Electronic Frontier Foundation, hazırladığı yeni raporunda yılın en büyük veri sızıntılarını seçti.
2025’te milyonlarca insanın kişisel bilgileri siber saldırılar, hatalı yapılandırmalar ve üçüncü taraf açıkları nedeniyle ele geçirildi.
Electronic Frontier Foundation, hazırladığı ilgili raporunda en büyük veri sızıntılarını seçti.
Raporun mesajı son derece ciddi: Şirketler hâlâ gereğinden fazla veri topluyor, uzun süre saklıyor ve yeterince korumuyor.
Analitik şirketinden mesajlaşma devine: Büyük ihlaller
Mixpanel: Kullanıcıların haberi bile yoktu
Veri analitiği şirketi Mixpanel, yılın en dikkat çeken ihlallerinden birine imza attı. Kasım ayında yaşanan saldırıda, Mixpanel’in yazılımını kullanan uygulamaların kullanıcılarına ait veriler sızdırıldı. Olaydan Ring Doorbell ve PornHub gibi platformların geçmiş kullanıcı kayıtlarının da etkilendiği ortaya çıktı.
En büyük sorun ise, kullanıcıların çoğunun Mixpanel’le doğrudan bir ilişkisi bile olmamasıydı. Şeffaflıktan uzak açıklamalar sonrası OpenAI, Mixpanel ile çalışmayı bıraktı.
Discord: Yaş doğrulama kabusu
200 milyondan fazla aktif kullanıcısı olan Discord’da, yaş doğrulama kapsamında toplanan veriler sızdırıldı.
Gerçek isimler, selfie’ler, kimlik belgeleri, adresler, telefon numaraları ve hatta sınırlı ödeme bilgileri saldırganların eline geçti. İhlalin kaynağı Discord değil, müşteri destek hizmeti aldığı üçüncü taraf şirket Zendesk’ti. Ancak bedeli yine kullanıcılar ödedi.
Flört uygulamaları ve sağlık verileri alarm verdi
Tea ve TeaOnHer: Kimlikler, selfie’ler, özel mesajlar
Kadınlar için flört güvenliği sunan Tea uygulaması, yıl içinde iki ayrı büyük veri ihlali yaşadı. Kimlik fotoğrafları ve selfie’lerin yanı sıra, kürtaj planlaması gibi son derece hassas mesajlar sızdırıldı. Benzer bir uygulama olan TeaOnHer’da da kullanıcı e-postaları, kimlikler ve hatta yönetici giriş bilgileri herkese açık halde bulundu.
Blue Shield: Sağlık verileri Google’a aktı
Kaliforniya’nın büyük sağlık sigortası şirketlerinden Blue Shield, web sitesinde yanlış yapılandırılan Google Analytics nedeniyle 4,7 milyon kişinin sağlık verisini Google ile paylaştığını kabul etti. İsimler, sigorta planları ve sağlık hizmeti bilgileri yaklaşık üç yıl boyunca fark edilmeden aktarıldı.
Eğitim, kredi ve teknoloji devleri de listede
PowerSchool: 60 milyon öğrenci ve öğretmen
ABD’de okullarda yaygın olarak kullanılan PowerSchool sistemine yapılan saldırıda, 60 milyondan fazla öğrenci ve öğretmenin sosyal güvenlik numaraları, sağlık bilgileri ve notları ele geçirildi. Şirketin temel güvenlik önlemlerini uygulamaması, davalara yol açtı.
TransUnion: Kredi bürosunda üçüncü taraf açığı
Kredi raporlama devi TransUnion’da 4,4 milyon kişinin bilgileri sızdı. Saldırı, şirketin kullandığı üçüncü taraf bir destek uygulaması üzerinden gerçekleşti.
Microsoft: SharePoint sıfırıncı gün açığı
Microsoft’un SharePoint yazılımındaki kritik bir güvenlik açığı, aralarında ABD Ulusal Nükleer Güvenlik İdaresi’nin de bulunduğu 400’den fazla kurumu etkiledi. Saldırının Çin bağlantılı hacker gruplarıyla ilişkili olduğu açıklandı.
Konum verileri ve stalker yazılımları
Gravy Analytics: Günlük 1 milyar telefon
Çoğu insanın adını bile duymadığı Gravy Analytics adlı veri brokeri, milyonlarca kişinin konum geçmişini kaybetti. Sızan veriler; askeri personelin, hamilelik uygulaması kullanıcılarının ve LGBTQ+ bireylerin tespit edilebilmesine imkân tanıyacak kadar hassastı.
Catwatchful: Takip yazılımı felaketi
“Çocuk izleme uygulaması” olarak pazarlanan Android casus yazılımı Catwatchful’da, 26 bin mağdurun fotoğrafları, mesajları ve canlı konum verileri açığa çıktı. Benzer stalker yazılımlarında da yıl boyunca çok sayıda ihlal yaşandı.
Mahkemeler, otomobiller ve eğlence platformları
Federal mahkeme kayıt sistemi PACER’da yaşanan sızıntı, gizli muhbir isimlerinin açığa çıkmış olabileceği endişesini doğurdu. Tesla araçlarını takip eden TeslaMate yazılımında ise araçların anlık konumu ve yolculuk bilgileri internete açık halde bulundu. Plex platformu, ikinci kez kullanıcı parola verilerinin sızmasıyla gündeme geldi.
2025 rakamları ürkütücü
Rapora göre, 2025’in ilk 10 ayında 2 bin 563 veri ihlali yaşandı. Bu sayı, yılı şimdiye kadarki en kötü yıllardan biri yapmaya aday.
Salesforce, Oracle, WhatsApp, Adidas, Louis Vuitton, McDonald’s ve Coinbase gibi çok sayıda dev şirket de “onur kırıcı” listeye girdi.
Uzmanlar uyarıyor: Ne yapılmalı?
Uzmanlara göre çözüm net:
- Şirketler yalnızca gerçekten ihtiyaç duydukları verileri toplamalı
- Güçlü güvenlik önlemleri standart hale gelmeli
- Kapsamlı bir federal gizlilik yasası çıkarılmalı
- Vatandaşlara, veri ihlallerinde şirketlere karşı dava açma hakkı tanınmalı
Bireyler içinse temel önlemler değişmiyor: her hesap için farklı şifreler, iki aşamalı doğrulama, kullanılmayan hesapları silme gibi adımlar, dijital çağda kişisel güvenliğin asgari şartları haline gelmiş durumda.