Tiktok ile ilgili Siber güvenlik dünyasında dikkat çeken yeni bir iddia gündeme geldi. “Often9” takma adını kullanan bir tehdit aktörü, karanlık web üzerindeki popüler bir veri ticaret forumunda 428 milyon benzersiz TikTok kullanıcısına ait olduğunu ileri sürdüğü bir veri setini satışa çıkardı. Gönderisinde, verilerin kullanıcı kimlikleri, e-posta adresleri, telefon numaraları ve hesap bayrakları gibi detayları içerdiğini belirtiyor.
Bu durum, özellikle sosyal medya platformlarının güvenliği ve kullanıcı gizliliği açısından yeni soruları gündeme getiriyor. Peki, bu veri sızıntısı gerçekten TikTok’un sistemlerinden mi kaynaklanıyor, yoksa daha önceki ihlallerden derlenen sahte bir koleksiyon mu?
“Often9” İsimli Tehdit Aktörü
Söz konusu veri ihlali, 29 Mayıs 2025 tarihinde bir siber suç forumunda paylaşıldı. Gönderinin başlığı “TikTok 2025 İhlali – 428 Milyon Benzersiz Satır” şeklindeydi. İhlali duyuran kişi, forumun yeni üyelerinden biri ve bu tür ortamlarda itibar kazanmak adına oldukça agresif bir pazarlama dili kullanıyor.
Gönderide yer alan bilgiler arasında şunlar yer alıyor:
-
TikTok kullanıcı kimlikleri
-
Kullanıcı adları ve takma adlar
-
Hesapların gizlilik durumu, doğrulama ve satıcı bayrakları
-
Takipçi, takip edilen, beğeni, video ve arkadaş sayıları
-
E-posta adresleri ve cep telefonu numaraları
Bu tür bilgilerin bir arada sunulması, veri setinin yalnızca herkese açık profillerden kazınmış olmadığını, aynı zamanda iç sistemlere sızılmış olabileceğini düşündürüyor.
Tehdit Ne Kadar Gerçek?
Veri setinin doğrudan TikTok’un iç sistemlerinden mi geldiği, yoksa daha önceki sızıntılardan ve kazıma yöntemlerinden mi derlendiği konusu henüz netlik kazanmadı. Ancak uzmanların ilk incelemeleri bazı önemli ipuçları barındırıyor.
1. Verilerin Niteliği ve Erişim Kaynağı
Veri setinde yer aldığı iddia edilen alanların bir kısmı — örneğin e-posta adresleri ve telefon numaraları — TikTok’un mobil uygulaması ya da web arayüzünden elde edilemez. Bu durum, ya iç sistemlere erişim olduğunu ya da daha önceki veri ihlallerinden bir araya getirilmiş bir koleksiyonla karşı karşıya olduğumuzu gösteriyor.
Buna rağmen, örnek veri setinde birçok girişin bu hassas alanları boş bıraktığı gözlemleniyor. Bu da, verilerin kamuya açık profillerden kazındığı ve eksik bilgilerin rastgele ya da tahminle doldurulmuş olabileceği olasılığını güçlendiriyor.
2. Tehdit Aktörünün Geçmişi
“Often9” kullanıcı adı, foruma birkaç gün önce katılmış ve henüz hiçbir olumlu ya da olumsuz geri bildirim almamış. Siber suç forumlarında itibar her şeydir. Daha önce yüksek profilli sızıntılar gerçekleştirmiş, alıcıları memnun etmiş satıcılar “güvenilir” kabul edilir.
Yeni üyelerin ise genellikle abartılı iddialarda bulunarak dikkat çekmeye çalıştıkları bilinir. Nitekim benzer bir durum geçen hafta aynı forumda yaşanmıştı: 1,2 milyar Facebook kaydı olduğu iddia edilen bir gönderi kısa sürede sahte olduğu anlaşılınca kaldırılmıştı.
3. Örnek Verilerin Sorgulanması
Hackread.com tarafından yapılan analizlerde, paylaşılan örnek veri setinde bulunan e-posta adresleri, güvenlik araştırma platformu HaveIBeenPwned üzerinde çapraz kontrol edildi. E-posta adreslerinin büyük kısmı daha önce yaşanmış veri ihlallerinde de yer alıyor.
Bu durum, verilerin tamamen yeni bir ihlale ait olmadığı, büyük olasılıkla önceki sızıntılardan derlenmiş olabileceği düşüncesini destekliyor. Ancak bazı e-posta adresleri hiçbir önceki ihlalde görünmemiş, bu da veri setinde bazı yeni içeriklerin olabileceği ihtimalini gündeme getiriyor.
Veri Sızıntılarının Olası Tehditleri
Eğer bu iddialar doğruysa, yani TikTok’un iç sistemlerine gerçekten sızıldıysa, bunun sonuçları çok daha ciddi olabilir.
