileri çalındı. Restoran sektöründe böylesine büyük çaplı bir veri ihlali, siber güvenliğin her sektörde ne kadar kritik olduğunu bir kez daha gösterdi. İşte Köfteci Yusuf veri ihlalinin tüm detayları, teknik analiz ve işletmeler için dersler!

KVKK Raporu: 163 Bin Kişi Etkilendi

Kişisel Verileri Koruma Kurumu, 28 Ocak 2026 tarihinde resmi bir açıklama yaparak Köfteci Yusuf Hazır Yemek Temizlik Canlı Hayvan Et Mamulleri Entegre Gıda İthalat İhracat San. Tic. AŞ’de gerçekleşen veri ihlalini kamuoyuna duyurdu. KVKK’nın veri sorumlusundan aldığı bilgilere göre ihlal, 22 Ocak 2026 Çarşamba günü başladı ve 23 Ocak 2026 Perşembe günü tespit edildi.

İhlal Edilen Veri Kategorileri:

Müşteriler İçin (150.000 kişi):
• Ad – Soyad
• Adres bilgisi
• Cep telefonu numarası
• Yemek siparişi detayları (hangi ürünler, ne zaman, ne kadar sipariş verildi)

Çalışanlar İçin (13.000 kişi):
• Kimlik bilgileri (T.C. kimlik numarası olabilir)
• İletişim bilgileri (adres, telefon)
• Özlük bilgileri (maaş, pozisyon, işe başlama tarihi gibi bordro ve personel verileri)

Toplamda 163.000 kişi bu veri ihlalinden etkilendi. Bu rakam, Türkiye’deki restoran sektöründe son yıllarda görülen en büyük veri ihlallerinden biri olma özelliği taşıyor.

Saldırı Nasıl Gerçekleşti? SQL Veritabanı Hedeflendi

KVKK raporuna göre, saldırganlar Köfteci Yusuf’un iki kritik sisteme saldırdılar:
1. Bordro Yazılımı: Çalışanların maaş, özlük ve kimlik bilgilerinin tutulduğu sistem
2. Yemekpos: Online yemek siparişlerinin yönetildiği sistem

Bu iki sistem, şirketin yerel SQL veritabanında barındırılıyordu. Saldırganlar, “dışarıdan yapılan müdahale” ile bu veritabanına erişim sağladılar. Bu ifade, muhtemelen şu saldırı yöntemlerinden birini işaret ediyor:

Olası Saldırı Senaryoları

1. SQL Injection (SQL Enjeksiyonu):
Saldırganlar, Yemekpos veya bordro yazılımının web arayüzündeki güvenlik açıklarını kullanarak SQL komutları enjekte etmiş olabilirler. Bu, en yaygın veritabanı saldırı yöntemlerinden biridir.

2. Zayıf Erişim Kontrolleri:
SQL veritabanı sunucusuna internetten doğrudan erişim mümkün olabilir ve zayıf şifreler kullanılmış olabilir. Saldırganlar brute-force (kaba kuvvet) veya credential stuffing (kimlik bilgisi doldurma) saldırılarıyla erişim sağlamış olabilir.

3. Yazılım Açığı (Vulnerability):
Yemekpos veya bordro yazılımında bilinen veya bilinmeyen bir güvenlik açığı kullanılmış olabilir. Güncelleme yapılmayan yazılımlar, saldırganlar için kolay hedeflerdir.

4. Sosyal Mühendislik + Ransomware:
Çalışanlara phishing e-postaları gönderilerek sistem erişim bilgileri çalınmış ve ardından veritabanına sızılmış olabilir.

KVKK raporunda “dışarıdan yapılan müdahale” ifadesi, saldırının şirket içi bir kişi tarafından değil, dış kaynaklı siber suçlular tarafından gerçekleştirildiğini gösteriyor.

Yemekpos Nedir? Restoran Yazılımları Neden Hedef?

Yemekpos, restoranların online sipariş, masa yönetimi ve mutfak operasyonlarını dijitalleştirmek için kullandığı bir yazılım platformu. Bu tür sistemler, restoranların dijital dönüşümünde kritik rol oynuyor ama aynı zamanda siber güvenlik riski taşıyor:

Neden Hedef Oluyorlar?
• Büyük miktarda müşteri verisi (ad, telefon, adres)
• Ödeme bilgileri (kredi kartı – bu vakada ihlal edilmemiş görünüyor)
• Operasyonel veri (en çok satılan ürünler, müşteri alışkanlıkları)
• Genellikle güvenlik bütçesi düşük olan KOBİ’ler tarafından kullanılıyor
• Güncelleme ve yama yönetimi ihmal edilebiliyor

Restoran sektörü, siber güvenliğe yatırım konusunda bankacılık veya fintek sektörleri kadar olgun değil. Bu da saldırganlar için cazip hedefler oluşturuyor.

