Şikayetvar kabul etti: Veri sızıntısı gerçekleşmiş

GAZETE PENCERE - KVKK, iki ayrı veri ihlali bildirimi yayımladı. Açıklamaya göre Şikayetvar’da 212 binden fazla kullanıcının verisi etkilenirken, Baydöner sistemlerinde ise yaklaşık 1,5 milyon kişinin bulunduğu veri tabanına yetkisiz erişim yaşandı.

Kişisel Verileri Koruma Kurumu (KVKK), iki ayrı veri ihlali bildirimi yayımlayarak Şikayetvar ve Baydöner sistemlerinde yaşanan güvenlik sorunlarına ilişkin kamuoyunu bilgilendirdi.

KVKK’ya iletilen veri ihlali bildirimine göre, veri sorumlusu sıfatını taşıyan Şikayetvar Bilişim AŞ’deki ihlal 24 Nisan 2025 ile 26 Nisan 2025 tarihleri arasında gerçekleşti. Olayın ise 2 Mart 2026 tarihinde tespit edildiği bildirildi.

Açıklamada, veri sorumlusu tarafından müşteriye sağlanan geçerli erişim yetkileri ve API anahtarlarının (www.sikayetplus.com alan adlı web sitesi için) üçüncü kişiler tarafından ele geçirilmesi sonucu kişisel verilere yetkisiz erişim sağlandığı belirtildi.

İhlalden 212 bin 523 kullanıcının etkilendiği ifade edilirken, erişilen kişisel veriler arasında ad, soyadı, T.C. kimlik numarası, telefon numarası ve e-posta adresi bilgilerinin bulunduğu kaydedildi.

ŞİKAYETVAR'DAN AÇIKLAMA

Şikayetvar'dan konuyla ilgili açıklama geldi. Açıklamada veri sızıntısı doğrulandı:

"Son günlerde bazı basın yayın organlarında ve dijital platformlarda yer alan veri ihlali iddialarına ilişkin olarak kamuoyunun doğru ve şeffaf biçimde bilgilendirilmesi amacıyla bu açıklamayı paylaşma gereği doğmuştur.

2 Mart 2026 tarihinde gündeme gelen söz konusu iddialar üzerine yapılan incelemeler sonucunda, olayın Şikayetvar platformunun genel altyapısı, veri tabanı veya güvenlik sistemlerinden kaynaklanan bir siber saldırı olmadığı anlaşılmıştır. Platformumuzda faaliyet gösteren bir kurumsal müşterimize ait kullanıcı adı ve parola bilgilerinin, tamamen Şikayetvar sistemleri dışındaki bir güvenlik zafiyeti sonucunda kötü niyetli kişilerin eline geçtiği tespit edilmiştir. Bu durum, yalnızca ilgili hesap tarafından erişilebilen sınırlı sayıdaki kullanıcı verisinin yetkisiz erişime maruz kalmasına neden olmuştur.

Ayrıca bazı haberlerde Şikayetvar ile Baydöner arasında söz konusu veri sızıntısına ilişkin bir bağlantı bulunduğuna yönelik ifadeler yer almaktadır. Kamuoyunun doğru bilgilendirilmesi adına belirtmek isteriz ki, Şikayetvar’ın Baydöner’e ilişkin olduğu iddia edilen veri sızıntısı ile herhangi bir ilgisi bulunmamaktadır.

Konuya ilişkin detaylı bilgilendirme metnimizi ve sürece dair resmi açıklamamızı ekte bilgilerinize sunarız.

Kamuoyunun doğru bilgilendirilmesi adına, haber ve içeriklerde yer alan ifadelerin yukarıdaki açıklamalar doğrultusunda değerlendirilmesini ve gerekli görülmesi halinde güncellenmesini rica ederiz.

Göstereceğiniz hassasiyet için teşekkür eder, gelişmelere ilişkin kamuoyunu şeffaf biçimde bilgilendirmeye devam edeceğimizi belirtmek isteriz. Saygılarımızla."

BAYDÖNER'DE VERİ İHLALİ

KVKK’nın yayımladığı bir diğer bildirim ise Baydöner Restoranları AŞ’ye ilişkin oldu.

Bildirime göre veri ihlali 15 Şubat 2026 tarihinde başladı ve 8 Mart 2026’da tespit edildi. İhlalin, şirketin tedarikçi firması tarafından geliştirilen ve yönetilen Müşteri Hizmetleri ve Çağrı Merkezi yönetim platformu üzerinden gerçekleştiği ifade edildi.

Yetkisiz kişilerin erişim sağladığı sistemde ad-soyad, telefon numarası, e-posta adresi, T.C. kimlik numarası, uygulama parolaları ile sipariş ve teslimat bilgileri gibi kişisel verilerin bulunduğu aktarıldı.

Sistemde 1 milyon 490 bin 789 kişinin verisinin yer aldığı, ancak ihlalden kaç kişinin etkilendiğinin henüz net olarak bilinmediği bildirildi.