Verileriniz büyük ihtimalle çoktan çalındı
Her sabah e-Devlet'e giriş yapıyorsunuz. SGK sorguluyor, fatura ödüyor, randevu alıyorsunuz. Sisteme güveniyorsunuz. Oysa muhtemelen kimliğiniz, adresiniz, araç plakanız ve vergi borçlarınız çoktan başkasının elinde ve bu kişi sizi hiç tanımıyor.
Türkiye, veri ihlali tarihinin en kapsamlı ülke çapı sızıntılarından bazılarına sahne oldu. Bu sızıntıların büyük çoğunluğu hiçbir zaman resmi makamlar tarafından kabul edilmedi. Açıklama yapılmadı. Çünkü dünya genelinde veri ihlali kültürü, ihlali açıklamak üzerine değil, ihlali örtbas etmek üzerine kurulu.
Bu makale, 2009'dan bugüne belgelenen en büyük veri sızıntılarını, bu sızıntıların nasıl gerçekleştiğini ve neden durdurulamadığını ele alıyor.
İhlaller nasıl birikiyor?
Türkiye'deki büyük veri sızıntılarının tarihçesi, tek bir hacker saldırısının hikâyesi değil; on yılda birikim yapan bir ihmalin kronolojisidir. Her ihlal bir öncekini normalleştirdi; her sessizlik bir sonraki ihlale davetiye çıkardı.
EGM 2009 Data
46,8 milyon kayıt
Emniyet Genel Müdürlüğü bağlantılı sistemlerden sızdırılan bu veri tabanı, Türkiye'nin belgelenmiş ilk büyük devlet ihlalidir. SQL dosyası olarak yayılan kayıtlar sonradan uygulamaya dönüştürüldü. Kimin çaldığı hâlâ bilinmiyor.
MERNİS Sızıntısı (2015)
49,6 milyon kayıt
Türkiye'nin merkezi nüfus kayıt sisteminden çalınan bu veri, dönemin cumhurbaşkanı ve başbakanının kimlik bilgilerini de kapsıyordu. Büyüklüğüne karşın resmi bir soruşturma başlatılmadı, kamuoyuna açıklama yapılmadı.
Seçmen Kaydı Sızıntısı (2016)
54 milyon kayıt
"Kimliği belirsiz Rus hackerlar" tarafından devlet sunucularından alındığı ileri sürülen bu veri seti; TC kimlik numarası, adres ve aile bilgilerini kapsıyordu. Türkiye'nin o günkü nüfusunun yaklaşık üçte ikisine denk geliyordu.
E-Devlet, MEBBİS, E-Okul açıkları (2020)
Süregelen erişim
Araştırmacılara göre bu platformlardaki açıklar kapatılmadı. Ehliyet, araç, şirket tescili ve vergi borcu bilgilerine dark web panelleri üzerinden erişim bugün de mümkün. Veriler düzenli olarak güncelleniyor.
Baydöner Veri İhlali (2025)
3,7 milyon kayıt
622 bin düz metin şifre ve 42 bin TC kimlik numarasını içeren bu ihlal, özel sektörün durumunu gözler önüne seriyor. Gıda sektörü bile bu tehditten muaf değil; düz metin şifre saklama 2025'te hâlâ yaygın.
Yemeksepeti (2022)
21 milyondan fazla
Kullanıcı adı, adres, telefon numarası, e-posta adresi, şifre ve IP bilgilerine yönelik erişim ihlalinden etkilenen kişi sayısının çok fazla olması ve neredeyse tüm müşteri veri tabanının sızdırılmış bulunması dikkate alındığında ihlalin çok büyük çaplı olduğu görülüyor.Veriler nasıl çalınıyor ve nerede satılıyor?
Sistem aslında iki temel açıkla çalışıyor. Birincisi: devlet kurumlarının halka açık servislerinin kötüye kullanımı. Üniversiteler, belediyeler ve Emniyet gibi kurumların ücretsiz sunduğu bazı sorgulama servisleri, kötü niyetli kişiler tarafından toplu veri çekmek amacıyla istismar ediliyor.
