Tümay TUĞYAN

‘Kuzey Kıbrıs Türk Cumhuriyeti’nde devlet sağlık hizmetiyle herhangi bir şekilde temas etmiş 364 bin 36 kişiye ait kişisel veriler, Türkçe’de “Karanlık Ağ” olarak da bilinen Dark web’deki bir hacker forumunda paylaşıldı.

Sağlık Bakanlığı’nı hedef aldığını belirten siber saldırganların 8 Ocak 2026’da paylaştığı dosyada 364 bin 36 yurttaşın; ad, soyadı, uyruk, kimlik numarası, pasaport numarası, yabancı kimlik numarası, cinsiyet, doğum tarihi, doğum yeri, KKTC adresi, yurt dışı adresi, anne adı, anne soyadı, baba adı, baba soyadı, telefon numarası, Adapass aşı kodu ve okul bilgileri gibi son derece hassas veriler yer alıyor.

Uzmanlar sızıntıyı doğruladı: ‘Üst düzey bir güvenlik krizi, kitlesel bir veri felaketi’

Hollanda’da bulunan ve adlarının saklı kalmasını isteyen siber güvenlik uzmanları, yaptıkları teknik inceleme sonucu sızıntının gerçek olduğunu YENİDÜZEN’e doğruladı.

Bu bilgilerin dolandırıcılık, kimlik hırsızlığı, sahte hat açma, hedefli telefon dolandırıcılığı, şantaj, takip, sosyal mühendislik ve kişilerin aile üyeleri üzerinden kandırılması gibi birçok suç için kullanılabileceğine dikkat çeken uzmanlar, bunun sıradan bir veri sızıntısı değil, yüz binlerce kişinin hayatını doğrudan etkileyebilecek seviyede bir üst düzey güvenlik krizi olduğunu ifade ediyorlar.

Dosyanın Dark Web’de kolayca ulaşılabileceğine dikkat çeken uzmanlara göre bu olay, kolayca geçiştirilebilecek, küçültülebilecek bir iddia değil; doğrulanmış, kitlesel bir veri güvenliği felaketi.

‘AIDS tanısı bulunan kişilere ait liste de elimizde’

Siber saldırganlar, KKTC Sağlık Bakanlığı kayıtlarında HIV/AIDS tanısı bulunan kişilere ait ayrı bir listenin de ellerinde olduğunu ileri sürüyor.

Bu listeyi paylaşmadıklarını yazmış olsalar da, bu listenin ellerinde olduğunun iddia edilmesi bile olayın boyutunu daha da ağırlaştıran bir durum. Çünkü bu, yüz binlerce kişinin sağlık geçmişine dair son derece kişisel hassas bilginin de sızdığı anlamına geliyor.

Veriler beş buçuk aydır yayında

İşin bir diğer vahim boyutu, verilerin yaklaşık beş buçuk aydır yayında olması. KKTC’de yüz binlerce kişinin en özel bilgileri, 8 Ocak 2026’dan bu yana Dark Web’de dolaşıyor. Bu noktada akla gelen iki ihtimal var: Ya sağlık bakanlığı yetkilileri bu sızıntıyı aylardır hâlâ fark etmedi, ya da fark ettikleri halde kamuoyuna açıklamadı. Her iki ihtimal de kabul edilebilir değil.

Forumda görünen bilgilere göre dosya en az 79 kez indirildi. Bu sayı yalnızca platformda görünen indirme sayısı. Dosyanın kimler tarafından indirildiği, kaç kez kopyalandığı, başka forumlara veya özel gruplara dağıtılıp dağıtılmadığı bilinmiyor. Bir kez indirilen böyle bir veri artık tek bir dosya olmaktan çıkıp, çoğaltılabilen, satılabilen, arşivlenebilen ve yıllarca kullanılabilecek bir tehdide dönüşüyor.

Bu veriler Dark Web’de yayınlandığı için artık tamamen geri alınabilir değil. Bir bağlantı kapatılsa bile dosyanın kopyaları başka kişilerde, başka sunucularda ve başka platformlarda kalabiliyor. Uzmanlara göre bu artık herkesin kişisel bilgilerinin herkes tarafından bilinmesi ve birçok kişinin özel hayatının geri döndürülemez şekilde ihlal edilmesi anlamına geliyor.

Çocuklar da etkilenmiş durumda

Sızıntının en korkutucu taraflarından biri de bunun sadece yetişkinleri ilgilendirmemesi. Veri setinde okul bilgisi, doğum tarihi, aile isimleri ve Adapass aşı kodları gibi alanların bulunması, çocukların ve öğrencilerin de bu sızıntıdan etkilendiğini gösteriyor. Bir çocuğun kimlik numarası, anne-baba adı, adresi, okulu ve sağlık bağlantılı bilgileri aynı dosyada yer alıyorsa, bu yalnızca mahremiyet ihlali değil, doğrudan bir güvenlik riski.

Sahte profil

Paylaşımı yapan saldırganlar, forumdaki profillerinde konuyla ilgisi olmayan bir akademisyenin fotoğrafını kullandıkları belirtilen sahte bir profil üzerinden hareket ediyor. Bu kişinin saldırıyla herhangi bir bağlantısı olduğuna dair bir bulgu yok. Bu da saldırganların yalnızca veri sızdırmakla kalmadığını, masum kişilerin görüntüsünü de manipülasyon amacıyla kullanabildiğini gösteriyor.

