Nisan ayında, Siber Günlük’ün alışılmışın dışına çıkan çok özel bir sayısıyla karşınızdayız. Siber dünyanın en komik ve paradoksal olaylarından bir derleme hazırladık: Kendi eliyle veri sızdıran güvenlik yöneticileri, tek bir fotoğrafla kaybolan kripto paralar ve yapay zeka yardımıyla "casus" haline gelen robot süpürgeler...

İbretlik hikayelerin tüm detayları aşağıda. Keyifli okumalar!

SORUŞTURMANIN İLK KURAL, KENDİNİ YAKALAMAMAK

Ne oldu?

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) Başkan Vekili, kurumsal belgeleri ChatGPT’ye yükledi.

Nasıl oldu?  

CISA’nın başında bulunan Madhu Gotumukkala, geçen yaz “Sadece Resmî Kullanıma Özel” (For Official Use Only) etiketli en az dört belgeyi ChatGPT’ye yükledi. Bu belgeler devlet sırrı içermiyordu, ancak kamuya açıklanmaması gereken hizmet içi bilgileri kapsıyordu.

Bu işlem, devlet verilerinin sızmasını önlemek için tasarlanmış otomatik güvenlik sensörleri tarafından kaydedildi. Olay Ağustos ayında fark edildi ve ardından ABD İç Güvenlik Bakanlığı (DHS) olası hasarı değerlendirmek için bir inceleme başlattı.

Normalde CISA çalışanlarının iş cihazlarında OpenAI sohbet botuna erişimi engelli. Çalışanlar, bakanlık tarafından onaylanmış ve verileri federal ağların dışına çıkarmayan DHSChat gibi özel araçları kullanabiliyorlar. 

Ancak Gottumukkala, göreve gelir gelmez bu erişimin kendisi için yetersiz olduğuna karar verdi. Özel bir izin talep etti – kurum bu izni bazı çalışanlara kısıtlı bir süre için veriyor. Mayıs ayında yetkiyi alan Başkan Vekili, Yapay Zeka aracı en son Temmuz ortasında kullandı.

Daha sonra CISA Halkla İlişkiler Direktörü Marci McCarthy, Gotumukkala’nın “İç Güvenlik Bakanlığı’nın kontrol önlemlerine uyarak ChatGPT’yi kullanma izni aldığını” açıkladı. Yine de bu durum, ajansın uzmanlık alanı ve kendisinin üst düzey konumu düşünüldüğünde, kapalı verileri halka açık bir servise göndermesini engellemedi – ki bu durum trajikomik bir tezat oluşturuyor.

Üst düzey yöneticilerin her zaman daha fazla yetkisi, kritik sistemlere ve gizli bilgilere daha geniş erişimi vardır; dolayısıyla neden olabilecekleri potansiyel zarar da çok daha büyüktür. Bu nedenle üst yönetimi “özel kontrol grubu” olarak sınıflandırmak, hangi verilerle çalıştıklarını, hangi servis ve sitelere eriştiklerini bilmek gerekir. Bir yöneticinin dikkatsizce attığı tek bir tıklama, tüm güvenlik biriminin emeğini boşa çıkarmamalı.

DURUP DURURKEN BAŞIMIZA İŞ ALDIK

Ne oldu?

Saldırganlar, internete açık bırakılan yerel yapay zeka (AI) sunucularından faydalanarak devasa bir kaynak sızıntısı gerçekleştirdi.

Nasıl oldu?  

Ollama, yerel yapay zekâ modellerini çalıştırmak için kullanılan ücretsiz bir araçtır. Ancak araştırmacılar dünya çapında Ollama üzerinde dağıtılmış ve internetten erişilebilir durumda olan 175.000’den fazla sistem tespit etti. Sebep oldukça basit: Ollama varsayılan olarak yalnızca yerel arayüzde (localhost) çalışacak şekilde yapılandırılmıştır.

Ancak kullanıcılar, tüm ağ arayüzlerini dinlemek için ayarları manuel olarak değiştirmiş ve bu sırada herhangi bir kimlik doğrulama ya da şifreleme eklememişlerdir. Sonuç olarak, dileyen herkes bu sunuculara bağlanıp kaynaklarını kullanabilir hale gelmiştir.

Bu fenomene LLMjacking adı verildi. Fırsatçılar bu tür sunucuları bulup; işlemci güçlerini, internet trafiklerini ve elektriklerini kendi görevleri için (yoğun kaynak isteyen modeller çalıştırmaktan, "gri" bir yapay zeka hesaplama pazarı oluşturmaya kadar) kullanıyorlar.

