Siber Bülten — Mayıs 2026 (İkinci Part)

Mayıs 2026: Dijital Dünyanın Hareketli Günlüğü
(Okuma Süresi: Yaklaşık 9 Dakika)

Merhaba dostlar! Kahveleriniz, çaylarınız hazırsa lütfen arkanıza yaslanın. Bu ay siber güvenlik dünyası yine dopdolu ve bir o kadar da çarpıcı gelişmelerle karşımızda.

Aylık olarak yayınlamayı planladığımız siber bülten serimizde bu ayın henüz yarısına gelmeden yaşanan Linux zafiyet bereketi sebebiyle bu ayı 2 part şeklinde yazma kararı almıştık. Linux kernelindeki zafiyetlerin üzerinden biraz zaman geçmesini bekledikten sonra, bugün mayıs ayının ikinci yarısında da ağırlıklı olarak siber güvenlik olmak üzere bir takım konuları ele alacağız. Çaylarınız ve kahveleriniz hazırsa, gelin detaylara birlikte bakalım.

Discord Tüm Aramalar için Varsayılan Uçtan Uca Şifrelemeyi Duyurdu

Discord varsayılan olarak tüm aramaların varsayılan olarak uçtan uca şifreleme ile korunacağını duyurdu. Uçtan uca koruma şimdilik sesli ve görüntülü aramalar ile ekran paylaşımında kullanılırken yazılı mesajları ise etkilemeyecek. Bilmeyenler için uçtan uca şifrelemeyi sadece veriyi gönderen ve alan kişinin okuyabildiği, aracı uygulamanın ise şifreli metni çözemediği bir şifreleme yöntemi olarak özetleyebiliriz.

Riot Games'in Vanguard için Yayınladığı Güncelleme ve 6000$ Değerindeki Hediyesi

Kernel seviyesinde çalışan bir anticheat yazılımı olan Vanguard için yayınlanan son güncelleme ile tespit edilemez olarak bilinen ve fiyatları binlerce doları geçen donanım tabanlı doğrudan bellek erişimli (DMA) hile cihazlarını bozdu ve açılamaz hale getirdi.

Doğrudan bellek erişimli (DMA) dediğimiz cihazlar oyuncunun bilgisayarındaki CPU ve işletim sistemini bypass ederek bellek verilerini başka bir bilgisayara aktarıyor ve tespit edilmemek için kendisini SSD gibi bir depolama cihazı olarak göstererek gizliyor.

Vanguard'a gelen son güncelleme modern anakartlardaki donanım seviyesindeki I/O bellek yönetim birimi (IOMMU) korumalarını agresif şekilde zorunlu kılarak sahte yazılımların bellek erişimlerini kilitledi. Bu durum hile yazılımları içeren cihazlarda sistem donmalarına ve mavi ekran sorunlarına sebep oldu. Hileciler forumlarda ve sosyal medya hesaplarında bu konu ile ilgili paylaşımlar yapmaya başladıktan sonra Riot Games this konu ile ilgili resmi bir açıklama yaptı ve sökülmüş ekran kartlarının olduğu bir fotoğraf paylaşarak 6000$'lık yeni masa süsünüz hayırlı olsun diyerek hileciler ile dalga geçti.

Resmi açıklamada Riot yetkilileri ve güvenlik uzmanları hile kartının sökülmesi ve format atılması ile cihazların düzeleceğini söylediler.

İlk bakışta hile topluluğu ile alay edilmesi güzel gibi gelse de cihazimizi kilitleyecek ve mavi ekran verdirecek kadar yetkiyi bir anti-cheat programına vermek istiyor musunuz cidden? Yarın bir güncellemedeki bir hata ile binlerce kullanıcı sisteminde hile yazılımı ya da donanımı olmasa da hata sonucu cihazınızı kilitleyebilir ve sizi format atmak zorunda bırakabilir veya bu kadar yetkisi olan bir yazılım bir saldırgan tarafından kullanılarak sisteminize kasıtlı olarak zarar vermek için kullanılabilir. Kimse bu yazılımın hacklenemeyeceğini iddia edemez sonuçta.

Kaldı ki bir süre sonra hileciler bu yazılımı da bypass etmenin bir yolunu bulacaktır, dolayısıyla en azından kendi adıma konuşacak olursam çekirdek seviyesindeki anticheat programlarını mahremiyet ve güvenlik sebeplerinden ötürü kullanmaya sıcak bakmıyorum; hem de 7/24 arka planda çalışmaya devam eden bir yazılım söz konusuyken kimseye tavsiye etmiyorum. Cihazınıza kurduğunuz bir yazılımla Riot Games'e işletim sisteminizden bile fazla yetki verirken sizin de iki kez düşünmenizi öneriyorum.

