Siber güvenlik dünyası sadece virüs, fidye yazılımları ya da açıklarla çalkalanmaz. Bazen bir muhasebeci bütün düzeni yerinden oynatır. Bazen bir yazılımcı emeklilik planlarını bir kart oyunu uğruna yakar. Ağustos tam da bu «bazenlerden» biri oldu. Buyurun, içinden Pikachu, mahkeme ve Shrek geçen siber güvenlik günlüğüne.

İKİ KURUM, BİR HİKÂYE: ÇİP SAVAŞLARINDA SANAYİ CASUSLUĞU

Ne Oldu?

TSMC ve Huawei’nin eski çalışanları, yarı iletken sektöründe sanayi casusluğu yaptıkları gerekçesiyle peş peşe gündeme geldi.

Nasıl Oldu?

6 Ağustos 2025’te, dünyanın en büyük çip üreticisi TSMC’nin siber güvenlik ekibi, çalışanlardan bazılarının ileri düzey 2nm çip teknolojisine ait dosyalara şüpheli erişim sağladığını fark etti. Şirket hemen iç soruşturma başlattı. Soruştuma sonucunda, birkaç çalışanın gizli teknik bilgileri çalmaya çalıştığı ortaya çıktı. Bu kişiler işten çıkarıldı ve dava süreci başlatıldı.

Aynı haftanın başında, 4 Ağustos'ta Huawei hakkında da benzer bir haber yayıldı. Tam 14 eski Huawei çalışanı, şirketten çaldıkları çip verileri nedeniyle hapis cezasına çarptırıldı. Olay aslında yıllar öncesine dayanıyor: 2019’da Huawei’den ayrılan bir çalışan, kendi şirketini — Zunpai Communication Technology — kurmuş. Ardından, Huawei’den tanıdığı eski çalışma arkadaşlarını işe almış. Yeni kurulan bu ekip, görünüşe göre Huawei’ye ait gizli tasarımları temel alarak kendi çip ürünlerini geliştirmiş.

Huawei, bu durumu fark edip harekete geçti ve Zunpai’nin tüm mal varlıklarının dondurulması için mahkemeye başvurdu. Dava sonuçları kamuoyuna açıklanmadı; ancak Huawei’nin haklı bulunduğu anlaşılıyor, çünkü 14 kişinin ceza alması kolay kolay görülmeyen bir karar.

“KENDİ İŞİME DE BİR İYİLİK YAPAYIM” DEDİ, FBI’A YAKALANDI

Ne Oldu?

ABD Enerji Bakanlığı’nda görevli bir güvenlik uzmanı, çalıştığı kurumdan ayrılmadan hemen önce kendi şirketi lehine ihale koparmaya çalıştı. Bunu yaparken rüşvet teklif etti… ve canlı canlı FBI’a yakalandı.

Nasıl Oldu?

2025 yazında savcılar, ABD Enerji Bakanlığı’nda çalışan Edward Doherty’e “rüşvet teklif etme” suçlaması yöneltti. Doherty, yıllardır kamu görevinde olan bir bilgi güvenliği uzmanıydı. Şubat 2025’te “ertelenmiş istifa” programına başvurdu: maaşı bir süre daha ödenmeye devam edecekti, ancak artık görevde olmayacaktı.

Ama Doherty istafa etmeye hazırlanırken başka planlar da yapıyordu. İleride kullanmak üzere kurduğu kendi şirketine bir devlet ihalesi kazandırmak istiyordu. Ve bunun için hızlıca harekete geçti.

Henüz resmen ayrılmamışken, ilgili ihaleye karar verecek görevliyle iletişime geçti ve onu ikna etmek için rüşvet teklif etti. Fakat karşısındaki kişi dürüst çıktı ve bu teklifi doğrudan savcılığa bildirdi. FBI hemen devreye girdi ve yemleme operasyonu ile Doherty’i suçüstü yakaladı: Temmuz ayında elden ilk parayı verirken kameraya alındı.

Şimdi Edward Doherty, 20 yıla kadar hapis cezası alma riskiyle karşı karşıya.

EMEKLİ MAAŞLARIYLA ALASKA’DA GEYİK AVI

Ne Oldu?

Bir outsourcing firması yöneticisi, müşterileri adına tahsil ettiği 2,5 milyon dolarlık sosyal güvenlik ödemesini zimmetine geçirdi.

Nasıl Oldu?

