Egidio
Dosya · 2026

Türkiye'de veri sızıntıları: dolandırıcılığın hammaddesi

e-Devlet'ten sızan onlarca milyon kayıt, KVKK'ya yapılan resmi ihlal bildirimlerindeki artış, ve bir banka vakası — Türkiye'de veri sızıntılarının izole olaylar değil, dolandırıcılığı besleyen sürekli bir kaynak olduğunu gösteren tablo.

Sızan veri neden bir aramaya dönüşüyor

Bir veri sızıntısı, sızdığı kurumda kalmaz. Dolaşıma girdiği andan itibaren, içerdiği bilgiler — ad, TC kimlik numarası, telefon, bazen adres veya banka bilgisi — bir dolandırıcının rastgele değil, kişiye özel bir yaklaşım kurmasının hammaddesi haline gelir. Türkiye'de bu hammadde özellikle bol: kamu portalından sızan kayıtlar onlarca milyon kişiyi kapsıyor ve KVKK'ya yapılan resmi ihlal bildirimi sayısı yıldan yıla artıyor.

Rakamlarla KVKK'ya bildirilen ihlaller

328
KVKK'ya 2025'te yapılan veri ihlali bildirimi sayısı — 2024'teki 289 bildirime göre artış.
Kişisel Verileri Koruma Kurumu, 2025 faaliyet verileri.
90.358.500 TL
2025'te sonuçlandırılan veri ihlali bildirimleri için uygulanan toplam idari para cezası tutarı.
Kişisel Verileri Koruma Kurumu, 2025 faaliyet verileri.

Üç olay, sızıntının ölçeğini ve sonuçlarını somutlaştırıyor:

Mart 2024 (2023 sızıntısı)
e-Devlet portalı — 2023'te gerçekleşen bir sızıntı sonucunda 85 milyon Türk vatandaşının verisi (TC kimlik numarası, telefon, aile bilgileri) "sorgupaneli.org" adlı bir sitede üyelik karşılığında ücretsiz olarak sunuldu.
Eylül 2024
Pandemi döneminden kalan sızıntı — Türk bakanının doğruladığı bir ihlalde, 108 milyon kişiye ait 42,18 GB'lık veri (108.571.832 TC kimlik numarası, 82.322.190 ev adresi, 134.817.279 GSM numarası) çalındığı ortaya çıktı; yurt dışında yaşayan vatandaşlar ve mülteciler de etkilenenler arasındaydı.
Ocak 2026
Aktif Yatırım Bankası A.Ş. — hizmet aldığı bir dış yazılım şirketindeki güvenlik açığı nedeniyle 45.000 müşterinin verisi sızdı. KVKK, bankaya ağır bir idari yaptırım uyguladı — tedarik zinciri riskinin sadece büyük kamu sistemleriyle sınırlı olmadığının bir örneği.

Not: bir saldırganın revendike ettiği mağdur sayısı ile resmi olarak doğrulanan sayı her zaman örtüşmüyor. Mart 2025'te TurkNet'e yönelik saldırıda, "dejavu" takma adlı bir saldırganın iddiası 1,5-2,8 milyon arasında değişen farklı rakamlarla haberlere yansıdı; şirket saldırıyı doğruladı ve bazı müşteri bilgilerinin üçüncü kişilere ulaştığını kabul etti, ama finansal verilerin sızdığı iddiasını reddetti. Bu, bir saldırgan açıklamasıyla resmi/kurumsal doğrulamanın her zaman aynı rakamı vermediğinin güncel bir örneği — Laboratuvar'da bu ayrımı sistematik olarak belirtiyoruz.

Sağlık, eğitim, turizm: kamu dışında da aynı örüntü

2025-2026'da veri sızıntısı yalnızca büyük kamu portallarıyla sınırlı kalmadı — hastaneler, okullar ve turizm sektörü de aynı örüntüyü doğruladı: bir kurum hedef alınıyor, kişisel veriler (bazen özel nitelikli sağlık verileri dahil) dışarı sızıyor, ve KVKK bunu kamuoyuna duyuruyor.

🏥Özbeyler Sağlık ve Özel Hastane (Bodrum)

20 Ocak 2026'da tespit edilen bir fidye yazılımı (ransomware) saldırısı, hastanenin sanallaştırma altyapısındaki sunucuları şifreleyerek erişilemez hale getirdi. Etkilenenler yalnızca hastalarla sınırlı kalmadı: çalışanlar, stajyerler, bağışçılar, dışarıdan hizmet veren doktorlar ve hatta hastaneyi ziyaret eden misafirler de kapsama girdi. Sızan veri kategorileri arasında kimlik ve iletişim bilgilerinin yanı sıra sağlık verileri, cinsel yaşam bilgileri, din ve biyometrik veriler gibi özel nitelikli kişisel veriler de yer aldı. KVKK, 27 Ocak 2026 tarihli kararıyla ihlalin kamuoyuna duyurulmasına karar verdi.

KVKK, resmi kamuoyu duyurusu, 27 Ocak 2026 · T24, Ocak 2026

🎓Bilfen Eğitim Kurumları

12 Mart 2025'te gerçekleşen ihlal, saldırganların kurumun WhatsApp hattına gönderdiği bir mesajla aynı gün fark edildi. Kimlik bilgileri, iletişim verileri, işlem güvenliği kayıtları, görsel-işitsel kayıtlar ve sağlık bilgileri gibi özel nitelikli veriler dahil olmak üzere toplam 24.061 kişi etkilendi — öğrenciler, öğrenci velileri ve çalışanlar. KVKK'nın 20.03.2025 tarih ve 2025/573 sayılı kararıyla ihlal, kurumun kendi internet sitesinde ilan edildi. Bir okulun sızdırdığı veri, çocuğunuzun adını, okulunu ve sınıfını bilen bir "veli" veya "okul idaresi" aramasını inandırıcı kılmak için yeterli olabilir.