Anthropic Çok Riskli Modelini Kullanıma Açıyor

Nisan ayı boyunca adını her yerde sıkça duyduğumuz ve Anthropic'in güvenlik sebebiyle Project Glasswing adıyla sadece seçili hükümetler ve şirketlerle paylaştığı Mythos modelini, gerekli güvenlik bariyerlerini tamamladıktan sonra ilerleyen süreçte tüm kullanıcılara açmayı planladığını duyurdu.

Son yayınladıkları Opus 4.8 modelinden özellikle siber güvenlik alanında çok daha iyi olduğu iddia edilen bir modelden bahsediyoruz ve geçtiğimiz ay da tam da bu sebepten dolayı herkesin kullanımına açamayacaklarını söylüyorlardı. Tabii ki haklı olarak şunu soruyoruz: 1 ayda ne değişti?

Anthropic modelin saldırganların eline geçmesini engellemek için güçlü koruma kalkanları geliştirdiğini iddia ederken ben 1 ayda bu yönde pek bir gelişim yaşanmadığını ve bu söylentilerin tamamen bir pazarlama çalışması olduğunu düşünüyorum. Özellikle OpenAI'ın GPT3 hatta GPT2 modelleri için bile zamanında tehlikeli modeller dendiğini düşünecek olursanız -ki bu modeller şu an bu yazıyı yazdığım tarihteki dil modellerinin yanına yaklaşabilecek modeller değiller- eminim size de bu bir pazarlama çalışması gibi gelecektir.

Tabii ki model daha piyasaya çıkmadı ve ne kendim kullandım ne de kullanan birinden bir geri bildirim aldım, dolayısıyla şu an sadece kendi tahminlerime dayanarak konuşabiliyorum ancak önümüzdeki haftalarda model kullanıma açılırsa daha net bir şekilde ne olduğunu konuşabileceğiz.

Çökertilen Siber Suç VPN Ağı Hakkında

Fransa ve Hollanda liderliğindeki uluslararası kolluk kuvvetleri siber suçlular ve fidye yazılımlarına özel hizmet veren bir VPN ağını çökertti ve yöneticiyi tutukladı. Polis operasyonda BitDefender ile işbirliği yaparak VPN altyapısına sızdı ve kullanıcı veritabanına ulaştı. Operasyondan önce suçluların anlık bağlantılarını ve internet trafiklerini inceleyerek binlerce şüpheliyi deşifre edebildiler.

Buradan şunu anlıyoruz: VPN servis sağlayıcınız size kayıt tutmuyoruz dediğinde kuri körüne inanamayız. Nasıl gerçekten kayıt tutmadıklarından emin olabiliriz ki? Hadi bir anlığına varsayalım ki gerçekten kullandığınız VPN kayıt tutmuyor olsun, VPN sunucusuna sızan biri bunu kolayca değiştirip kayıt tutmaya başlayabilir.

VPN sizi anonim yapmaz dediğimizde tam olarak bunu kastediyoruz. İnternette anonim olmak, anonimliğinizi başkalarına emanet ettiğiniz ve gerçekte ne olduğundan asla %100 emin olamayacağınız bir güven zincirine dayanıyor.

Google Cloud Silinen API Anahtarlarının Silinmemesi Hakkında Açıklama Yaptı

Belçikalı bir siber güvenlik girişimi olan Aikido Security'nin araştırmacısı Joe Leon, Google'ın API keyleri için iptal penceresini - bir keyin silinmesi ile son başarılı kimlik doğrulaması arasındaki süreyi - analiz etti. Leon, bugün yayınlanan bir blog yazısında, Google Cloud Platform (GCP) müşterilerinin anahtar silindikten hemen sonra API erişiminin sona ermesini beklediğini, ancak durumun böyle olmadığını söyledi. Bir dizi testte Leon, ortalama iptal süresinin 16 dakika civarında olduğunu, testlerde elde ettiği en uzun sürenin ise 23 dakika olduğunu, API tuşlarının başarılı bir şekilde doğrulanmaya devam etmesi için "inanılmaz derecede uzun bir süre" olduğunu söyledi.

Ve bu pencerelerin organizasyonlar için ciddi yansımaları var. “Sizin iptal ettiğinizi düşündüğünüz anahtarınızı tutan bir saldırgan, sunucuya ulaşana kadar istek göndermeye devam edebilir. Eğer Gemini projede etkinleştirilirse, yüklediğiniz dosyaları çöpe atabilir ve önbelleğe alınmış konuşmaları yok edebilirler” dedi. GCP konsolu ise anahtarı göstermeyecek ve anahtarın hala çalıştığını söylemeyecek.

_Aikido_ bu sorun için Google'a bir API key kaldırıldığında 30 dakika daha bu key ile sisteme erişilebileceği ile ilgili un uyarının kullanıcılara gösterilmesini tavsiye etti.

Palo Alto Networks (PAN-OS) Cihazlarında Kritik VPN Açığı (CVE-2026-0257)

Eğer kurumsal bir ağ yönetiyorsanız veya büyük bir şirkette çalışıyorsanız Palo Alto Networks (PAN-OS) ismini duymamış olmanız imkansızdır. İşte bu dev altyapının GlobalProtect portal ve gateway cihazlarında öyle bir açık çıktı ki (CVE-2026-0257), CVSS skoru 7.8 olarak güncellendi.

