Beyin göçü: Ruh sağlığı uygulamalarındaki güvenlik açıkları

Şubat 2026’da, siber güvenlik şirketi Oversecured, insanı telefonunu fabrika ayarlarına sıfırlayıp ormanın içindeki ıssız bir kulübeye taşınmak isteyecek hale getiren bir rapor yayınladı. Araştırmacılar, ruh hali takipçilerinden yapay zeka terapistlerine, depresyon ve kaygıyı yönetmeye yönelik araçlara kadar uzanan 10 popüler Android ruh sağlığı uygulamasını incelediler ve… 1575 güvenlik açığı ortaya çıkardılar! Bu kusurlardan 54’ü kritik olarak sınıflandırıldı. Google Play’deki indirme istatistiklerine göre, bu durumdan 15 milyon kadar kişi etkilenmiş olabilir. Asıl şaşırtıcı olan ne biliyor musunuz? Test edilen on uygulamadan altısı, kullanıcılara verilerinin “tamamen şifrelenmiş ve güvenli bir şekilde korunduğunu” açıkça vaat ediyordu.

Bu skandal niteliğindeki “beyin göçü”nü mercek altına alıyoruz: Tam olarak nelerin sızdırılabileceği, bu sızıntıların nasıl gerçekleştiği ve bu hizmetlerdeki “anonimlik” kavramının genellikle sadece bir pazarlama efsanesi olmasının nedenleri.

Uygulamalarda neler bulundu?

Oversecured, özel bir tarayıcı kullanarak APK dosyalarını onlarca kategoride bilinen güvenlik açığı kalıpları açısından analiz eden bir mobil uygulama güvenlik şirketidir. Ocak 2026’da araştırmacılar, Google Play’den indirdikleri on adet ruh sağlığı izleme uygulamasını tarayıcıdan geçirdiler ve sonuçlar, nasıl diyelim, “olağanüstü”ydü.

Kusurların yapısı

Tespit edilen güvenlik açıkları çok çeşitli olsa da, hepsi tek bir noktaya indirgenebilir; saldırganların, sıkı güvenlik önlemleri altında tutulması gereken verilere erişebilmesini sağlamak.

Öncelikle bu güvenlik açıklarından biri; bir saldırganın uygulamanın tüm iç faaliyetlerine, dışarıdan görülmesi hiç amaçlanmamış olanlar da dahil, erişmesine olanak tanır. Bu durum, kimlik doğrulama belirteçlerinin ve kullanıcı oturum verilerinin ele geçirilmesine yol açar. Saldırgan bu bilgilere sahip olduğunda, kullanıcının terapi kayıtlarına erişim sağlayabilir.

Bir diğer sorun ise, cihazdaki diğer tüm uygulamalara okuma izni verilen, güvenli olmayan yerel veri depolamasıdır. Başka bir deyişle, akıllı telefonunuzdaki o rastgele bir el feneri uygulaması ya da hesap makinesi; bilişsel davranışçı terapi (BDT) kayıtlarınızı, kişisel notlarınızı ve ruh hali değerlendirmelerinizi potansiyel olarak okuyabilir.

Araştırmacılar ayrıca, APK yükleme dosyalarının içine doğrudan gömülmüş şifrelenmemiş yapılandırma verileri de buldular. Buna sunucu tarafı API uç noktaları ve Firebase veri tabanları için sabit kodlanmış URL’ler de dahildi.

Ayrıca, oturum belirteçleri ve şifreleme anahtarları oluşturmak için kriptografik açıdan zayıf java.util.Random sınıfını kullanan birçok uygulama tespit edildi.

Son olarak, test edilen uygulamaların çoğunda root/jailbreak algılama özelliği bulunmuyordu. Root erişimi olan bir cihazda, root ayrıcalıklarına sahip herhangi bir üçüncü taraf uygulama, cihazda yerel olarak depolanan tıbbi verilerin her bir parçasına tam erişim sağlayabilirdi.