Bu sistemlerin çoğu, yerleşik IP adresleri kullanıyor – yani veri merkezleri üzerinden değil, sıradan ev bağlantıları üzerinden çalışıyor. Bu da takibi zorlaştırıyor; çünkü cihaz bir sunucu odasında değil, birinin evindeki çalışma masasında duruyor. Ayrıca, bu sunucuların bazılarında sansürsüz ve kısıtlamasız modellerin çalıştırılması, suistimal riskini daha da artırıyor. 

Önemli bir nokta: Ollama platformunun kendisinde kritik bir güvenlik açığı yok. Olayların sebebi, riskler dikkate alınmadan yapılan manuel konfigürasyon değişiklikleri. Sorunun çözümü ise varsayılan ayarlara dönmek ve ağ güvenliği önlemlerini kullanmak.

Olayın verdiği ders net: Sadece herkese açık yapay zeka platformlarına erişimi değil, yerel araçların nasıl kurulduğunu da denetlemek gerekiyor. Eğer bir çalışan iş laptop’una yerel bir model kuruyorsa, bu durum mutlaka dikkate alınmalı. Bu tür araçlar "herkes kendi kendinin yöneticisi" mantığıyla değil; merkezi bir kimlik doğrulama ve izleme sistemiyle devreye alınmalı. Ayarları tekrar kontrol etmekte de fayda var: localhost’u 0.0.0.0 değiştirmek bir saniye sürer, ancak sonuçları ağır olabilir.

ALT YÜKLENİCİ GİTTİ, ÜST DÜZEY KRİZ GELDİ

Ne oldu?

Bir alt-alt-alt-alt yüklenicinin yaşadığı veri sızıntısı, kötü niyetli kişilerin dünya çapında yaklaşık iki yüz havalimanının iç sistemlerine erişmesine ramak kalmasına neden oldu.

Nasıl oldu?  

Yazılım tedarik zinciri koruma platformu SVigil, yeraltı forumlarını izlerken bir alt yüklenicideki veri sızıntısını tespit etti. Havalimanının ana BT tedarikçisinin dördüncü seviye alt yüklenicisinde çalışan bir sistem mühendisinin kullanıcı adı ve şifresi internete sızdırıldı.

Bu bilgiler, 200'den fazla havalimanı tarafından kullanılan operasyonel destek portalına giriş yapmak için yeterliydi. Portalda iki faktörlü kimlik doğrulama (2FA) aktif edilmemişti.

SVigil uzmanları, bu sızıntı sayesinde altyapıya erişerek şunları gerçek zamanlı olarak görüntüleyebildi:

• İç adresleri ve rolleriyle birlikte sunucu ve ağ ekipmanı listeleri;
• Check-in kiosklarının, biniş kartı ve bagaj etiketi yazıcılarının durumu;
• Kritik düğümlerdeki işlemci, bellek ve disk yükleri;
• Yolcu hizmetlerine sunulan veri tabanlarının çalışma parametreleri.

Ayrıca arayüz üzerinden, havalimanlarının güvenli ağları içerisinde ağ tanımlama komutları çalıştırmak mümkündü. Eğer bu veriler siber saldırganların eline geçseydi; yoğun saatlerde terminalleri kilitleyebilir, bagaj ve uçuş eşleştirme sistemlerini durdurarak (bu sistem olmadan uçuşlar yasaktır) milyonlarca dolarlık zarara ve küresel çapta kaosa neden olabilirlerdi.

Havalimanlarında böyle bir ihmal yaşandığında, sonuç sadece milyonlarca maddi kayıp değil, insan hayatı da olabilir. Oysa tek yapılması gereken iki faktörlü kimlik doğrulamayı etkinleştirmekti.

SİHİRBAZLIK NUMARASI: KAYBOLAN MİLYONLAR

Ne oldu?

Güney Kore Vergi Dairesi, bir borçlunun kripto cüzdan şifresini kazara ifşa etti; sonuç olarak 4,8 milyon dolar bir anda buharlaştı.

Nasıl oldu?  

Koreli vergi memurları, vergi borçlularına yönelik baskınların sonuçlarını duyurmak için bir basın bülteni yayımladı. Özel çalışma grubu, yüzü aşkın vatandaştan yaklaşık 8 milyar won (yaklaşık 5,5 milyon dolar) değerinde varlığa el koymuştu. Bu varlıkların bir kısmı kripto paraydı.

Ancak yetkililer, el konulan eşyaların fotoğraflarını paylaşırken büyük bir hata yaptı: Kareye, üzerine seed phrase (kurtarma kelimeleri) yazılı olan bir Ledger donanım cüzdanı kartı da girmişti. Bu kelimeler, cüzdandaki tüm varlıklara hiçbir ek onay gerekmeden tam erişim sağlayan bir ana anahtardır.