İşin kötüsü, bu açık saldırganların hiçbir kimlik doğrulamasına, geçerli bir kullanıcı adına veya parolaya ihtiyaç duymadan doğrudan güvenlik bariyerlerini aşmasına ve ağın kalbine yetkisiz VPN bağlantısı kurmasına izin veriyor. Yani kapı kilitli sanıyorsunuz ama arkada anahtarsız açılan kocaman bir acil çıkış kapısı bırakmışlar gibi. Ayın sonuna doğru siber güvenlik ekipleri bu açığın internet ortamında aktif olarak sömürüldüğünü (in the wild) doğrulamaya başladı. Eğer sistemlerinizde bu servisleri kullanıyor ve hala güncelleme yapmadıysanız, şirket ağınızın anahtarlarını birilerine hediye etmiş olabilirsiniz, benden söylemesi.

Microsoft Defender'ı Devre Dışı Bırakan İkili Tehlike (CVE-2026-41091 & CVE-2026-45498)

Windows kullanıp da Microsoft Defender'a güvenmeyen çok az kişi vardır, sonuçta işletim sisteminin kendi koruma kalkanı. Ancak bu ay ortaya çıkan iki farklı açık (CVE-2026-41091 ve CVE-2026-45498) bu kalkana olan güveni kırdı. Araştırmacılar, saldırganların Defender'ı tamamen devre dışı bırakmasını ve sistemdeki yetkilerini en üst düzey olan SYSTEM yetkilerine yükseltmesini sağlayan bir açık zinciri keşfetti.

Düşünün, bilgisayarınızda bir virüs çalışıyor, Defender onu durdurmak yerine kendi kendini kapatıyor ve virüse en üst düzey yetkiyi teslim ediyor. Olay o kadar ciddi bir boyuta ulaştı ki, CISA (Amerika Siber Güvenlik Ajansı) bu açıkları 20 Mayıs'ta acil koduyla "Bilinen Sömürülen Zafiyetler" (KEV) kataloğuna ekledi. Yani Windows kullanıyorsanız bu güncellemeyi acilen yapmak için çok iyi bir sebebiniz var.

BitLocker Korumasını Aşan "YellowKey" Zafiyeti (CVE-2026-45585)

Hani hepimiz bilgisayarimizi kapatırken veya çalınırsa verilerimiz yabancıların eline geçmesin diye BitLocker şifrelemesine güveniriz ya... İşte 19 Mayıs'ta bu güvenimizi biraz sarsacak bir haber düştü. "YellowKey" adı verilen ve CVE-2026-45585 koduyla tanımlanan yeni bir sıfır gün (zero-day) zafiyeti duyuruldu.

Bu açık, cihazınıza fiziksel erişimi olan bir saldırganın, Windows 11 veya Windows Server işletim sistemlerinde BitLocker şifrelemesini tamamen bypass etmesini sağlıyor. Yani bilgisayarınızı bir kafede açık bırakıp tuvalete gittiğinizde ya da cihazınız çalındığında, şifreleme algoritmasının hiçbir önemi kalmıyor; saldırganlar doğrudan diskteki ham verilerinize ulaşabiliyor. Tabii ki Microsoft bu durum için güncelleme yayınlayacaktır ancak bu haber bize fiziksel güvenliğin, siber güvenliğin en temel yapı taşı olduğunu bir kez daha acı yoldan hatırlatmış oldu. Bilgisayarınızı gözünüzün önünden ayırmayın derim.

Büyük Ölçekli Ransomware Saldırıları: GitHub ve Foxconn'un Zor Günleri

Mayıs ayının son günleri devasa siber saldırılar ve fidye yazılımları (ransomware) açısından da oldukça sıcak geçti. İlk darbeyi yazılımcıların kutsal mabedi GitHub yedi. "TeamPCP" isimli fidye yazılımı grubu, sadece tek bir çalışanın cihazını ele geçirerek GitHub'ın 4.000'den fazla dahili kod deposuna (repository) sızmayı başardı.

Bir kez daha, o çok güvendiğimiz iki adımlı doğrulamalar, kurumsal güvenlik kuralları falan tek bir dikkatsiz çalışanla nasıl yerle bir oluyor görmüş olduk.

Diğer bir büyük darbe ise üretim devi Foxconn'a geldi. Şirketin Kuzey Amerika'daki bir üretim tesisi "Nitrogen" fidye yazılımı grubu tarafından hedef alındı ve yaklaşık 8 terabaytlık devasa bir veri paketi çalındı. Siber suç dünyası artık sadece küçük hedeflerle yetinmiyor; doğrudan dünya devlerini gözüne kestiriyor. Bu saldırılar da gösteriyor ki, zincir her zaman en zayıf halkası kadar güçlüdür.