Geçen ay, birkaç günlüğüne de olsa sosyal medyanın gündemi Gmail hesapları oldu. Çünkü 28 Ekim akşamı, Türkiye’deki pek çok gazete ve haber sitesi, ardı sıra “Gmail kullanan 183 milyon kişinin şifreleri sızdırıldı” başlık ve içerikli haberler yayımladı.
Ancak bu haber, yalnızca teknik bir yanlıştan ibaret değil, dijital çağda gazeteciliğin karşı karşıya olduğu yapısal sorunların çarpıcı bir yansımasıydı. Zira aslında kimsenin Gmail şifresi sızdırılmadı. En azından gazetelerin kaynak gösterdiği içerikte Gmail şifrelerinin sızdırıldığından bahsedilmiyordu. Bu iddia, gazetecilerin temel kaynak okuma, araştırma ve doğrulama eksikliğinin bir sonucu olarak ortaya çıktı.
Nasıl mı? Anlatayım.
Her şey, 22 Ekim’de, veri ihlallerini izleyip raporlayan güvenilir platformlardan Have I Been Pwned’ın (HIBP) yayımladığı yeni bir ihlal bildirimiyle başladı.
Bildirime göre, ABD merkezli siber güvenlik şirketi Synthient, 2025 yılı boyunca çeşitli internet sitelerinden sızdırılmış milyarlarca “tehdit verisi”ni, yani kullanıcı verilerilerini bir araya getirerek büyük bir veri seti oluşturdu. Sonuç itibarıyla da ortaya 183 milyon benzersiz e-posta adresi, bu adreslerin kullanıldığı web siteleri ve şifreler çıktı.
Bildirime göre, ABD merkezli siber güvenlik şirketi Synthient, 2025 yılı boyunca çeşitli internet sitelerinden sızdırılmış milyarlarca kullanıcı verisini bir araya getirdi. Sonuç itibarıyla da ortaya 183 milyon farklı e-posta adresi, bu adreslerin kullanıldığı web siteleri ve şifreler çıktı.
Daha basit anlatmak gerekirse:
- ABCD999 isimli bir e-ticaret sitesinde alışveriş yapmak istiyorsunuz.
- ABCD999 ise bunun için sitelerinde bir hesap oluşturmanız gerektiğini söylüyor.
- Siz de bir e-posta adresi girip bir de şifre belirleyerek ABCD999 isimli e-ticaret sitesinde bir hesap oluşturuyorsunuz. Netice itibarıyla artık sadece ABCD9999’un internet sitesinde geçerli olan, başka herhangi bir platformda karşılığı olmayan bir hesabınız oluyor (tabii her yerde aynı e-posta adresi ile şifreyi kullanmıyorsanız ve bu aynı zamanda e-posta adresinizin de şifresi değilse).
İşte HIBP’nin 22 Ekim’de, çalınıp sızdırıldığını duyurduğu bu e-posta adresleri ve şifreler, ABCD9999 vb. internet sitelerinde oluşturduğunuz hesaba giriş yaparken kullandıklarınızdan oluşuyor. Yani, Gmail adresleri bu sızıntının bir parçası olarak görünüyor olsa da sızdırılan veriler Gmail hesaplarının değil, bambaşka platformlarda kullanılan hesap bilgilerinin bir bileşimiydi.
“E-posta adresi” ile “e-posta hesabı” kavramlarını karıştırınca…
Üstelik Synthient’in HIBP’e gönderdiği, HIBP’nin de aynı şekilde yayımladığı bildirimde bu, şu ifadeyle açıkça belirtiliyordu:
“Bu veriler, kullanıldıkları web siteleriyle birlikte parolaları ve 183 milyon benzersiz e-posta adresini içeriyordu. Veriler normalleştirilip yinelenen kayıtlar kaldırıldıktan sonra, [geriye] her biri kimlik bilgilerinin toplandığı site ve o sitede kullanılan parolayla ilişkilendirilmiş 183 milyon benzersiz e-posta adresi kaldı.”