Şaşırtıcı bir şekilde, incelenen 10 uygulamadan sadece dördü Şubat 2026’da güncelleme aldı. Geri kalanlar Kasım 2025’ten beri güncelleme almadı ve bunlardan biri Eylül 2024’ten beri hiç güncellenmedi. Bu sektörde 18 ay boyunca güvenlik yaması yayınlanmaması, adeta bir ömür kadar uzun bir süre; özellikle de ruh hali günlükleri, terapi kayıtları ve ilaç programlarını barındıran bir uygulama için.

İşte bu tür verilerin yanlış kullanımının ne kadar tehlikeli olabileceğine dair kısa bir hatırlatma: 2024 yılında, teknoloji dünyası, Linux çekirdeğine dayalı hemen hemen her işletim sisteminde bulunan kritik bir bileşen olan XZ Utils’e yönelik sofistike bir saldırı ile sarsıldı. Saldırgan, geliştiricinin tükenmişlik hissini açıkça dile getirmesini ve projeye devam etme konusunda motivasyon eksikliğini istismar ederek, bakım sorumlusunu kod gönderme izinlerini devretmesi için başarıyla baskı altına aldı. Saldırı başarıya ulaşmış olsaydı, dünyadaki sunucuların yaklaşık %80’inin Linux üzerinde çalıştığı göz önüne alındığında, ortaya çıkacak hasar akıl almaz boyutlarda olurdu.

Neler sızabilir?

Bu uygulamalar ne tür veriler toplar ve saklar? Bunlar genellikle; terapi seanslarının kayıtları, ruh hali günlükleri, ilaç programları, kendine zarar verme belirtileri, BDT notları ve çeşitli klinik değerlendirme ölçekleri gibi yalnızca güvendiğiniz bir klinisyenle paylaşacağınız türden bilgilerdir.

2021 yılına kadar, eksiksiz tıbbi kayıtlar karanlık webde tanesi 1000 ABD doları karşılığında satılıyordu. Karşılaştırma yapmak isteyenler için; çalınan bir kredi kartı numarasının fiyatı 5 ile 30 ABD doları arasında değişmektedir. Tıbbi kayıtlar, tam bir kimlik bilgisi seti içerir: İsim, adres, sigorta ayrıntıları ve teşhis geçmişi. Kredi kartından farklı olarak, tıbbi geçmişinizi tam anlamıyla “yeniden düzenleyemezsiniz”. Ayrıca, tıbbi dolandırıcılığı tespit etmenin son derece zor olduğu bilinir. Bir banka şüpheli bir işlemi birkaç saat içinde tespit edebilirken, hayali bir tedavi için yapılan sahte bir sigorta talebi yıllarca fark edilmeden kalabilir.

Bu filmi daha önce izlemiştik

“Oversecured” araştırması, sadece tek başına bir korku hikayesi değildir.

2020 yılında Julius Kivimäki, Fin psikoterapi kliniği Vastaamo’nun veri tabanını ele geçirerek 33.000 hastanın kayıtlarını ele geçirdi. Klinik 400.000 € fidyeyi ödemeyi reddettiğinde, Kivimäki hastalara doğrudan tehditler göndermeye başladı: “24 saat içinde 200 €’luk Bitcoin ödeyin, yoksa kayıtlarınız kamuoyuna açıklanacak”. Sonuçta, veri tabanının tamamını yine de karanlık ağa sızdırdı. En az iki kişi intihar sonucu hayatını kaybetti ve klinik iflas etmek zorunda kaldı. Kivimäki sonunda altı yıl üç ay hapis cezasına çarptırıldı; bu dava, mağdur sayısının çokluğu bakımından Finlandiya’da rekor kıran bir dava olarak tarihe geçti.

