Veri Mahzeninin Kırık Anahtarı: SQL Injection ve KVKK Kıskacındaki İhlaller
Nisan 6, 2026
Ağ Güvenliği,KVKK,Siber Savunma
Dijital dünyada kurulan her web sitesi, her mobil uygulama ve her e-ticaret platformu devasa bir kütüphanenin vitrini gibidir. Vitrinde gördüğümüz ürünler, kullanıcı profilleri veya banka bakiyeleri aslında arka planda çalışan ve “Veritabanı” (Database) adı verilen son derece düzenli, devasa elektronik mahzenlerde saklanır. Uygulama ile bu mahzen arasındaki iletişim ise SQL (Yapılandırılmış Sorgu Dili) adı verilen özel bir dille sağlanır. Uygulama, kullanıcının talebini alır, SQL diline çevirir ve mahzenin kapısındaki nöbetçiye (veritabanı sunucusuna) iletir. Ancak bu nöbetçi son derece itaatkar, hızlı ve maalesef oldukça saftır; kendisine gelen emrin kimden geldiğini sorgulamaz, sadece uygular. İşte SQL Injection saldırıları, bu saf itaatin ve tercüman (uygulama) hatasının kusursuz bir şekilde sömürülmesidir. Bu sömürü sonucunda mahzenin kapıları ardına kadar açıldığında ise konu artık sadece siber güvenliğin değil, doğrudan hukukun ve yasaların alanına girer.
Veritabanıyla Fısıldaşmak: SQL Injection'ın Teknik Anatomisi
Bir web sitesine giriş yaparken kullanıcı adı ve şifrenizi yazdığınız kutucukları düşünün. Siz oraya adınızı yazdığınızda, arka plandaki yazılım veritabanına şu emri gönderir: “Gelen bu ismi ve şifreyi kayıtlarla karşılaştır, eşleşiyorsa kapıyı aç.” SQL Injection zafiyetinde saldırgan, bu kutucuğa sadece adını yazmaz. Adının yanına, veritabanının anlayacağı dilden gizli bir emir daha ekler. Eğer yazılım (uygulama), kullanıcının girdiği bu metni zararlı komutlardan arındırmadan (filtrelemeden) doğrudan veritabanına iletirse felaket başlar. Saldırganın yazdığı metin, bir veri olmaktan çıkıp çalıştırılabilir bir kurala dönüşür.
Saldırgan veritabanına zekice bir mantık oyunu oynar. Örneğin giriş kutusuna öyle bir ifade yazar ki, bu ifade veritabanı dilinde “Kullanıcı adı şu olanı bul VEYA bir sayısı bir sayısına eşitse kapıyı aç” anlamına gelir. Veritabanı nöbetçisi bakar; kullanıcı adını bulamasa bile bir sayısının her zaman bir sayısına eşit olduğu o evrensel matematiksel gerçeği görür. Şartlardan biri sağlandığı için emri yerine getirir ve saldırganı, hiçbir şifre bilmeden sistemin en yetkili kullanıcısı (genellikle yönetici) olarak içeri alır.
Sızıntının Boyutları: Bir Hatadan Devasa Bir Faciaya
İçeri sızmak, SQL Injection’ın sadece ilk aşamasıdır. Asıl yıkım, veri sızıntısı (Exfiltration) evresinde gerçekleşir. Yetkili bir konuma geçen saldırgan, artık sadece kendi bilgilerini değil, mahzendeki tüm rafları talep edebilir.
Zafiyetli bir arama kutusuna veya bir URL parametresine yerleştirilen görünmez komutlar sayesinde, sistemdeki diğer tablolar ekrana çağrılır. Saldırgan; milyonlarca müşterinin adını, soyadını, T.C. kimlik numarasını, ev adreslerini, kredi kartı numaralarının son hanelerini ve geri döndürülemeyecek şekilde şifrelenmemişse parolalarını satır satır kendi bilgisayarına kopyalamaya başlar. Yıllar boyunca toplanan, işlenen ve kuruma güvenilerek emanet edilen bu devasa veri yığını, sadece saniyeler içinde karanlık ağda (Dark Web) satılmaya hazır bir dosyaya dönüşür. Sızma testi raporlarında bu zafiyetin “Kritik” (Critical) seviyede işaretlenmesinin temel nedeni, sistemin tamamen ele geçirilmesine ve tüm verinin kopyalanmasına sunduğu bu sınırsız imkandır.
Hukuki Çarpışma: KVKK Kapsamında "Veri İhlali" Nedir?