Demografik yapı da okunabilir hale geldi; 202 farklı uyruk

Bu dosya aynı zamanda KKTC nüfusu hakkında dışarıdan analiz yapılmasına da imkân veriyor. 364 bin 36 kişilik sağlık verisi, devlete ait sağlık sistemiyle temas etmiş kişi sayısını gösteriyor. Bu sayı doğrudan resmî nüfus sayımı anlamına gelmese de; de facto nüfus, yaş dağılımı, okul çağındaki kişiler, yabancı uyruklular, adres yoğunlukları ve kamu hizmeti kullanımı hakkında çıkarım yapılmasına olanak tanıyor. Başka bir deyişle saldırganlar yalnızca kişilerin özel bilgilerini değil, ülkenin demografik yapısını da okunabilir hale getirmiş durumda.

Forumun altındaki yorumlarda, sisteme kayıtlı 360 bin 36 kişi, uyruklarına göre de tasnif edilmiş. Buna göre KKTC Sağlk Bakanlığı sisteminde, 202 farklı uyruktan insan işlem yapmış. Günümüzde Birleşmiş Milletler’e üye ülke sayısının 193 olduğu dikkate alındığında, 202 farklı ülkenin vatandaşlarının bir şekilde KKTC sağlık sisteminden geçmiş olması da ayrıca düşündürücü.

‘340 bin giriş-çıkış verisi de elimizde’

Saldırganlar paylaşımda ayrıca, KKTC’ye girip çıkan yaklaşık 340 bin kişiye ait verilerin de ellerinde olduğunu iddia ediyorlar. Eğer bu iddia doğruysa, mesele yalnızca Sağlık Bakanlığı’yla sınırlı değil; ülkeye giriş-çıkış yapan kişilerin de izlenebilir hale geldiği çok daha geniş bir devlet güvenliği sorunundan söz ediyoruz.

AB’de olsaydık, devlet yüz milyonlarca Euro tutarında tazminat ödemek zorunda kalırdı

Veri setinin yalnızca KKTC vatandaşlarıyla sınırlı olmadığı, AB vatandaşlarına ait kayıtları da içerdiği görülüyor. Bu da olayı KKTC sınırlarının dışına taşıyor.

GDPR, yani Avrupa Birliği sınırları içerisinde ikamet eden bireylerin kişisel verilerinin kuruluşlar tarafından nasıl ele alınması gerektiğini belirleyen kapsamlı bir AB gizlilik yasası.

Sıkı bir hesap verebilirlik ilkesini zorunlu kılan ve kişisel bilgileriniz üzerindedoğrudan haklara sahip olmanızı sağlayan GDPR, ancak yalnızca ‘AB vatandaşı’ olmayı değil, aynı zamanda kişisel verinin nerede ve kim tarafından işlendiğini de dikkate alıyor.

Bu nedenle AB üye ülkelerinde yaşayan kişiler, AB bağlantılı veri sorumluları veya AB’deki kişilere yönelik hizmetlerle bağlantılı kayıtlar söz konusuysa, bu sızıntı Avrupa veri koruma hukukunu da ilgilendirebilir.

GDPR kapsamında sağlık verileri özel nitelikli kişisel veri sayılıp çok daha sıkı korunduğundan, eğer böyle bir olay Avrupa Birliği’nde yaşansaydı, etkilenen kişiler maddi ve manevi zarar için tazminat talep edebilirdi.

AB’de kişi başına sabit bir tazminat rakamı olmamakla birlikte, miktar ülkeye, zararın niteliğine ve mahkemenin değerlendirmesine göre değişir.

Kişi başı 1000 Euro gibi düşük bir miktar üzerinden basit bir hesap yapılsa bile, yaklaşık 364 milyon Euro tutarında bir tazminat miktarından bahsediyor olurduk ki bu hesap bile, olayın ekonomik boyutunun ne denli büyük olabileceğini gösteriyor.

2020 yılında Finlandiya’da yaşanan Vastaamo Psikoterapi Merkezi veri sızıntısı, on binlerce hastanın hassas psikoterapi kayıtlarının çalındığı ve şantaj amacıyla kullanıldığı tarihin en büyük siber güvenlik skandallarından biri olarak biliniyor. Bu skandalın ortaya çıkması sonucu kurum, ciddi para cezaları ve tazminat süreçleriyle karşı karşıya kaldı.

Konuya devletin de bir şekil dahil olduğu durumlardaysa, sadece ekonomik sonuçların değil, siyasi sonuçların da devreye girdiğinin en yakın örneklerinden biri ise, İsveç’te 2017 yılında yaşanan Ulaştırma Dairesi (Transportstyrelsen) skandalı.

İsveç Ulaştırma Dairesi'nin IT altyapısını IBM'e devretmesi ve gizli verilerin güvenlik taramasından geçmemiş Doğu Avrupalı taşeron çalışanların erişimine açılmasıyla patlak veren veri skandalında, dönemin İçişleri Bakanı Anders Ygeman ve Altyapı Bakanı Anna  Johansson, istifa etmek durumunda kaldı.

Asıl soru

KKTC’de yüz binlerce kişinin kimlik bilgisi, adresi, telefonu, aile bilgisi, okul bilgisi ve sağlık sistemiyle bağlantılı verileri çalınıp, aylarca Dark Web’de dururken, yetkililer neredeydi?

Ve devlet bundan sonra, bu kişileri korumak için ne yapacak?

Uzmanlara göre bu olay yalnızca bir siber güvenlik açığı değil. Bu aynı zamanda, devletin elindeki en hassas verilerin korunamadığını gösteren tarihi ölçekte bir kamu güvenliği krizi.

Vatandaşların, çocukların, hastaların, öğrencilerin bilgileri Dark Web’de indirilebilir hale geldiyse, uzmanlara göre burada artık ‘teknik aksaklık’ değil, ‘kurumsal sorumluluk’ konuşulmalı.

Bu dosya artık Dark Web’de!

Yani mesele yalnızca ‘Sistemi kim hackledi?’ meselesi değil, etkilenen kişilerin bundan sonra nasıl korunacağı!