Ertesi gün, bu cüzdandan toplam değeri 4,8 milyon dolar olan 4 milyon adet PRTG token'ı yok oldu. Parayı sızdırılan kelimeleri kullanan bir saldırganın mı yoksa cüzdan sahibinin kendisinin mi çektiği henüz netlik kazanmadı.

Hırsızın oldukça metodik davrandığı görülüyor: Önce işlem komisyonların ödemek için cüzdana küçük bir miktar Ethereum aktardı, ardından üç ayrı işlemle PRTG token'larını kendi kontrolündeki bir adrese çekti. Bu kişi henüz bulunamadı; gelişmeleri birlikte takip edeceğiz.

Burada hangisi daha komik karar vermek zor: Çekim sırasında kimsenin hatayı fark etmemesi mi, basın bülteni hazırlanırken gözden kaçması mı, yoksa yayımlanırken dikkat edilmemesi mi? Üç aşamalı bir denetim süreci var ve üçü de sınıfta kalmış.

Muhtemelen bu zincirdeki hiç kimse “seed phrase” nedir, neden bu kadar kritiktir ve ifşa olursa ne olur bilmiyordu. Ancak bu hatayı yapmamak için kripto uzmanı olmaya gerek yok; “iş belgelerini paylaşma” veya “paylaşılan görsellerdeki verileri maskele” gibi temel kuralları bilmek yeterli. Şirketinizdeki herkesin birer BT uzmanı olmasını beklemeyin. Anlaşılır güvenlik kuralları koyun ve tüm departmanlarda siber güvenlik okuryazarlığını artırın.  Çalışanlarınızın bu konuda nasıl eğitileceğine dair pratik ipuçları için göz atabilirsiniz.

BİLGİ DEĞİŞTİRİLEMEZ VE İADE EDİLEMEZ

Ne oldu?

Hollanda polisi, kendisine yanlışlıkla gönderilen gizli belgeleri silmeyi reddeden 40 yaşındaki bir adamı tutukladı.

Nasıl oldu?  

12 Şubat 2026'da Hollanda'nın Ridderkerk kasabasından bir kişi, polise başvurarak elinde bir soruşturmaya yardımcı olabilecek videolar olduğunu bildirdi. Görevli memur, videoları emniyetin iç portalına yüklemesi için adama bir bağlantı göndermek istedi. Ancak yanlışlıkla "dosya indirme" bağlantısını göndererek, yetkisiz bir kişiye gizli belgelere erişim imkanı sağladı.

Adam herhangi bir açık kullanmadı veya sisteme sızmadı; sadece kendisine gönderilen bağlantıya tıkladı ve bulduğu her şeyi indirdi. Polis durumu fark edip belgeleri silmesini istediğinde ise reddederek "karşılığında bir şeyler" talep etti. Emniyet teşkilatı sızıntının kendi hataları olduğunu kabul etse de, şahıs daha sonra "bilgisayar sistemine yetkisiz erişim" şüphesiyle tutuklandı.

Polisin açıklamasına göre; tutuklama, arama ve tüm veri depolama aygıtlarına el koyma işlemleri, "dosyaların güvenliğini sağlamak ve daha fazla yayılmasını önlemek" amacıyla yapıldı. Evet, bizzat kendi elleriyle sızdırdıkları o dosyaların...

Siber güvenlikteki tüm sorunlar hacklenmelerden veya sistem açıklarından kaynaklanmaz; çoğu zaman birinin basit dikkatsizliği yeterlidir. Bu tür olayları tamamen yok etmek imkansızdır, bu nedenle önlemi baştan almak gerekir.

Özellikle hassas veriler söz konusu olduğunda trafik kontrolü ve bilgi koruma sistemlerini devreye sokmak en iyisidir. Otomasyon, sızıntının kazara mı yoksa kötü niyetle mi olduğuna bakmaksızın engelleme yapabilir. Böylece, her güvenlik sisteminin en zayıf ve en öngörülemez halkası olan “insan faktörünü” devre dışı bırakmış oluruz.

HEPSİNE HÜKMEDECEK TEK ŞİFRE

Ne oldu?

Robot süpürgesinin iletişim protokollerini inceleyen bir meraklı kişi, beklenmedik bir şekilde dünya çapındaki 7.000'den fazla cihazın verilerine erişim sağladı.

Nasıl oldu?  

Programcı Sammy Azdufal, DJI Romo model robot süpürgesini bir PS5 kontrol cihazıyla yönetmeye karar verdi. Azdufal, Claude Code AI aracını kullanarak cihazın iletişim protokollerini analiz etti ve kendi yazılımını geliştirdi. Uygulama DJI sunucularına bağlandığında, 24 farklı ülkeden yaklaşık 7.000 robot süpürge bu çağrıya yanıt verdi.