Çalınan Veriler Ne İçin Kullanılabilir?

163 bin kişinin verisi saldırganların eline geçti. Peki bu veriler nasıl kötüye kullanılabilir?

Müşteri Verileri

1. Phishing Saldırıları:
• “Köfteci Yusuf’tan özel indirim” gibi sahte SMS veya e-postalar
• “Siparişinizde sorun var, lütfen bilgilerinizi güncelleyin” dolandırıcılığı
• Telefon numaraları ile WhatsApp üzerinden sahte promosyonlar

2. Kimlik Hırsızlığı:
• Ad, soyad, adres bilgileriyle sahte hesaplar açma
• Telefon numaralarıyla SMS dolandırıcılığı

3. Veri Satışı:
• Dark web’de veritabanı satışı (150K müşteri verisi muhtemelen birkaç bin dolar değerinde)
• Rakip şirketlere veya pazarlama ajanslarına satış

4. Hedefli Saldırılar:
• Sipariş detaylarından gelir seviyesi tahmini yapıp varlıklı müşterileri hedefleme

Çalışan Verileri

13 bin çalışanın kimlik, iletişim ve özlük bilgileri daha hassas:
Kimlik Hırsızlığı: T.C. kimlik numarası ile sahte kredi başvurusu, sim kart çıkarma
Maaş Bilgisi Sızması: Çalışanların özel bilgilerinin açığa çıkması, şirket içi huzursuzluk
Hedefli Sosyal Mühendislik: Çalışanlara özel phishing saldırıları (CEO fraud gibi)

KVKK Ne Yapacak? Şirkete Ceza Gelir Mi?

KVKK, veri ihlalini kamuoyuna duyurdu ve “inceleme başlatıldı” açıklaması yaptı. Peki Köfteci Yusuf’a ne gibi yaptırımlar uygulanabilir?

KVKK Tarafından Uygulanabilecek Yaptırımlar:
İdari Para Cezası: KVKK, teknik ve idari tedbirleri almayan veri sorumlusuna 2 milyon TL’ye kadar (2026 rakamları güncel olmayabilir, ama bu mertebelerde) para cezası verebilir
Veri İşleme Yasağı: Belirli veri işleme faaliyetlerinin durdurulması
Verilerin Silinmesi/Anonimleştirilmesi: İhlal edilen verilerin imha edilmesi
Tazminat Davaları: Mağdur müşteriler ve çalışanlar, maddi/manevi tazminat davası açabilir

KVKK’nın incelemesi, şirketin şu konularda yeterli tedbirleri alıp almadığını değerlendirecek:
• Veritabanı şifreleme
• Erişim kontrolleri (firewall, VPN)
• Düzenli güvenlik testleri (penetrasyon testi)
• Yedekleme ve kurtarma planları
• Çalışan güvenlik eğitimleri
• Olay müdahale planı

Eğer Köfteci Yusuf bu tedbirleri almadıysa veya yetersiz uyguladıysa, ağır cezalarla karşılaşabilir.

Köfteci Yusuf’tan Henüz Açıklama Yok

Veri ihlali KVKK tarafından 28 Ocak’ta duyuruldu ancak Köfteci Yusuf’tan resmi bir açıklama henüz gelmedi. Bu sessizlik, mağdur müşteriler ve çalışanlar açısından endişe verici. Şirketin yapması gerekenler:

1. Kamuoyu Bilgilendirmesi:
• İhlal edilen veri kategorilerini açıklama
• Müşteri ve çalışanlara ne yapmaları gerektiğini bildirme
• Şeffaf iletişim

2. Mağdurlara Destek:
• Ücretsiz kimlik koruma hizmetleri (kredi izleme)
• Phishing girişimlerine karşı uyarı
• Özür ve tazminat seçenekleri

3. Güvenlik Önlemlerini Açıklama:
• Hangi ek güvenlik önlemleri alındı?
• Veritabanı güvenceye alındı mı?
• Bağımsız güvenlik denetimi yapıldı mı?

Müşteriler ve Çalışanlar Ne Yapmalı?