İkincisi ve daha endişe verici olanı: yetkili memurlara ait bilgisayarların hacklenmesi. Bu yöntemde saldırganlar devlet altyapısını değil, altyapıya meşru erişimi olan bir memuru hedef alıyor. Kurumun güvenlik duvarları devreye girmiyor; çünkü sisteme yetkili biri bağlanıyor.
Çalınan veriler "paneller" adı verilen arayüzlere yükleniyor. TC kimlik numarası karşılığında adres, telefon, araç bilgisi, aile bağlantıları satılıyor. Bu panellere ulaşmak için ileri teknik bilgi gerekmiyor basit bir internet araması yeterli. Üstelik panellerin büyük bölümü kendi güvenlik açıkları nedeniyle başka hackerlar tarafından defalarca kırılıyor ve veriler daha geniş kitlelere yayılıyor.
Surfshark verilerine göre Türkiye, veri sızıntısına en çok maruz kalan ülkeler sıralamasında 19. sırada yer alıyor. Bu oran, Türkiye'nin nüfusu, ekonomik büyüklüğü ve dijitalleşme düzeyiyle karşılaştırıldığında son derece kaygı verici bir risk yoğunluğuna işaret ediyor.
Neden durdurulamıyor?
Teknik zaafiyetlerin ötesinde, Türkiye'deki veri ihlali sorununu kalıcı kılan bir caydırıcılık krizi var. Kişisel Verilerin Korunması Kanunu (KVKK) 2016'dan beri yürürlükte; ancak büyük ihlallerin ardından uygulanan somut yaptırım örnekleri son derece sınırlı kalıyor.
Türkiye'nin önde gelen şirketlerinin bilgi güvenliği yöneticileriyle yapılan araştırmalar, kurumların siber güvenliğe yatırım yapmak yerine olası cezayı ödemeyi tercih ettiğini ortaya koyuyor. Ceza mekanizması caydırıcı olmaktan uzak olduğunda, şirket ve kurumlar için en rasyonel ekonomik tercih güvenlik açığını görmezden gelmek oluyor.
Devlet kurumları söz konusu olduğunda tablo daha da karanlık. Hesap sorulabilirlik mekanizmaları pratik olarak işlemiyor; ihlaller kamuoyuna duyurulmuyor; etkilenen vatandaşlara herhangi bir bildirim yapılmıyor. Bu sessizlik, sistematik bir ihmalin değil, bilinçli bir tercih olarak okunabilir.
Kader değil, bir politika tercihinin sonucu
Veri ihlalleri önlenemez değil. Avrupa'da GDPR'ın devreye girmesiyle birlikte birçok şirket, ihlali kamuoyuna duyurmak ve etkilenen kullanıcıları bilgilendirmek zorunda kaldı. Sonuç: kurumsal hesap verebilirlik arttı, güvenlik yatırımları hızlandı. Türkiye'de ise tam tersi bir ortam var; ihlali bildirmek yerine saklamak, ceza riskini azaltmanın en pratik yolu.
Bireysel düzeyde alınabilecek önlemler var: her platform için farklı ve güçlü parola kullanmak, iki faktörlü doğrulama (2FA) açmak, haveibeenpwned.com gibi araçlarla e-posta adresinizin ihlal veritabanlarında görünüp görünmediğini kontrol etmek bunların başında geliyor. Ancak bu önlemler, köklü bir yapısal sorunun üzerine yapıştırılan bantlara benziyor.
Asıl değişim üç noktadan geçiyor: ihlal bildirimini zorunlu kılan ve caydırıcı cezalar içeren yasal düzenlemeler, devlet kurumlarını da kapsayan şeffaflık mekanizmaları ve siber güvenliği bütçe kalemi değil stratejik öncelik olarak gören kurumsal kültür dönüşümü.
Verilerinizin dark web'de satılması bir kader değil hesap sorulmamasının, sessiz kalmanın ve caydırıcı olmayan cezaların birikimli sonucu.
Bu makalenin yayımlandığı gün Türkiye'de kaç kişinin verisi yeni bir panelde satışa çıktı? Kesin bir rakam yok. Ama elimizdeki verilere bakıldığında, cevabın "hiç" olmadığını söylemek mümkün.
YAZAR: Buse T.
Henüz yorum yapılmamış. İlk yorumu sen yap!