Bu erişim sayesinde Sammy; kameralardan gerçek zamanlı görüntü izleyebiliyor, mikrofon kayıtlarını dinleyebiliyor ve evlerin kat planlarını görebiliyordu. Hatta Azdufal, seri numarası üzerinden bir “The Verge” muhabirinin robotunu tespit ederek hareketlerine dair detaylı bilgilere ulaştı.

Teknik neden oldukça basitti: DJI tarafından kullanılan MQTT (mesaj aracısı), içerideki bölümlere erişim yetkilerini kontrol etmiyordu. Tek bir cihaz token'ı ile kimlik doğrulaması yapıldıktan sonra, diğer tüm cihazların trafiği açık bir şekilde görülebiliyordu. Süpürgelerin yanı sıra, aynı altyapıyı kullanan DJI Power taşınabilir güç istasyonları da erişime açık hale geldi.

Olayın en dikkat çekici yanı, açığın bulunma yöntemiydi: Azdufal, mobil uygulamayı tersine mühendislik (decompilation) yöntemiyle incelemek ve kendi istemcisini oluşturmak için yapay zeka kullandı. Modern kod yazım araçları, bu tür araştırmaları yapmak (ve potansiyel olarak kötüye kullanmak) için gereken teknik eşiği her geçen gün düşürüyor.

Ne derler? “Paranoyak olmanız, takip edilmediğiniz anlamına gelmez” mi?. Ancak sizi takip eden istihbarat servisleri değil, kendi süpürgeniz olabilirmiş. Üstelik bu kasti bir durum da değil; sadece birileri erişim kontrolünü ayarlamayı unuttuğu için böyle. Akıllı cihazların her adımımızı izlediğine dair korku hikayeleri artık bayatladı. Ancak işte size somut bir kanıt: Tehdit hipotez değil, tamamen gerçek. Artık akıllı telefondan prize kadar her şey “akıllı”, ama bu işlevsellikle birlikte cihazların topladığı veri miktarı da artıyor. 

BU vakada erişim, geliştiricilerin yetki kontrolünü ayarlamayı unutması (veya belki de en kötü uygulama örneği olarak kodun içinde bir anahtar bırakması) nedeniyle açıldı. Bu açığı profesyonel hackerların değil, sıradan bir kullanıcının bulmuş olması durumu daha da çarpıcı kılıyor. Bir casusluk gerilim filmi gibi; oda haritaları, kamera görüntüleri, mikrofon kayıtları... Üstelik arkasında MI6 falan yok, sadece birkaç saatlik uğraş ve yapay zeka var. 

Sonuç olarak diyebileceğimiz tek şey şu: Akıllı evin konforu ile güvenlik arasındaki dengeyi herkes kendi bulmalı. 

İSPANYOL USULÜ "HER ŞEY DAHİL"

Ne oldu?

İspanyol bir genç, rezervasyon sistemindeki bir açığı bularak lüks otellerde sadece 1 Euro cent karşılığında konakladı.

Nasıl oldu?  

Genç bir İspanyol, büyük bir otel rezervasyon platformunun ödeme onay sistemini atlatmanın bir yolunu buldu. Keşfettiği açık sayesinde yaptığı rezervasyonlar sistemde tam ödenmiş görünüyordu; oysa gerçekte platform otellere sadece 1 Euro cent aktarıyordu.

Bu yöntemi defalarca kullanan genç, geceliği yaklaşık 1000 Euro olan odalarda kaldı. Üstelik sadece ücretsiz konaklamakla yetinmedi; oda servisinden ve minibardan yaptığı harcamaları da hiçbir ücret ödemeden gerçekleştirdi.

Rezervasyon platformu, otellere yapılan düzenli ödemeler ile beyan edilen tutarlar arasındaki tutarsızlığı fark edince durumu anladı. Şüpheli hareketleri takibe alan servis, polise başvurdu. Şubat 2026'da zanlı, Madrid'deki lüks bir otelde aynı yöntemi kullanarak kiraladığı odasında suçüstü yakalanarak tutuklandı. Sadece bu oteldeki toplam zararın 20 bin Euro olduğu tahmin ediliyor.

İspanyol Ulusal Polisi, bu yöntemle işlenen bir suçla ilk kez karşılaştıklarını belirtti. Şüpheli, bilişim sistemine yetkisiz erişim ve dolandırıcılıkla suçlanıyor.

Peki, tüm riskleri öngörmek ve şirketinizi her şeye karşı tamamen korumak mümkün mü? Muhtemelen hayır. Ama güvenliğin temel kuralı nettir: Elinizden gelenin en iyisini yapmak.