2023 yılında, ABD Federal Ticaret Komisyonu (FTC), çevrimiçi terapi devi BetterHelp’e 7,8 milyon dolarlık para cezası verdi. Kayıt sayfasında verilerinizin kesinlikle gizli tutulacağı belirtilmesine rağmen, şirketin hedefli reklamcılık amacıyla kullanıcı bilgilerini (akıl sağlığı anketi yanıtları, e-postalar ve IP adresleri dahil) Facebook, Snapchat, Criteo ve Pinterest’e aktardığı ortaya çıktı. Ortalık sakinleştikten sonra, etkilenen 800.000 kullanıcı toplamda… 10 ABD doları tazminat aldı.

FTC, 2024 yılına kadar telesağlık şirketi Cerebral’ı hedef aldı ve şirkete 7 milyon dolarlık para cezası kesti. Cerebral, izleme pikselleri aracılığıyla 3,2 milyon kullanıcının verilerini LinkedIn, Snapchat ve TikTok’a sızdırdı. Ele geçirilen bilgiler arasında isimler, tıbbi geçmişler, reçeteler, randevu tarihleri ve sigorta bilgileri yer alıyordu. Peki ya en güzel kısmı? Şirket, 6000 hastaya (zarf olmadan) tanıtım amaçlı kartpostallar gönderdi; bu da alıcıların psikiyatrik tedavi gördüğünü herkese açık bir şekilde ortaya koydu.

Eylül 2024’te, güvenlik araştırmacısı Jeremiah Fowler, bağımlılık tedavisi ve ruh sağlığı hizmetleri alanında uzmanlaşmış bir hizmet sağlayıcısı olan Confidant Health’e ait, dışarıdan erişilebilir bir veri tabanına rastladı. Veri tabanında terapi seanslarının ses ve video kayıtları, transkriptler, psikiyatrik notlar, uyuşturucu testi sonuçları ve hatta ehliyetlerin kopyaları bulunuyordu. Toplamda 5,3 terabayt veri, 126.000 dosya ya da 1,7 milyon kayıt, parola olmadan ortada duruyordu.

Anonimlik neden bir yanılsamadır?

Geliştiriciler şu cümleyi sık sık kullanmayı sever: “Kişisel verilerinizi asla kimseyle paylaşmıyoruz.” Teknik olarak bu doğru olabilir, ancak bunun yerine “anonimleştirilmiş profilleri” paylaşıyorlar. Tuzak ne mi? Bu verilerin kimlik bilgilerinin ortaya çıkarılması artık o kadar da zor bir iş değil. Son araştırmalar, büyük dil modellerinin (LLM) anonimliği ortadan kaldırmak için kullanılmasının artık sıradan bir gerçeklik haline geldiğini ortaya koyuyor.

“Anonimleştirme” süreci bile çoğu zaman tam bir karmaşa halinde. Duke Üniversitesi tarafından yapılan bir araştırma, veri simsarlarının Amerikalıların ruh sağlığı verilerini alenen pazarladığını ortaya koydu. Ankete katılan 37 aracı kurumdan 11’i, belirli tanılarla (depresyon, anksiyete ve bipolar bozukluk gibi), demografik verilerle ve bazı durumlarda isimler ve ev adresleriyle ilgili verileri satmayı kabul etti. Fiyatlar, 5000 adet toplu kayıt için 275 ABD dolarından başlıyordu.

Mozilla Foundation‘a göre, 2023 yılına gelindiğinde popüler ruh sağlığı uygulamalarının %59’u en temel gizlilik standartlarını bile karşılayamadı ve %40’ı bir önceki yıla kıyasla daha az güvenli hale geldi. Bu uygulamalar, üçüncü taraf hizmetler (Google, Apple ve Facebook gibi) aracılığıyla hesap oluşturulmasına izin veriyor, veri toplama ayrıntılarını üstü kapalı bir şekilde ele alan şüpheli derecede kısa gizlilik ilkeleri içeriyor ve kurnaz bir küçük boşluktan yararlanıyordu: Bazı gizlilik ilkeleri yalnızca şirketin web sitesi için geçerliydi, ancak uygulamanın kendisi için geçerli değildi. Kısacası, sitedeki tıklamalarınız “korunuyordu”, ancak uygulama içindeki eylemleriniz savunmasız bırakılmıştı.