Eğer Köfteci Yusuf müşterisi veya çalışanıysanız:

Hemen Yapılması Gerekenler:
• Telefon numaranızı içeren phishing SMS’lerine dikkat edin
• “Köfteci Yusuf’tan” geldiğini iddia eden şüpheli aramaları cevaplamayın
• Kimlik bilgilerinizle (T.C. no) yapılmış sahte başvuruları kontrol edin (e-Devlet üzerinden)
• Banka hesap hareketlerinizi izleyin
• Şüpheli durumları 157 İhbar Hattı’na bildirin

Çalışanlar İçin Ek Önlemler:
• İnsan kaynakları departmanından resmi bilgilendirme bekleyin
• Özlük dosyanızdaki hangi bilgilerin çalındığını öğrenin
• Gerekirse yasal danışmanlık alın

Restoran Sektörü İçin Dersler: Siber Güvenlik Zorunluluk

Bu vaka, restoran ve hizmet sektöründeki tüm işletmeler için önemli dersler içeriyor:

1. Veritabanı Güvenliği:
• SQL veritabanlarını internete doğrudan açmayın
• VPN ve firewall kullanın
• Güçlü şifreler ve çok faktörlü kimlik doğrulama (MFA)

2. Üçüncü Taraf Yazılım Güvenliği:
• Yemekpos gibi üçüncü taraf yazılımların güvenlik sertifikalarını kontrol edin
• Düzenli güncellemeler yapıldığından emin olun
• SLA (Hizmet Seviyesi Anlaşması) içinde güvenlik şartları olsun

3. Veri Minimizasyonu:
• Gereksiz veri toplamayın
• Eski sipariş kayıtlarını silin veya anonimleştirin
• “Gerektiği kadar veri” prensibi

4. Düzenli Güvenlik Testleri:
• Yılda en az 1 kez penetrasyon testi
• Zafiyet taramaları
• Olay müdahale tatbikatları

5. KVKK Uyumu:
• Veri sorumlusu bilgi sistemi (VERBİS) kaydı
• Aydınlatma metinleri
• Veri işleme envanteri

Sonuç: Hiçbir Sektör Güvende Değil

Köfteci Yusuf veri ihlali, siber tehditlerin sadece finans veya teknoloji şirketlerini değil, restoran gibi geleneksel sektörleri de hedeflediğini gösteriyor. 163 bin kişinin verisi, hem müşteriler hem çalışanlar hem de şirketin itibarı açısından büyük bir kayıp.

Dijitalleşme kaçınılmaz ama güvenlik ihmal edilemez. Her işletme, müşteri ve çalışan verilerini koruma sorumluluğunu ciddiye almalı. KVKK’nın bu vakada alacağı kararlar, sektörün geleceği için emsal oluşturacak.

Köfteci Yusuf’tan yapılacak resmi açıklama ve alınan önlemler merakla bekleniyor. Umarız bu vaka, diğer işletmeler için bir uyarı olur ve benzer ihlaller önlenir.

Sıkça Sorulan Sorular

Veri ihlali 22 Ocak 2026 Çarşamba günü başladı ve 23 Ocak 2026 Perşembe günü tespit edildi. KVKK tarafından 28 Ocak 2026’da kamuoyuna duyuruldu.
Müşteriyseniz: ad, soyad, adres, cep telefonu ve yemek siparişi detayları. Çalışansanız: kimlik bilgileri, iletişim bilgileri ve özlük bilgileri (maaş, pozisyon vb.). Toplam 163 bin kişi etkilendi (150K müşteri, 13K çalışan).
Phishing SMS/aramalarına dikkat edin. Köfteci Yusuf adına gelen şüpheli mesajları açmayın. Kimlik bilgilerinizle sahte başvuru yapılıp yapılmadığını e-Devlet’ten kontrol edin. Telefon numaranızla ilgili garip durumları operatörünüze bildirin.
Büyük olasılıkla evet. 150 bin müşteri verisi, dark web’de birkaç bin dolar değerinde olabilir. Bu veriler phishing kampanyaları, kimlik hırsızlığı veya rakip şirketlere satış için kullanılabilir. Mağdurların dikkatli olması gerekiyor.
KVKK incelemesi devam ediyor. Eğer şirketin teknik ve idari güvenlik önlemlerini almadığı tespit edilirse, 2 milyon TL’ye kadar idari para cezası verilebilir. Ayrıca mağdurlar tazminat davası açabilir.

Etiketler :

kişisel veri güvenliği 2026köfteci yusuf veri ihlalikvkk veri ihlalirestoran siber güvenliksql saldırısı

Bir Yorum Yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Benzer Yazılar