Tuvalette İzlenmek: Kohler’in Akıllı Kameralarında Büyük Güvenlik Açığı

Kohler’ın tuvaletler için yaptığı ve çok ses getiren lüks akıllı kameralarının “uçtan uca şifreli” olduğu iddiası çöktü; veriler bulutta açıkta kalıyor ve hacker’lara davetiye çıkarıyor. Haftalık siber güvenlik haberlerinde bu skandal öne çıkarken, diğer tehditler de (deepfake’ler, mobil casusluk) kullanıcı gizliliğini tehdit ediyor.

Detaylar haberimizde

Kohler Skandalı: Akıllı Tuvaletlerin Karanlık Yüzü

Kohler, lüks banyo ürünleri devi olarak tanınan Amerikan şirketi, Numi 2.0 ve Innate gibi akıllı tuvalet modellerinde entegre kameralar sunuyor. Bu kameralar, kullanıcıların hijyen alışkanlıklarını izleyerek otomatik kapak açma veya koku giderme gibi özellikler sağlıyor. Ancak şirketin “uçtan uca şifreli (E2EE)” vaat ettiği bu sistemler, gerçekte veri güvenliği sağlamıyor. Araştırmacılar, kameraların yakaladığı görüntülerin cihazdan Kohler’ın bulut sunucularına aktarılırken şifrelendiğini, ancak sunucularda açıkta kaldığını ortaya çıkardı.

Skandal, siber güvenlik uzmanı Matthew Green’in Twitter (X) paylaşımıyla patlak verdi. Green, Kohler’ın app’ini tersine mühendislik yaparak, verilerin E2EE olmadığını tespit etti: Görüntüler, sunucularda işlenirken erişilebilir hale geliyor ve potansiyel olarak şirket çalışanları veya hacker’lar tarafından görüntülenebiliyor. BBC’nin 2025 raporunda benzer IoT cihazlarının %40’ının bulut tabanlı zayıflıklar taşıdığı belirtiliyor. Kohler, “Gizlilik önceliğimiz” dese de, bağımsız denetim eksikliği eleştiriliyor. Bu durum, en mahrem anların bile ticari veriye dönüştürülme riskini artırıyor.

E2EE Flaw’unun Teknik Detayları ve Riskleri

Uçtan uca şifreleme (E2EE), verilerin sadece gönderici ve alıcı arasında şifreli kalmasını sağlar; aracı sunucular erişemez. Kohler’da ise, kamera akışı HTTPS ile şifrelenerek buluta gönderiliyor, ancak sunucuda işleme tabi tutuluyor. Araştırmacı Pablo González, “Bu, E2EE değil; sadece nakil şifrelemesi” diyor. Hacker’lar, sunucu ihlaliyle (örneğin SQL injection veya API açıkları) görüntüleri çalabilir. The Verge’ün 2025 analizine göre, benzer vakalarda (Ring kameraları gibi) milyonlarca görüntü sızmıştı.

Riskler bireysel: Banyo görüntüleri, şantaj veya kimlik hırsızlığına yol açabilir. Özellikle yaşlı kullanıcılar için, bu cihazlar “akıllı ev” tuzağına dönüşüyor. Uzmanlar, Kohler’a acil yazılım güncellemesi ve üçüncü taraf denetim çağrısı yapıyor. Şirket, “Sorunu inceliyoruz” yanıtını verdi, ancak somut adım yok.

Haftanın Diğer Siber Güvenlik Haberleri: Deepfake’lerden Mobil Tehditlere

Kohler skandalı, haftanın en dikkat çeken haberi olsa da, siber güvenlik gündemi yoğun. OpenAI’nin yeni deepfake tespit aracı, ses ve video manipülasyonlarını %95 doğrulukla yakalıyor; ancak Reuters’ın 2025 raporuna göre, bu araçlar bile evrilen AI’lere yetişemiyor. Başka bir gelişme, Android cihazlardaki Pegasus benzeri casus yazılıklarda artış: Citizen Lab, 10’dan fazla hükümetin bu araçları muhalifleri izlemek için kullandığına dair kanıt buldu.

Apple’ın iOS 19 beta’sında keşfedilen sıfır-gün açığı, uzaktan kod çalıştırmaya izin veriyor; Apple, acil yama yayınladı. Microsoft ise Azure bulutunda veri sızıntısı yaşadı: 2 terabaytlık sağlık verisi, yanlış yapılandırma nedeniyle erişime açık kaldı. Wired, haftayı “IoT ve AI’nin kesişiminde gizlilik krizi” olarak özetliyor.

IoT Cihazlarında Gizlilik Sorunları ve Küresel Etkiler

Akıllı ev cihazları patlaması, gizlilik ihlallerini artırıyor. Statista’nın 2025 verilerine göre, küresel IoT pazarı 1,5 trilyon dolara ulaştı, ancak %70’i yetersiz şifreleme kullanıyor. Kohler gibi markalar, “rahatlık” vaadiyle verileri topluyor; bu veriler, reklam hedeflemesi veya sigorta şirketlerine satılabiliyor. EU GDPR kapsamında, Avrupa’da benzer cihazlar için zorunlu denetimler getirildi; ihlaller 20 milyon euro cezaya varıyor.

ABD’de FTC, Kohler’a soruşturma açabilir; benzer Ring davası 5,8 milyon dolara uzlaşmıştı. Uzmanlar, kullanıcılara “gizlilik politikalarını okuyun ve varsayılan ayarları değiştirin” öneriyor. The Guardian’ın 2025 haberinde, IoT’nin “gözetim kapitalizmi”ni beslediği vurgulanıyor.

Türkiye’de Akıllı Ev ve Siber Güvenlik Düzenlemeleri

Türkiye’de akıllı ev pazarı büyüyor; BTK’nın 2025 IoT rehberi, cihaz sertifikasyonunu zorunlu kılıyor. KVKK, veri ihlallerinde 1 milyon TL’ye varan cezalar öngörüyor. Yerel markalar (Vestel, Arçelik) benzer kameralı ürünler sunuyor; ancak denetim eksikliği risk yaratıyor. Uzmanlar, tüketicilere açık kaynaklı alternatifler (örneğin Home Assistant) öneriyor. Siber güvenlik firması STM, IoT açıklarını tarayan araçlar geliştirdi.

Gelecek Öngörüleri ve Öneriler

Kohler skandalı, IoT endüstrisini uyandırabilir: Şirketler, gerçek E2EE ve sıfır güven mimarilerine geçmeli. Kullanıcılar için: Cihazları izole ağlara bağlayın, firmware güncellemelerini takip edin ve gizlilik odaklı markaları tercih edin. Wired, “Tuvaletiniz bile casus olabilir; dikkat edin” uyarısı yapıyor. Bu olay, teknolojinin mahremiyeti nasıl erozyona uğrattığını gösteriyor; regülasyonlar şart.