Bir saldırganın veritabanından bilgi çalması, teknik bir olaydır. Ancak çalınan bu bilgilerin içinde gerçek insanlara ait izler varsa, olay anında hukuki bir boyut kazanır. Türkiye’de yürürlükte olan 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan her türlü bilgiyi “Kişisel Veri” olarak tanımlar. (Ad, soyad, telefon, IP adresi, konum, sağlık verisi vb.)
KVKK’ya göre, bu verileri toplayan ve saklayan her şirket bir “Veri Sorumlusu”dur. Kanunun 12. Maddesi, veri sorumlusuna çok net bir görev yükler: Kişisel verilerin hukuka aykırı olarak erişilmesini ve işlenmesini önlemek için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak zorundasın.
Dolayısıyla bir sistemin hacklenmesi ve verilerin dışarı sızması, sadece bir “kaza” veya “şanssızlık” olarak değerlendirilmez. Bu durum, veri sorumlusunun yasadaki bu temel güvenlik yükümlülüğünü yerine getiremediğinin, yani bir “Veri İhlali” yaşandığının somut bir göstergesidir.
Bir SQLi Saldırısı Ne Zaman Doğrudan İhlal Sayılır?
Bir saldırganın veritabanından bilgi çalması, teknik bir olaydır. Ancak çalınan bu bilgilerin içinde gerçek insanlara ait izler varsa, olay anında hukuki bir boyut kazanır. Türkiye’de yürürlükte olan 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan her türlü bilgiyi “Kişisel Veri” olarak tanımlar. (Ad, soyad, telefon, IP adresi, konum, sağlık verisi vb.)
KVKK’ya göre, bu verileri toplayan ve saklayan her şirket bir “Veri Sorumlusu”dur. Kanunun 12. Maddesi, veri sorumlusuna çok net bir görev yükler: Kişisel verilerin hukuka aykırı olarak erişilmesini ve işlenmesini önlemek için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak zorundasın.
Dolayısıyla bir sistemin hacklenmesi ve verilerin dışarı sızması, sadece bir “kaza” veya “şanssızlık” olarak değerlendirilmez. Bu durum, veri sorumlusunun yasadaki bu temel güvenlik yükümlülüğünü yerine getiremediğinin, yani bir “Veri İhlali” yaşandığının somut bir göstergesidir.
İhlal Sonrası Tsunami: Bildirim Yükümlülüğü ve Yaptırımlar
Veri ihlali gerçekleştiğinde şirketler için kabus yeni başlar. KVKK kurallarına göre, bir veri ihlali tespit edildiği andan itibaren kurumun en geç 72 saat içinde durumu Kişisel Verileri Koruma Kurumu’na (Kurul’a) ve etkilenen ilgili kişilere bildirmesi yasal bir zorunluluktur. Bu sürenin aşılması veya olayın örtbas edilmeye çalışılması, verilecek cezayı katlayarak artırır.
Kurul, yapılan inceleme sonucunda şirketin teknik (Firewall, IPS, güvenli kodlama, şifreleme vb.) ve idari (çalışan eğitimleri, sızma testleri) tedbirleri almadığına kanaat getirirse, milyonlarca Türk Lirasına varan idari para cezaları keser. Ancak çoğu şirket için asıl ceza, bu ihlal kararının Kurul’un web sitesinde tüm detaylarıyla kamuoyuna duyurulmasıdır. “Müşteri verilerini çaldırdı” damgası, markanın yıllarca inşa ettiği güveni bir gecede yerle bir eder, hisse senetlerinde düşüşe ve toplu müşteri kaçışlarına yol açar.
Sonuç
SQL Injection, bir kod parçasındaki basit bir filtreleme eksikliğinin, nasıl devasa bir hukuki ve finansal çığa dönüşebildiğinin en çarpıcı örneğidir. Siber güvenliğin artık sadece bilgisayarları korumak değil; markaların saygınlığını, şirketlerin kasasını ve en önemlisi masum insanların dijital mahremiyetini korumak anlamına geldiği bir çağda yaşıyoruz. Yazılım geliştirenlerin ve bu sistemlerin güvenliğini test edenlerin, klavyeden çıkan her satır kodun veya buldukları her bir zafiyetin aynı zamanda hukuki bir
Tags :
#GDPR,#KVKK,#SiberSavunma,#SQLi,#SQLInjection,#Veriİhlali,#VeritabanıGüvenliği,#WebGüvenliği
Share This :