HIBP’nin aktardığıyla basının anlattığı arasındaki fark oldukça kritik. Çünkü veri ihlalleriyle ilgili haberlerde en sık yapılan hata, “e-posta adresi” ile “e-posta hesabı” kavramlarını karıştırmak. Yani Gmail adreslerinin bu listede yer alması, Gmail sistemlerinin hacklendiği anlamına gelmiyordu, sadece Gmail adresleriyle kayıt olunmuş sitelerden gelen veriler bir araya getirilmişti.
Synthient ve HIBP’nin durumun basına yansıdığı gibi yanlış anlaşılmaması için verdiği çaba bununla da sınırlı değildi. Zira HIBP, konuyla ilgili yayımladığı bildirimde, platformun kurucusu Troy Hunt’ın kişisel internet sitesindeki bir yazıya yönlendiren bir link de verdi.
Sayı 183 değil, 14 milyon; sızdırılan da e-posta hesabı değil, e-posta adresi
22 Ekim tarihli bu yazıda da Hunt, yukarıda aktardığım “tehdit verisi”nin ne demek olduğundan ve basına “Gmail kullanan 183 milyon kişinin şifreleri çalındı” olarak yansıyan bildirimin detaylarından bahsediyordu.
Yazıya göre Synthient’in kurucusu Benjamin Brundage, bugüne dek sosyal medya, çeşitli forumlar, Tor, Telegram vb. platformlara sızdırılan e-posta adresi, kullanıcı adı ve parolalar gibi topladığı tüm verileri, Hunt’a gönderdi. İhlallerin duyurulması için gönderilen bu veri seti 3.5 terabayt boyutuna varacak derecede büyüktü.
Yazısında, kendilerine gönderilen veri setinde 183 milyon benzersiz e-posta adresinin olduğunu belirten Hunt, bunların yüzde 91’inin daha önceki yıllarda sızdırıldığını söyledi. Hunt, veri setinde yer alan ve yeni sızdırılan e-posta adresi sayısının ise 16.4 milyon olduğunu kaydetti.
Ancak 28 Ekim akşamı, dünya basınıyla birlikte Türkiye medyası da bu açıklamayı yanlış yorumladı.
Haberi ilk servis eden birkaç uluslararası medya kuruluşunun ardından, onlarca gazete de haberi “183 milyon Gmail hesabı sızdırıldı” başlık ve içeriğiyle sundu.
Google yalanladı, basın görmezden geldi
Üstelik Türkiye basınına 28 Ekim’de düşen bu haberler, dünya basınında bir gün önce yer almış ve Google da bu sızıntı iddialarını aynı gün yalanlamıştı.
Reports of a “Gmail security breach impacting millions of users” are false. Gmail’s defenses are strong, and users remain protected.
— News from Google (@NewsFromGoogle) October 27, 2025
Yani Türkiye basını “Gmail kullanan 183 milyon kişinin şifreleri sızdırıldı” haberi yaptığında, Google şu açıklamayı yapmıştı bile:
The inaccurate reports are stemming from a misunderstanding of infostealer databases, which routinely compile various credential theft activity occurring across the web. It’s not reflective of a new attack aimed at any one person, tool, or platform.
— News from Google (@NewsFromGoogle) October 27, 2025
“İddialar asılsızdır. Bu doğru olmayan haberler, web genelinde gerçekleşen çeşitli kimlik bilgisi hırsızlığı faaliyetlerini düzenli olarak derleyen veri tabanlarının yanlış anlaşılmasından kaynaklanıyor. Bu durum, belirli bir kişiye, araca veya platforma yönelik yeni bir saldırıyı yansıtmıyor.”
Ancak buna rağmen Türkiye basını, söz konusu haberlerinde bu açıklamaya yer vermedi.
Haberlere düzeltme, gazetecilere sitem: Bu bir Gmail sızıntısı değil
Haber o kadar yayıldı ki Troy Hunt, X hesabından “Bu bir Gmail sızıntısı değil. Bu, kötü amaçlı yazılımlardan etkilenen kullanıcıların kimlik bilgilerini içeriyor” açıklaması yaparak medyayı düzeltmek zorunda kaldı. Hunt, 28 Ekim’deki bu paylaşımına, kişisel internet sitesinde konuyla ilgili detaylara yer verdiği yazısının linkini de ekledi.
