iFood, 1,2 milyon kullanıcısının kişisel verilerinin sızdığı bir güvenlik ihlalini resmen kabul etti. Olay, Aralık 2025'te meydana geldi ve şirket tarafından hızlıca kontrol altına alındığı belirtildi. iFood, bu ihlalin toplam müşteri tabanının yalnızca yüzde 2'sini etkilediğini açıkladı. Resmi duyuru ise 3 Haziran 2026 Çarşamba günü yapıldı. Şirket, olayı izole bir vaka olarak nitelendirdi ve güvenlik protokollerinin devreye girdiğini vurguladı.
Olayın Detayları ve Kapsamı
Şirket yetkilileri, sızan bilgiler arasında kullanıcıların tam adları ve Brezilya'ya özgü bireysel vergi numarası olan CPF'lerin bulunduğunu doğruladı. Ancak iFood, hesap erişim bilgileri (şifreler gibi), ödeme yöntemleri, finansal kayıtlar veya banka bilgilerinin bu ihlalden etkilenmediğini garanti etti. Ayrıca platform üzerinde gerçekleştirilen işlemlerin herhangi bir şekilde yetkisiz erişime maruz kalmadığı ifade edildi. Bu açıklamalar, şirketin veri güvenliği konusunda net bir çerçeve çizmesini sağladı.
Sızan Veri Türleri ve Güvence Altındakiler
iFood, sızan verilerin yalnızca ad ve CPF ile sınırlı olduğunu, kritik finansal bilgilerin korunduğunu öne sürdü. Buna rağmen, CPF gibi hassas bir kimlik numarasının ele geçirilmesi, dolandırıcılık amacıyla kullanılma potansiyelini barındırıyor. Uzmanlar, bu tür verilerin sosyal mühendislik saldırılarına zemin hazırlayabileceği konusunda uyarıda bulundu. Şirket, mevcut durumda herhangi bir dolandırıcılık vakasının tespit edilmediğini belirtti.
Şirketin Yanıtı ve Yasal Çerçeve
iFood, ihlali Genel Veri Koruma Yasası (LGPD) uyarınca ele aldığını ve ilgili mevzuata tam uyum sağladığını açıkladı. Kararında, Ulusal Veri Koruma Otoritesi (ANPD) tarafından belirlenen kriterleri referans aldığını ifade etti. Şirket, olayın kullanıcılar için önemli bir risk veya zarar oluşturmadığı değerlendirmesiyle, kullanıcılara resmi bir bildirim yapmama yönünde karar aldı. Bu yaklaşım, veri ihlallerinde bildirim yükümlülüğünün ne zaman doğduğuna dair tartışmaları yeniden alevlendirdi.
iFood, tüm resmi iletişimlerin yalnızca kendi kanalları üzerinden yapılacağını hatırlatarak, kullanıcıları resmi olmayan mesajlara karşı dikkatli olmaya çağırdı. Açıklamada, sızıntının kaynağına veya sorumlularına ilişkin herhangi bir bilgi paylaşılmadı. Ayrıca, olayın ANPD'ye bildirilip bildirilmediği konusunda da net bir ifade kullanılmadı. Bu belirsizlik, şeffaflık ve hesap verebilirlik açısından soru işaretleri doğuruyor.
Uzmanlardan Uyarılar: Ad ve CPF'nin Tehlikesi
Güvenlik uzmanları, ad ve CPF gibi bilgilerin ele geçirilmesinin, kimlik hırsızlığı ve dolandırıcılık için kullanılabileceğini vurguluyor. Özellikle bu verilerin kullanıldığı sosyal mühendislik saldırıları, kullanıcıları hedef alabilir. iFood'un risk değerlendirmesine katılmayan uzmanlar, CPF'nin hassas bir veri olduğunun altını çiziyor. Şirketin 'önemli risk yok' yaklaşımı, veri koruma uygulamalarının yeterliliği konusunda kamuoyunda endişe yaratıyor.
Kullanıcılar Ne Yapmalı?
iFood, resmi açıklamasında kullanıcılarına resmi kanallar dışında gelen şüpheli iletişimlere itibar etmemeleri tavsiyesinde bulundu. Etkilenen 1,2 milyon kullanıcıya bireysel olarak bildirim yapılıp yapılmayacağı ise belirsizliğini koruyor. Şirket bu konuda herhangi bir taahhütte bulunmadı. Kullanıcıların, ad ve CPF bilgilerini isteyen her türlü telefon, e-posta veya mesaja karşı dikkatli olmaları öneriliyor.
Bu olay, LGPD kapsamında şirketlerin risk değerlendirme kriterlerinin ne kadar tutarlı olduğu sorusunu gündeme taşıyor. iFood'un 'risk yok' kararı, diğer şirketler için emsal teşkil edebilir. Veri ihlallerinin bildirimi konusunda daha net kılavuzlara ihtiyaç olduğu görülüyor. Kullanıcıların verilerinin korunması ile şirketlerin yasal yükümlülükleri arasındaki denge, bu vakayla birlikte yeniden sorgulanıyor.