Kendinizi nasıl korursunuz?

Bu uygulamaları hayatınızdan tamamen çıkarmak elbette en garantili seçenek olsa da en gerçekçi seçenek değil. Ayrıca, hesabınızı silseniz bile, daha önce toplanan verileri gerçekten silebileceğinizin garantisi yok. Daha önce, veri simsarlarının veri tabanlarından bilgilerinizi silmenin ne kadar zahmetli bir süreç olduğunu ele almıştık; bu mümkün, ancak uğraşmaya hazır olun. Peki, nasıl güvende kalabilirsiniz?

• “Yükle” düğmesine basmadan önce izinleri kontrol edin. Google Play’de Uygulama açıklaması → Bu uygulama hakkında → İzinler bölümüne gidin. Bir ruh hali takip uygulamasının kameranıza, mikrofonunuza, rehberinize veya tam GPS konumunuza erişim izni istemesinin hiçbir mantıklı gerekçesi yoktur. Eğer öyleyse, amacın sizin iyiliğinizi düşünmek değil, veri toplamaktır.
• Gizlilik ilkesini mutlaka okuyun. Anlıyoruz, kimse bu sayfalarca uzun bildirimleri okumaz. Ancak bir hizmet, en mahrem düşüncelerinizi topluyorsa, bir göz atmaya değer. Dikkat edilmesi gereken noktalara dikkat edin: Şirket, verileri üçüncü taraflarla paylaşıyor mu? Kayıtlarınızı manuel olarak silebilir misiniz? İlke, açıkça uygulamanın kendisini mi, yoksa sadece web sitesini mi kapsıyor? İlke metnini her zaman bir yapay zekaya girip, gizlilik açısından kabul edilemez unsurları işaretlemesini isteyebilirsiniz.
• Son güncelleme tarihini kontrol edin. Altı aydan fazla süredir güncellenmemiş bir uygulama, büyük olasılıkla yamalanmamış güvenlik açıklarının istismar edildiği bir ortamdır. Unutmayın: Oversecured’ın test ettiği 10 uygulamadan 6’sı aylardır hiç açılmamıştı.
• Telefonunuzun gizlilik ayarlarında gereksiz olan her şeyi devre dışı bırakın. İstenildiğinde her zaman “izlemeyi engelle” seçeneğini seçin. Bir uygulama, “iç optimizasyon” için gerekli olduğunu öne sürerek belirli bir izleme türünü etkinleştirmenizi rica ettiğinde, bu durum işlevsel bir gereklilikten ziyade neredeyse her zaman bir pazarlama hilesi olur. Sonuçta, uygulama belirli bir izin olmadan gerçekten çalışmıyorsa, her zaman geri dönüp bu izni sonradan açabilirsiniz.
• “Şununla giriş yap…” hizmetlerini kullanmayın. Facebook, Apple, Google veya Microsoft üzerinden kimlik doğrulaması yapmak, yeni tanımlayıcılar oluşturur ve şirketlere verilerinizi farklı platformlar arasında birbirine bağlamak için altın bir fırsat sunar.
• Yazdığınız her şeyi, herkese açık bir sosyal medya paylaşımıymış gibi düşünün. İnternetteki rastgele bir yabancının okumasını istemediğiniz bir şeyi, geçen yıldan beri hiçbir yama uygulanmamış ve 150’den fazla güvenlik açığı bulunan bir uygulamaya yazmamalısınız.

Gizlilik ayarları ve çevrimiçi ortamda kişisel verilerinizi yönetme konusunda bilmeniz gereken diğer hususlar:

• Coğrafi konum veri simsarları: Ne yaparlar ve bilgi sızdırdıklarında ne olur?
• Veri simsarları neden sizin hakkınızda dosya oluşturur ve bunu nasıl engelleyebilirsiniz?
• İnternetten nasıl kaybolursunuz?
• Dijital ayak izinizi nasıl azaltabilirsiniz?
• Akıllı telefonlar hakkınızda nasıl dosya oluşturur?