Türkiye’nin önde gelen restoran zincirlerinden Baydöner, siber tehdit dünyasında yankı uyandıran bir veri ihlaliyle gündeme geldi. Yetkisiz kişiler, operasyonel altyapının kapılarını aralayan bir sızıntı iddiasıyla veri tabanına erişim sağladı ve milyonlarca kaydın zarar görmüş olabileceğini öne sürdü. Sızıntının, kullanıcı hesapları, sipariş geçmişleri ve müşteri tercihleri gibi hayati bilgileri içerdiği konuşuluyor.

İddialara göre, ad-soyad, adres, telefon, parola ve doğum tarihi gibi kişisel bilgilerinin yanında yaklaşık 42 bin kimlik numarasının da paylaşım konusu olduğu belirtiliyor. Ayrıca, sipariş ve teslimat detaylarının da bu veri paketinin parçası olduğu iddia edildi. Olay sonrasında KVKK’dan gelen resmi açıklama, konuyu daha da gün yüzüne çıkardı.
KVKK’nın iki ayrı duyurusu Baydöner’in veri ihlali bildirimine göre, ihlalin başlangıcı 15 Şubat 2026 olarak kayıtlara geçti ve 8 Mart 2026’da tespit edildi. Geçmişte, 24-26 Nisan tarihleri arasında da benzer bir sızıntının yaşandığı ve bunun 2 Mart 2026’da tespit edildiği açıklandı. Bu bilgiler, ihlalin şirketin tedarikçi firması tarafından geliştirilen ve barındırılan müşteri hizmetleri ile çağrı merkezi yönetim platformunda gerçekleştiğini gösteriyor. Yetkisiz erişim, sistemde bulunan kişisel verilerin ele geçirildiğini ifade ediyor.
KVKK’dan resmi açıklama açıklama şöyle özetlendi: Veri sorumlusu Baydöner Restoranları A.Ş., 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun ilgili maddesine atıfta bulunarak, veri güvenliği yükümlülüğünün ihlali durumunda durumu derhal ilgilisine ve Kurula bildirdiğini belirtti. Aşağıdaki bulgular kamuoyuyla paylaşıldı: ihlalin 15.02.2026’da başladığı ve 08.03.2026’da tespit edildiği; ihlalin, tedarikçi firması tarafından geliştirilen, yönetilen ve aynı zamanda barındırılan Müşteri Hizmetleri ve Çağrı Merkezi platformundaki verilerle ilgili olduğu; etkilenenlerin ad-soyad, telefon, e-posta, T.C. kimlik numarası, uygulama parolaları ile sipariş/teslimat bilgileri olduğu; sistemdeki kişi sayısının 1.490.789 olduğu, ancak kaç kişinin doğrudan etkilendiğini kesin olarak bilinemediği; ve ilgili kişilere iletişim için [email protected] adresinin kullanıma açık olduğunun duyurulduğu bilgileri paylaşıldı. Ayrıca çağrı merkezi numarasının da iletişim kanalı olarak belirtildiği bildirildi.
Kamuya açık inceleme süreci inceleme sürüyor ve Kişisel Verileri Koruma Kurulu’nun 12.03.2026 tarihli 2026/523 sayılı kararıyla sızıntı bildiriminin Kurumun resmi internet sitesinde yayımlanmasına karar verildiği ifade edildi. Sonuçlar ve etkilenenler için yapılacak bilgilendirme çalışmalarının devam ettiği aktarılıyor.