Kişisel Verileri Koruma Kurulu, Karar No. 2025/573, 20 Mart 2025

🏨Turizm: otel hesapları üzerinden dolandırıcılık

Türkiye'de bazı otel işletmelerinin Booking.com yönetim panelleri (extranet) hedef alınarak ele geçirildiği, dolandırıcıların otel adına müşterilere sahte "rezervasyon onayı" e-postaları gönderdiği ve tıklanan bağlantı üzerinden banka hesaplarının boşaltılmaya çalışıldığı bildirildi. Bu, Nisan 2025'ten beri aktif olan ve tehdit istihbaratı şirketi Sekoia'nın Kasım 2025'te belgelediği küresel bir kampanyanın yerel bir yansıması: saldırganlar önce otel yöneticilerine "ClickFix" tekniğiyle kötü amaçlı yazılım bulaştırıyor, sonra ele geçirilen gerçek otel hesabından müşterilere ulaşıyor. Sekoia'nın raporuna göre, ele geçirilmiş Booking hesap bilgileri, kaliteye ve otel profiline göre 5 ila 5.000 dolar arasında değişen fiyatlarla yeraltı forumlarında satılıyor — dark web fiyatlandırmasının genel olarak ne kadar değişken olduğunu gösteren somut, kaynaklı bir örnek.

Turizm Gazetesi (turizmguncel.com) · Sekoia Threat Detection & Research, 6 Kasım 2025
🔒 Bir otel rezervasyonu, bir okul kaydı ya da bir hastane randevusu — hiçbiri banka ya da telekomünikasyon kadar "hassas" görünmeyebilir. Ama tam da bu yüzden arnakçılar için değerlidir: gerçek, doğrulanabilir bir detay, sahte bir aramayı inandırıcı kılar. Bkz. sızıntının nasıl bir senaryoya dönüştüğü.

Bilinmesi gereken kelimeler

Have I Been Pwned

Güvenlik araştırmacısı Troy Hunt tarafından oluşturulan ücretsiz servis: e-posta adresinizi girerek bilinen bir veri sızıntısında yer alıp almadığınızı öğrenebilirsiniz.

Kimlik bilgisi doldurma (credential stuffing)

Bir saldırgan, önceki bir sızıntıdan çalınmış kullanıcı adı/şifre çiftlerini başka sitelerde toplu olarak dener — aynı şifreyi başka yerde de kullandığınız bahsine oynar.

Şifre spreyleme (password spraying)

Klasik kaba kuvvet saldırısının tersi: saldırgan çok yaygın bir şifreyi çok sayıda farklı hesapta dener, böylece tespit sistemlerinin radarının altında kalır.

MFA yorgunluğu (MFA fatigue)

Şifrenizi zaten ele geçirmiş bir saldırgan, art arda çok sayıda çok faktörlü doğrulama bildirimi gönderir — umduğu, yorgunluk ya da yanlışlıkla birini onaylamanızdır.

Sızan verilerin doğrudan kullanıldığı bir başka teknik olan SIM değişimi (SIM swap), sözlükte detaylandırılıyor.

🔒 Verileriniz, sizin hiçbir hatanız olmadan sızmış olabilir — ama korunma, sonrasında hâlâ mümkün. Egidio, çalınmış verilerden kurgulanmış, kişiye özel arama ve SMS şablonlarını tanır. Egidio'nun motoru Medusa'nın nasıl çalıştığına bakın.

Sık sorulan sorular

Verilerimin sızıp sızmadığını nasıl anlarım?

Have I Been Pwned (haveibeenpwned.com), güvenlik araştırmacısı Troy Hunt tarafından oluşturulan ücretsiz bir servistir: e-posta adresinizi girerek bilinen veri sızıntılarında yer alıp almadığını kontrol edebilirsiniz. Türkiye'ye özgü e-Devlet sızıntıları gibi bazı büyük olaylar bu tür genel veritabanlarına her zaman tam yansımayabilir.

Türkiye özellikle mi hedef alınıyor?

Evet, ölçek dikkat çekici: 2023'te e-Devlet portalından 85 milyon kişinin verisi, 2024'te açığa çıkan ve pandemi döneminden kalan bir ihlalde ise 108 milyon kişinin kimlik, adres ve GSM numarası bilgisi sızdı. KVKK'ya yapılan resmi ihlal bildirimi sayısı da 2024'ten 2025'e artış gösterdi (289'dan 328'e). Ve olay yalnızca kamu kurumlarıyla sınırlı değil: 2025-2026'da bir hastane, bir okul zinciri ve turizm sektörü de sızıntı ve hesap ele geçirme vakalarıyla gündeme geldi.

Bir veri sızıntısı neden dolandırıcı aramalarına yol açıyor?

Çünkü bir sızıntı genellikle ad, telefon numarası, TC kimlik numarası ve bazen banka ya da işveren bilgisi içerir — bu da rastgele bir mesaj yerine, kurbanın gerçek verilerine dayanan inandırıcı bir arama veya SMS kurgulamak için yeterlidir.

Sağlık verileri neden özellikle değerli sayılıyor?

Çünkü bir şifrenin aksine, bir sağlık kaydı sızıntıdan sonra "sıfırlanamaz" — süresiz olarak geçerliliğini korur. Dark web'deki tam fiyatlandırma kaynaktan kaynağa büyük farklılıklar gösteriyor ve tek bir doğrulanmış rakam yok; ama Türkiye'de sağlık sektörünün 2025'te resmi olarak "kritik altyapı sektörü" kapsamına alınması, bu verinin neden bu kadar hassas görüldüğünün bir işareti.

Devamını okuyun