1. Kişisel Bilgi Güvenliği
Sızdırıldığı iddia edilen veriler, kullanıcıların kişisel bilgilerini (e-posta, telefon, kullanıcı adı gibi) içerdiği için kimlik hırsızlığı, hedefli kimlik avı (phishing) saldırıları, sosyal mühendislik ve spam kampanyaları gibi pek çok suistimale açık hale gelir.
2. Hedefli Nefret ve Manipülasyon Kampanyaları
TikTok gibi genç kullanıcı kitlesine sahip sosyal platformlarda hassas verilerin kötü niyetli kişilerce kullanılması, kullanıcıları hedef alan nefret kampanyalarına, manipülasyonlara ve dijital şiddet eylemlerine zemin hazırlayabilir.
3. Kurumsal Güvenin Zedelenmesi
Eğer sızıntının TikTok’un iç sistemlerinden kaynaklandığı kanıtlanırsa, bu durum firmanın güvenlik altyapısını ve kullanıcı verisi yönetimini doğrudan sorgulatır. Bu da küresel çapta regülasyonlara ve kullanıcı güveninin zedelenmesine yol açabilir.
TikTok Tarafından Henüz Resmî Açıklama Yok
Yazının kaleme alındığı tarih itibarıyla TikTok’tan söz konusu iddiaya dair herhangi bir resmî açıklama yapılmadı. Daha önce, 2022 yılında benzer bir iddia gündeme gelmiş, 2 milyar kullanıcıya ait veri sızdırıldığı öne sürülmüştü. Ancak şirket bu iddiaları yalanlamış, herhangi bir sistem ihlali yaşanmadığını belirtmişti.
TikTok’un bu defa nasıl bir yanıt vereceği, verilerin gerçekliğiyle ilgili soru işaretlerini gidermede belirleyici olacak.
Gerçek mi, Manipülasyon mu?
İddianın ciddi sonuçlar doğurabilecek mahiyette olmasına karşın, elimizdeki veriler bu sızıntının gerçekten TikTok’un iç sistemlerinden kaynaklandığını kesin olarak kanıtlayamıyor.
-
Verilerin önemli bir kısmı halka açık kaynaklardan kazınabilir nitelikte.
-
Hassas bilgiler içeren alanlar çoğunlukla boş veya geçmiş ihlallerden bilinen adreslerle dolu.
-
Tehdit aktörü yeni ve deneyimsiz görünüyor.
-
Forumun geçmişi de sahte sızıntı olaylarıyla dolu.
Dolayısıyla, bu ihlale şimdilik temkinli yaklaşmak en doğrusu. Siber güvenlik uzmanları, bu tür büyük çaplı veri ihlali iddialarının bağımsız araştırmalarla ve teknik analizlerle desteklenmedikçe doğrudan doğru kabul edilmemesi gerektiği konusunda hemfikir.
Kullanıcılara Ne Önerilir?
Her ne kadar iddialar henüz doğrulanmamış olsa da, bireysel kullanıcıların aşağıdaki önlemleri alması faydalı olacaktır:
-
TikTok şifrelerini düzenli olarak güncellemek
-
İki faktörlü kimlik doğrulamayı (2FA) aktif etmek
-
Tanımadığınız kişilerden gelen mesajlara karşı dikkatli olmak
-
Özellikle e-posta ve SMS yoluyla gelen kimlik avı içeriklerine karşı bilinçli davranmak
-
TikTok hesap etkinliklerini düzenli aralıklarla kontrol etmek
Gerçek Sızıntı mı, Büyük Bir Aldatmaca mı?
Tehdit aktörünün iddiaları teknik olarak mümkün olsa da, şu an için ellerinde bulunan verinin büyük bir kısmı kamuya açık bilgilerin derlenmiş hali gibi duruyor. Gerçek bir sistem ihlali söz konusuysa, bunun hem kullanıcı gizliliği hem de TikTok’un itibarı açısından ağır sonuçları olacaktır.
Ancak elimizdeki kanıtların yetersizliği, bu iddiaları şimdilik “kanıtlanmamış” ve “kuşkulu” kategorisine yerleştiriyor.
Kamuoyunun ve uzmanların dikkatle izlediği bu sürecin nasıl sonuçlanacağı, TikTok’un resmi açıklamaları ve bağımsız güvenlik analizleriyle netlik kazanacaktır. O zamana kadar, kullanıcıların bilgilerini korumaya yönelik temel dijital hijyen uygulamalarını ciddiyetle sürdürmeleri gerekmektedir.
TikTok Veri İhlali İddiası, 428 Milyon Kayıt Gerçek mi, Manipülasyon mu? yazısı ilk önce BeeTekno | Güncel Teknoloji Haberleri ve İncelemeler yayınlanmıştır.