Sızan veri neden bir aramaya dönüşüyor
Bir veri sızıntısı, sızdığı kurumda kalmaz. Dolaşıma girdiği andan itibaren, içerdiği bilgiler — ad, TC kimlik numarası, telefon, bazen adres veya banka bilgisi — bir dolandırıcının rastgele değil, kişiye özel bir yaklaşım kurmasının hammaddesi haline gelir. Türkiye'de bu hammadde özellikle bol: kamu portalından sızan kayıtlar onlarca milyon kişiyi kapsıyor ve KVKK'ya yapılan resmi ihlal bildirimi sayısı yıldan yıla artıyor.
Rakamlarla KVKK'ya bildirilen ihlaller
Üç olay, sızıntının ölçeğini ve sonuçlarını somutlaştırıyor:
Not: bir saldırganın revendike ettiği mağdur sayısı ile resmi olarak doğrulanan sayı her zaman örtüşmüyor. Mart 2025'te TurkNet'e yönelik saldırıda, "dejavu" takma adlı bir saldırganın iddiası 1,5-2,8 milyon arasında değişen farklı rakamlarla haberlere yansıdı; şirket saldırıyı doğruladı ve bazı müşteri bilgilerinin üçüncü kişilere ulaştığını kabul etti, ama finansal verilerin sızdığı iddiasını reddetti. Bu, bir saldırgan açıklamasıyla resmi/kurumsal doğrulamanın her zaman aynı rakamı vermediğinin güncel bir örneği — Laboratuvar'da bu ayrımı sistematik olarak belirtiyoruz.
Sağlık, eğitim, turizm: kamu dışında da aynı örüntü
2025-2026'da veri sızıntısı yalnızca büyük kamu portallarıyla sınırlı kalmadı — hastaneler, okullar ve turizm sektörü de aynı örüntüyü doğruladı: bir kurum hedef alınıyor, kişisel veriler (bazen özel nitelikli sağlık verileri dahil) dışarı sızıyor, ve KVKK bunu kamuoyuna duyuruyor.
🏥Özbeyler Sağlık ve Özel Hastane (Bodrum)
20 Ocak 2026'da tespit edilen bir fidye yazılımı (ransomware) saldırısı, hastanenin sanallaştırma altyapısındaki sunucuları şifreleyerek erişilemez hale getirdi. Etkilenenler yalnızca hastalarla sınırlı kalmadı: çalışanlar, stajyerler, bağışçılar, dışarıdan hizmet veren doktorlar ve hatta hastaneyi ziyaret eden misafirler de kapsama girdi. Sızan veri kategorileri arasında kimlik ve iletişim bilgilerinin yanı sıra sağlık verileri, cinsel yaşam bilgileri, din ve biyometrik veriler gibi özel nitelikli kişisel veriler de yer aldı. KVKK, 27 Ocak 2026 tarihli kararıyla ihlalin kamuoyuna duyurulmasına karar verdi.
KVKK, resmi kamuoyu duyurusu, 27 Ocak 2026 · T24, Ocak 2026🎓Bilfen Eğitim Kurumları
12 Mart 2025'te gerçekleşen ihlal, saldırganların kurumun WhatsApp hattına gönderdiği bir mesajla aynı gün fark edildi. Kimlik bilgileri, iletişim verileri, işlem güvenliği kayıtları, görsel-işitsel kayıtlar ve sağlık bilgileri gibi özel nitelikli veriler dahil olmak üzere toplam 24.061 kişi etkilendi — öğrenciler, öğrenci velileri ve çalışanlar. KVKK'nın 20.03.2025 tarih ve 2025/573 sayılı kararıyla ihlal, kurumun kendi internet sitesinde ilan edildi. Bir okulun sızdırdığı veri, çocuğunuzun adını, okulunu ve sınıfını bilen bir "veli" veya "okul idaresi" aramasını inandırıcı kılmak için yeterli olabilir.