This story has suddenly gained *way* more traction in recent hours, and something I thought was obvious needs clarifying: this *is not* a Gmail leak, it simply has the credentials of victims infected with malware, and Gmail is the dominant email provider: https://t.co/S75hF4T1es
— Troy Hunt (@troyhunt) October 27, 2025
Durumu netleştirme çabalarını sürdüren Hunt, devamında da “Bu veri kümesinde akla gelebilecek her türden e-posta adresi bulunuyor: Outlook, Yahoo, kurumsal, devlet, askerî ve evet, Gmail. Bu, bu tür veri kümelerinde sıkça rastlanan bir durum ve sadece Google’a özgü bir şey değil” dedi.
There is every imaginable type of email address in this corpus: Outlook, Yahoo, corporate, government, military and yes, Gmail. This is typical of a corpus of data like this and there is nothing Google specific about it.
— Troy Hunt (@troyhunt) October 27, 2025
Bildirimlerini yanlış aktardıkları için gazetecilere sitem etmeyi de ihmal etmeyen Hunt, Google’ın sızıntı iddialarını yalanladığı paylaşımını alıntılayarak şunu söyledi:
“Google’daki arkadaşlarımızın bu konuyu netleştirmek için zaman harcamak zorunda kalmaları gerçekten üzücü. Keşke bu verilerin tam olarak nereden geldiğini ve nasıl elde edildiğini ayrıntılı biçimde açıklayan bir blog yazısı yazmış olsaydım (ve gazeteciler de onu gerçekten okusaydı…)”
Ancak bu açıklama bile birçok haber kuruluşunun yanlış bilgiyi geri çekmesine yetmedi.
Gazetecilik, kendi içindeki bu yapısal sorunları görmek zorunda
Bu olay, yalnızca bir yanlış haber örneği değil, gazeteciliğin bilgi ekosistemindeki rolünün ne kadar kırılgan hale geldiğinin bir göstergesi.
Veri ihlalleri, siber güvenlik ya da dijital gizlilik gibi konular teknik bilgi gerektirir. Dolayısıyla bu alanlardaki kavramları, “veri sızıntısı”, “parola”, “tehdit istihbaratı verisi” gibi terimleri doğru anlamadan yapılan haberler, sadece okuru yanlış bilgilendirmekle kalmıyor, aynı zamanda medya kurumlarının güvenilirliğini de aşındırıyor. Çünkü yanlış bilgi bir kez yayıldı mı çoktan dolaşıma girmiş oluyor ve daha sonra yapılan düzeltmeler de kamuoyunda aynı etkiyi yaratmıyor.
Oysa tüm bilgiler, hem HIBP’nin hem de Hunt’ın yazılarında açıkça yer alıyordu. Buradaki temel sorun, gazetecilerin kaynakları yalnızca kopyalamakla yetinmesi değil, bağlamı okumaya, anlamaya ve gerektiğinde teknik detayları kavramaya zaman ayırmamaları. Bu durum da dijital haberciliğin hız odaklı yapısının bir sonucu olarak karşımıza çıkıyor.
Ancak bu noktada suçu yalnızca bireysel gazetecilere yüklemek de haksızlık olur. Zira bugün birçok haber merkezi, az sayıda editörle çok sayıda haber yayımlamaya çalışmayı tercih ediyor. Editörler aynı anda politika, ekonomi, kültür, teknoloji gibi farklı alanlardaki içerikleri denetlemek zorunda kalıyor. Buna bir de günlük haber sayısı kotası ve anlık güncellemeler eklenince hata yapmak kaçınılmaz hale geliyor. Dolayısıyla bu tür yanlışlar, kişisel dikkatsizlikten ziyade, gazeteciliğin üretim koşullarına dair yapısal bir soruna işaret ediyor.
Bu vakadan çıkarılacak asıl ders, teknik bilgi gerektiren konuların yüzeysel şekilde aktarılmasının yalnızca kamuoyunu değil, haberciliğin kendisini de zedelediğidir. Gazetecilik, dijital çağda güvenini yeniden inşa etmek istiyorsa, önce kendi içindeki bu yapısal sorunları görmek ve araştırmaya dayalı haberciliği yeniden merkezine almak zorunda. Çünkü doğrulamanın yerini hız, merakın yerini tıklanma, sorumluluğun yerini algoritmalar aldığında kaybeden yalnızca medya değil, kamunun bilgiye erişim hakkı oluyor.