183 Milyon Gmail Kullanıcısının Şifresinin Sızdırıldığı Doğru mu?

Bilim & Teknoloji

İlk yayın :

5 Kasım 2025

Yazar:

Bilgehan Bilge

İddia şöyle;

Bir X hesabından 29 Ekim 2025’te paylaşılan gönderide 183 milyon Gmail kullanıcısının şifresinin sızdırıldığı iddia edildi.

Paylaşım 1.1 milyondan fazla gösterim aldı. İddia ulusal, uluslararası basında ve sosyal medyada yayılım gösterdi.

İddia YANLIŞ

Bu veri seti, birçok farklı siteden sızdırılmış üyelik bilgilerinin bir araya getirildiği 183 milyon kayıttan oluşuyor. Gmail adresleri çoğunlukta olsa da Outlook, Yahoo, kurumsal, resmi ve hatta askerî e-posta adresleri de bulunuyor.

Kayıtların yaklaşık 167 milyonu daha önce bilinen ihlallerden gelirken, 16,4 milyon adres ilk kez bu çalışma kapsamında tespit edilmiş.

Veri Seti Sadece Gmail Hesaplarını İçermiyor

Siber güvenlikle ilgili konular doğru araştırılmadığında, farkında olmadan dezenformasyona dönüşebiliyor. Bu iddia da buna bir örnek. Uluslararası basında ortaya çıkan bilgi, doğrulanmadan aktarılınca kartopu gibi büyüyüp Türk basınına kadar taşınmış.

Arama motorlarında “Google 183 Million Data Leak” şeklinde arama yapıldığında, Google’ın X’te paylaştığı açıklama görülebiliyor. Açıklamada, “Milyonlarca Gmail kullanıcısını etkileyen bir güvenlik ihlali olduğu iddiası asılsızdır. Gmail’in güvenlik altyapısı güçlüdür ve kullanıcılar korunmaktadır” ifadeleri yer alıyor.

Reports of a “Gmail security breach impacting millions of users” are false. Gmail’s defenses are strong, and users remain protected. 🧵👇
— News from Google (@NewsFromGoogle) October 27, 2025

Konu hakkında daha güvenilir ve ayrıntılı bilgi için veri ihlallerini takip eden “Have I Been Pwned” platformu incelenebilir. Platformun X hesabında 21 Ekim 2025 tarihli bir paylaşımda şu ifadeler yer alıyor:

“Synthient, sosyal medya, forumlar, Tor ve Telegram’dan toplanan milyarlarca tehdit verisini bir araya getirdi. Bu veriler arasında 183 milyon benzersiz e-posta adresi bulunuyor. Bunların %91’i daha önce zaten sistemde kayıtlıydı.”

Paylaşılan makalenin detaylarına bakıldığında, Synthient adlı siber güvenlik şirketinde çalışan bir kişinin elindeki 183 milyon e-posta kaydını inceletmek için Have I Been Pwned’ın kurucusu Troy Hunt ile iletişime geçtiği görülüyor. Synthient’in blog yazısında, verilerin sosyal medya, forumlar, Tor ve Telegram gibi farklı kaynaklardan toplandığı belirtiliyor.

Troy Hunt, veri setinin yaklaşık 3,5 TB büyüklüğünde olduğunu ve farklı sitelerden sızan bilgiler içerdiğini söylüyor. İnceleme sonucunda, 183 milyon kaydın yaklaşık yüzde 92’sinin daha önce bilinen veri ihlallerinden geldiği anlaşılıyor. Ancak Hunt, geri kalan yüzde 8’lik kısmın da önemli olduğunun altını çiziyor. Çünkü bu 16,4 milyon e-posta adresi, bugüne kadar hiçbir veri ihlali kaydı bulunmayan hesaplardan oluşuyor. Bu tablo, olayın bir “Gmail hack’i” değil, büyük ölçüde eski sızıntıların derlenmesi ve bir bölümünün de yeni tespitler olması anlamına geliyor.

İddia sosyal medyada ve basında yayılınca Troy Hunt, X hesabından durumu açıklayan bir paylaşım yaptı.

There is every imaginable type of email address in this corpus: Outlook, Yahoo, corporate, government, military and yes, Gmail. This is typical of a corpus of data like this and there is nothing Google specific about it.
— Troy Hunt (@troyhunt) October 27, 2025

‘Bu hikaye son saatlerde aniden ‘çok’ daha fazla ilgi görmeye başladı ve benim apaçık ortada olduğunu düşündüğüm bir şeyin açıklığa kavuşturulması gerekiyor: Bu bir Gmail sızıntısı değil, yalnızca kötü amaçlı yazılım bulaşmış mağdurların kimlik bilgilerini içeriyor ve Gmail baskın e-posta sağlayıcısı. Bu veri kümesinde akla gelebilecek her tür e-posta adresi var: Outlook, Yahoo, kurumsal, resmi, askeri ve evet, Gmail. Bu, böyle bir veri kümesinin tipik bir örneği ve Google'a özgü hiçbir şey yok. Birincil risk, bu kimlik bilgilerini ‘herhangi bir’ web sitesinde kullanmaya devam eden kişiler için geçerlidir ve bu riski azaltmanın yolu bir parola yöneticisi ve 2FA'dır. Bilgi hırsızları, genellikle oyun hileleri, korsan yazılımlar ve diğer güvenilmez uygulamaları yükleyerek insanların bulaştığı kötü amaçlı yazılımlardır. Bunu yapmayı bırakın! Ve bilgisayarlarınızda antivirüs programı çalıştırın (Microsoft Defender ücretsizdir ve Windows'a yerleşik olarak gelir). Bu veriler, Synthient tarafından aylarca süren bir süreçte derlendi ve mağdurların maruz kaldıkları tehlikeyi öğrenmelerine yardımcı olmak için 'Have I Been Pwned'a sağlandı. Son olarak, blog yazısında hem hırsızlık günlüklerini (web sitesi, e-posta, şifre) hem de kimlik bilgisi doldurma verilerini (e-posta ve şifre) bahsetmiştim. İkincisini hala işliyoruz ve benzersiz e-posta adreslerinin sayısı 10 katından fazla. Önümüzdeki günlerde bunu aranabilir hale getireceğiz.’

Sonuç olarak, bahsi geçen veri sızıntısı sadece Google kullanıcılarını değil; Outlook, Yahoo, kurumsal, resmi ve hatta askerî e-posta adreslerini de içeriyor. Verilerin yaklaşık yüzde 90’ı daha önce bilinen ihlallerden oluşuyor.

Sonuç olarak;

183 milyon Gmail kullanıcısının şifresinin sızdırıldığı iddiası yanlış.