TürkNet skandalı tam bir dejavu gibi… Hatırlarsanız, geçen yıl Mart’ta “biraz veri çalındı” diye açıklama yapmışlardı, 244 bin müşteri dediler, KVKK’ya bildirdiler, şifre sıfırladık, 2FA koyduk, geçti gitti sanmıştık.
Fakat…
Fakat işte 2026’nın ortasında, tam 10 ay sonra, hacker “hades_hgs” rumuzuyla çıkıp diyor ki: “Hayır, 2 milyon 806 bin 546 kişiydi asıl rakam.”
Daha önce Karayolları Genel Müdürlüğü’ne bağlı olan HGS sistemini hacklediği için bu rumuzu alan Hades_hgs ile ilgili ilginç bir not daha; Sistemi hackleyen kişi olay tarihlerinde “Hapisten yeni çıktım, sıkıntıdan yaptım…” gibi bir açıklama yapmıştı.
2.8 milyon. Yani Türkiye nüfusunun kabaca %3’ü. Ad, soyad, TC kimlik, telefon, adres, statik IP, abonelik detayları… Hatta CEO’nun ve eski yöneticilerin özel bilgileri bile bonus olarak pakete dahil. Dark Web’de hem satışta hem bedava paylaşılan kısımlar var. Şirket hâlâ “finansal bilgiler tam gitmedi” diye teselli ediyor ama kim inanır artık?
Peki Turknet bu kadar verinin salınmasını kaç lira uğruna kabul etmiş dersiniz? İlgili haberimizde belirttiğimiz gibi sadece 3 bitcoin. Peki şantaja boyun eğmediniz, alkışlıyoruz… Fakat 9 milyon TL karşılığında biz verilerimizin sızdırılmasına razı mıyız? 3 BTC vermeme sebebiniz tam olarak nedir? KVKK’dan çıkacak cezanın daha az olma ihtimali mi?
Bu iş artık şaka olmaktan çıktı
Son 2-3 yılda Türkiye’de veri sızıntısı o kadar sıradanlaştı ki, yeni bir tane duyunca “hah, yine mi?” moduna geçiyoruz. Hatırlayalım birkaçını:
- Yemeksepeti (2021): 21 milyon+ kullanıcı. Adres, telefon, kart son 4 hane… Sonra 2022’de aynı hacker geri döndü, “anlaşamadık” dedi, parça parça saldı. KVKK 1.9 milyon TL ceza kesti, şirket “yeni bir ihlal değil” diye savundu, millet hâlâ SMS bombardımanında.
- Getir, Trendyol, Sahibinden vs. derken 2021’de 32 şirkete KVKK soruşturması açıldı, hepsi aynı anda.
- e-Devlet bağlantılı sızıntılar, MERNİS verileri zaten yıllardır dolaşıyor piyasada.
- Turkcell, geçmişteki ufak tefekler…
- 2024-2025 global derlemelerde bile Türkiye’den milyonlarca kayıt çıkıyor, 26 milyarlık mega-sızıntıda bile hükümet verileri karışmış.
Hepsinin ortak noktası ne biliyor musunuz?
Şirketler veriyi düz metin tutuyor, şifreleme zayıf, eski açıklar yamanmıyor, sızma testleri göstermelik, KVKK’ya bildirim ya geç ya eksik. Sonra olay patlayınca “anında tedbir aldık” diye açıklama, 2FA zorunlu, şifre sıfırla, belki bedava kredi izleme (ki detay hâlâ yok).
Peki vatandaş ne yapıyor? Şikayet ediyor, #TürkNetSkandalı trend oluyor, sonra unutuluyor. Bir sonraki skandala kadar.
Açıkçası ben artık şu noktadayım: Bu ülkede kişisel verilerin “kolay sızdırılabilir” olması artık bir özellik değil, sistemin default ayarı haline geldi.
KVKK var, evet. Ceza kesiyor, evet. Ama 2.8 milyonluk bir skandala verilecek ceza (maksimum 9 milyon TL civarı) şirket için “işletme gideri” seviyesinde kalıyor. Caydırıcılık sıfır.
Şirketler de biliyor bunu. “Nasıl olsa en kötü KVKK’ya bildiririz, birkaç milyon öderiz, geçer” mantığı hâkim.
Sonuç? Sizin TC’niz, adresiniz, telefonunuz şu an muhtemelen bir yerde satışta. Belki yarın yeni bir dolandırıcılık SMS’i gelir, belki kredi çekilir üzerinize, belki de “merhaba komşu” diye kapınıza biri dayanır (evet, o kadar detay var bazı sızıntılarda).
TürkNet’e kızmak kolay; Ama asıl mesele sistemin kendisi!
Ne zaman ciddi yaptırım gelecek? Ne zaman “veri güvenliği ihmali = şirketin cirosunun %X’i ceza” gibi bir düzenleme olacak? Ne zaman BTK ve KVKK “önleyici denetim” yapacak da şirketler hacklenmeden önce düzeltilmeye zorlanacak?
O zamana kadar… Şifre yöneticisi kullanın, 2FA’yı her yerde açın, mümkünse aynı şifreyi hiçbir yerde tekrar etmeyin, gelen SMS’lere tıklamayın, adresinizi sitede paylaşırken iki kere düşünün.
Çünkü belli ki kimse bizim verimizi koruyamayacak.
Biz kendimizi koruyacağız.
Yoksa bir sonraki “2.8 milyon” haberi geldiğinde yine aynı döngü: şok, öfke, unutma.
Hoş geldin 2026, yine aynı hikaye.