47 yaşındaki James Campbell, ABD’de işverenlerin personel sosyal haklarıyla ilgili yükümlülüklerini yerine getirmesine yardımcı olmak amacıyla Axim Fringe Solutions Group (Axim) adlı şirketi kurdu. Axim’in işi şuydu: işverenlerden sigorta, emeklilik ve benzeri ödemeleri topluyor; doğru yerlere aktarıyor ve kişi başı aylık 40 dolarlık komisyon alıyordu.

Ancak kısa süre önce ortaya çıkan belgeler, Campbell’ın 135 ayrı işlemle toplam 2,5 milyon doları yasa dışı şekilde çektiğini gösterdi. Üstelik bu para, hâlihazırda çalışmakta olan ya da emekli olmuş çalışanlara gitmesi gereken maaş ve sosyal yardım ödemelerine aitti.

Parayı aldıktan sonra ne yaptı dersiniz?

Lüks mücevher alışverişi, kumarhaneler, Alaska’da av turizmi… Eğer suçlu bulunursa, lüks hayat hikâyesi 15 yıla kadar hapis cezasıyla sonuçlanabilir.

20 MİLYON DOLARLIK KUAİSHOU VURGUNU

Ne Oldu?

Kısa video platformu Kuaishou’nun bir çalışanı, içeriden organize ettiği sistemle 20 milyon doları cebine indirdi.

Nasıl Oldu?

Çin’de, TikTok benzeri bir platform olan Kuaishou’da çalışan Feng adlı üst düzey bir yönetici, görev tanımını biraz... esnetti. Kendisinin işi, platforma katılacak içerik üreticileri ve kurumsal iş ortaklarıyla ilgilenmekti: başvuruları değerlendiriyor, onay veriyor, sisteme girişlerini sağlıyor, bonuslarını dağıtıyordu.

Feng, platformdaki yoğunluktan faydalanarak bonus politikalarını “ufak tefek” değiştirdi. Ardından iki sözde tedarikçiyle, Tang ve Yan ile birlikte çalışmaya başladı. Ortak planları şuydu: Gerçek bir iş yapılmadan, sistemden bonus ödemeleri çekilecek ve bu paralar paravan şirketler üzerinden yurtdışına çıkarılacaktı.

Ve plan işlemeye başladı. Bonuslar şişirildi, işlemler hızlandırıldı, sistem boşluklarından sonuna kadar faydalanıldı. Bir yıl boyunca 140 milyon yuan (yaklaşık 20 milyon dolar) bu yöntemle aktarıldı. Para yurtdışındaki trading platformlarına taşındı, kriptoya çevrildi, karıştırıcı (mixer) sistemlerle izler silinmeye çalışıldı.

Ama her düzenin bir açığı vardır. Kuaishou’nun güvenlik ekibi, olağandışı yüksek miktarlı ödemeleri fark etti. Soruşturma başlatıldı, ardından savcılık devreye girdi. Sonuç: Feng ve suç ortakları yakalandı, mahkeme önüne çıktı, üç ila on dört yıl arasında değişen hapis cezaları aldı. Üstüne de yüklü tazminatlar...

PİKACHU'NUN HATIRINA: ŞİRKET KARTIYLA 140 BİN DOLARLIK HARCAMA

Ne Oldu?

Bir çalışan, işyerinin kredi kartıyla Pokémon kartları, oyunlar ve hediye çekleri alarak 140 bin dolar harcadı.

Nasıl Oldu?

ABD’li bir şirkette çalışan 34 yaşındaki Michael Gross, 2021 yılında kendisine verilen şirket kartını bir "koleksiyon tutkusu" uğruna kullanmaya başladı. İlk başta birkaç hediye çeki, sonra bir oyun, ardından kart koleksiyonları derken olay büyüdü.

Ancak Gross yalnızca alışveriş yapmakla kalmadı, aynı zamanda şirketin muhasebe sisteminde sahte makbuzlar düzenleyerek harcamaları gizledi. Toplamda 140 bin doları bulan harcamalar arasında Pokémon kartları, video oyunları ve online mağazalar için çeşitli hediye çekleri yer aldı.

İşin ilginç yanı, Gross’un bu harcamaları neredeyse bir yıl boyunca kimse fark etmedi. Ta ki FBI başka bir dosyayla ilgili şirkete geldiğinde, "yan masadaki Pokémon ustasının" harcamaları da gündeme geldi. Yapılan incelemede, Michael Gross’un kredi kartını kişisel alışveriş için defalarca kullandığı ve bu harcamaları muhasebe kayıtlarıyla örtbas ettiği ortaya çıktı.

