Kişisel Verileri Koruma Kurumu, iki ayrı veri ihlali bildirimi yayımlayarak dijital platformlarda yaşanan güvenlik sorunlarına ilişkin kamuoyunu bilgilendirdi. Kurumun açıklamasına göre Şikayetvar sistemlerinde 212 binden fazla kullanıcının verisi etkilenirken, Baydöner Restoranları AŞ veri tabanında yaklaşık 1,5 milyon kişinin bulunduğu sistemde yetkisiz erişim tespit edildi.
Yapılan açıklamada, iki olayın da farklı tarihlerde gerçekleştiği ve ihlallerin kurum tarafından yapılan bildirimler doğrultusunda kamuoyuna duyurulduğu belirtildi.
Şikayetvar sistemlerinde 212 binden fazla kullanıcı etkilendi
KVKK’ya iletilen bildirimde, veri sorumlusu sıfatını taşıyan Şikayetvar Bilişim AŞ sistemlerindeki ihlalin 24 Nisan 2025 ile 26 Nisan 2025 tarihleri arasında gerçekleştiği bildirildi. Olayın ise 2 Mart 2026 tarihinde tespit edildiği açıklandı.
Açıklamada, müşteriye verilen geçerli erişim yetkileri ve API anahtarlarının üçüncü kişiler tarafından ele geçirilmesi sonucunda kişisel verilere yetkisiz erişim sağlandığı ifade edildi. İhlalden 212 bin 523 kullanıcının etkilendiği belirtilirken, erişilen veriler arasında ad, soyadı, T.C. kimlik numarası, telefon numarası ve e-posta adresi bilgilerinin bulunduğu kaydedildi.
Baydöner sistemlerinde geniş kapsamlı veri erişimi
KVKK tarafından yayımlanan ikinci veri ihlali bildirimi Baydöner Restoranları AŞ’ye ilişkin oldu. Bildirime göre ihlal 15 Şubat 2026 tarihinde başladı ve 8 Mart 2026 tarihinde tespit edildi.
Yetkisiz erişimin, şirketin tedarikçi firması tarafından geliştirilen ve yönetilen Müşteri Hizmetleri ve Çağrı Merkezi yönetim platformu üzerinden gerçekleştiği belirtildi. Söz konusu sistemde ad-soyad, telefon numarası, e-posta adresi, T.C. kimlik numarası, uygulama parolaları ile sipariş ve teslimat bilgileri gibi kişisel verilerin yer aldığı aktarıldı.
Yaklaşık 1,5 milyon kişinin verisinin bulunduğu sistem inceleniyor
KVKK açıklamasında, ihlalin yaşandığı sistemde toplam 1 milyon 490 bin 789 kişinin verisinin bulunduğu ifade edildi. Ancak veri ihlalinden kaç kişinin doğrudan etkilendiğinin henüz net olarak belirlenemediği bildirildi.
Kurum, olaylara ilişkin inceleme ve değerlendirme süreçlerinin sürdüğünü belirtirken, veri sorumlularının gerekli teknik ve idari tedbirleri almaları gerektiğini hatırlattı. Ayrıca kişisel verilerin korunmasına yönelik yükümlülüklerin yerine getirilmesinin önemine dikkat çekildi.