Kişisel Verileri Koruma Kurulu, Karar No. 2025/573, 20 Mart 2025🏨Turizm: otel hesapları üzerinden dolandırıcılık
Türkiye'de bazı otel işletmelerinin Booking.com yönetim panelleri (extranet) hedef alınarak ele geçirildiği, dolandırıcıların otel adına müşterilere sahte "rezervasyon onayı" e-postaları gönderdiği ve tıklanan bağlantı üzerinden banka hesaplarının boşaltılmaya çalışıldığı bildirildi. Bu, Nisan 2025'ten beri aktif olan ve tehdit istihbaratı şirketi Sekoia'nın Kasım 2025'te belgelediği küresel bir kampanyanın yerel bir yansıması: saldırganlar önce otel yöneticilerine "ClickFix" tekniğiyle kötü amaçlı yazılım bulaştırıyor, sonra ele geçirilen gerçek otel hesabından müşterilere ulaşıyor. Sekoia'nın raporuna göre, ele geçirilmiş Booking hesap bilgileri, kaliteye ve otel profiline göre 5 ila 5.000 dolar arasında değişen fiyatlarla yeraltı forumlarında satılıyor — dark web fiyatlandırmasının genel olarak ne kadar değişken olduğunu gösteren somut, kaynaklı bir örnek.
Turizm Gazetesi (turizmguncel.com) · Sekoia Threat Detection & Research, 6 Kasım 2025Bilinmesi gereken kelimeler
Have I Been Pwned
Güvenlik araştırmacısı Troy Hunt tarafından oluşturulan ücretsiz servis: e-posta adresinizi girerek bilinen bir veri sızıntısında yer alıp almadığınızı öğrenebilirsiniz.
Kimlik bilgisi doldurma (credential stuffing)
Bir saldırgan, önceki bir sızıntıdan çalınmış kullanıcı adı/şifre çiftlerini başka sitelerde toplu olarak dener — aynı şifreyi başka yerde de kullandığınız bahsine oynar.
Şifre spreyleme (password spraying)
Klasik kaba kuvvet saldırısının tersi: saldırgan çok yaygın bir şifreyi çok sayıda farklı hesapta dener, böylece tespit sistemlerinin radarının altında kalır.
MFA yorgunluğu (MFA fatigue)
Şifrenizi zaten ele geçirmiş bir saldırgan, art arda çok sayıda çok faktörlü doğrulama bildirimi gönderir — umduğu, yorgunluk ya da yanlışlıkla birini onaylamanızdır.
Sızan verilerin doğrudan kullanıldığı bir başka teknik olan SIM değişimi (SIM swap), sözlükte detaylandırılıyor.
Sık sorulan sorular
Verilerimin sızıp sızmadığını nasıl anlarım?
Have I Been Pwned (haveibeenpwned.com), güvenlik araştırmacısı Troy Hunt tarafından oluşturulan ücretsiz bir servistir: e-posta adresinizi girerek bilinen veri sızıntılarında yer alıp almadığını kontrol edebilirsiniz. Türkiye'ye özgü e-Devlet sızıntıları gibi bazı büyük olaylar bu tür genel veritabanlarına her zaman tam yansımayabilir.
Türkiye özellikle mi hedef alınıyor?
Evet, ölçek dikkat çekici: 2023'te e-Devlet portalından 85 milyon kişinin verisi, 2024'te açığa çıkan ve pandemi döneminden kalan bir ihlalde ise 108 milyon kişinin kimlik, adres ve GSM numarası bilgisi sızdı. KVKK'ya yapılan resmi ihlal bildirimi sayısı da 2024'ten 2025'e artış gösterdi (289'dan 328'e). Ve olay yalnızca kamu kurumlarıyla sınırlı değil: 2025-2026'da bir hastane, bir okul zinciri ve turizm sektörü de sızıntı ve hesap ele geçirme vakalarıyla gündeme geldi.
Bir veri sızıntısı neden dolandırıcı aramalarına yol açıyor?
Çünkü bir sızıntı genellikle ad, telefon numarası, TC kimlik numarası ve bazen banka ya da işveren bilgisi içerir — bu da rastgele bir mesaj yerine, kurbanın gerçek verilerine dayanan inandırıcı bir arama veya SMS kurgulamak için yeterlidir.
Sağlık verileri neden özellikle değerli sayılıyor?
Çünkü bir şifrenin aksine, bir sağlık kaydı sızıntıdan sonra "sıfırlanamaz" — süresiz olarak geçerliliğini korur. Dark web'deki tam fiyatlandırma kaynaktan kaynağa büyük farklılıklar gösteriyor ve tek bir doğrulanmış rakam yok; ama Türkiye'de sağlık sektörünün 2025'te resmi olarak "kritik altyapı sektörü" kapsamına alınması, bu verinin neden bu kadar hassas görüldüğünün bir işareti.