Gross, Ağustos 2025’te yargılandı ve 4 ay hapis cezasına çarptırıldı. Pikachu sevgisi pahalıya patladı.

Gross bu konuda yalnız değil. Ocak 2025’te Singapur’da da benzer bir olay yaşandı. Bir biyoteknoloji şirketinde çalışan Lindberg Yeo Yu Wei isimli muhasebeci, sahte ödeme talimatlarıyla 500 bin dolardan fazla para çalarak Pokémon kartları, Rolex saatler ve kumar masrafları için harcadı. O da 19 ay hapis cezası aldı.

BORDRO SİSTEMİNE “BENİM HESABA YATIR” DİYEN MUHASEBECİ

Ne Oldu?

Maltalı bir üniversitede bordro yöneticisi olarak çalışan Fransine Farrugia, iki yıl boyunca çalışanlara ait maaşları kendi hesabına yönlendirerek toplamda 2,3 milyon Euro çaldı.

Nasıl Oldu?

Farrugia, MCAST (Malta College of Arts, Science and Technology) isimli devlet üniversitesinde maaşların ödenmesini yöneten kişiydi. Kurumdaki maaş sistemi, ödemeleri birden fazla hesaba bölmeye imkân tanıyordu. Bu da ona “küçük” bir açık kapı sundu.

2023’ten itibaren, çalışanlara ekstra maaşlar tanımlamaya başladı. Ancak bu paralar gerçekte kimseye değil, kendi hesabına yatıyordu. Daha sonra bu işlemlerin izini sistemden siliyor, hiçbir şey olmamış gibi davranıyordu.

Bu yöntemle iki yıl boyunca maaş üstüne maaş yazdırdı. Lüks hayatı da dikkat çekmeye başladı: tasarım kıyafetler, marka çantalar, pahalı takılar ve Malta’da gayrimenkuller…

Bir mali denetimde tutarsızlıklar fark edildi. Ardından yapılan iç soruşturmayla işin ucu Farrugia’ya dayandı. Sadece bordro sorumlusu değilmiş; aynı zamanda yerel bir politikacıymış. Bu da dosyayı daha da büyüttü.

Farrugia, 14 Ağustos 2025’te mahkemeye çıktı. Mahkeme onu 50 bin Euro kefaletle serbest bıraktı. Ancak soruşturma halen devam ediyor ve kamuoyunda tepkiler büyüyor.

“LOGİN” Mİ DEDİN? ŞİFREMİZ: 123456

Ne Oldu?

Bir güvenlik araştırmacısı, McDonald’s’ın global dijital platformlarında çok sayıda ciddi güvenlik açığı keşfetti. Üstelik şirkete ulaşmak için dedektiflik yapması gerekti.

Nasıl Oldu?

Etik hacker bobdahacker, McDonald’s mobil uygulamasında bonus puan sisteminin backend doğrulaması olmadığını fark etti. Bu açık sayesinde puanlar yapay olarak artırılabiliyor ve bedava menüler sipariş edilebiliyordu.

İlk şoku atlattıktan sonra araştırmaya devam etti ve McDonald’s’ın 120 ülkede kullanılan pazarlama materyali platformu Feel-Good Design Center'a ulaştı. Burada işler daha da ilginçleşti:

• Platform, sadece istemci tarafında bir parola ile “korunuyordu”.
• URL’deki “login” ifadesini “register” ile değiştiren herkes iç hesap oluşturabiliyordu.
• Şifre? Doğrudan maille geliyordu.
• JavaScript’te açıkta duran API anahtarları ve gizli token’lar da cabası.

Yetmedi, bu açıklardan biri sayesinde siteye Shrek görseli yerleştirildi.

Peki McDonald’s ne yaptı? İletişim için gereken security.txt dosyası bile eksikti. bobdahacker, LinkedIn’den bulduğu güvenlik uzmanlarının adını vererek şirketin merkeziyle telefon trafiğine girmek zorunda kaldı.

Nihayet biri dönünce açıklar bildirildi ama sistemin tamamen güvenli hale gelmesi 3 ay sürdü. Bu süre boyunca kullanıcı verileri, platform kontrolü ve marka imajı riske açık kaldı.