Fransa'daki En Büyük 10 Veri İhlali [2026]

1. Giriş#

Fransa, Avrupa'da ihlallerin en çok yaşandığı yargı bölgelerinden biri hâline geldi. 2024 ile 2025 yılları arasında kamu hizmetleri, sağlık, telekom ve perakende sektörlerinde Fransız vatandaşlarına ait 145 milyondan fazla kayıt ifşa edildi; bu da istatistiksel olarak Fransa'da ikamet eden her bireyin birden fazla ihlalin parçası olduğu anlamına geliyor. CNIL'e göre 2024 yılında 5.600'den fazla ihlal bildirimi alınarak tüm zamanların en yüksek seviyesine ulaşıldı.

Bu makale; France Travail olayında ifşa edilen 43 milyon kayıttan Cegedim Santé sağlık yazılımı sızıntısına kadar yakın Fransa tarihindeki en önemli 10 veri ihlalini ve bunun yanı sıra Fransa'da faaliyet gösteren tüm kuruluşlar için geçerli olan CNIL bildirim kurallarını, cezaları ve önleme kalıplarını listelemektedir.

2. Fransa Veri İhlalleri İçin Neden Cazip Bir Hedef?#

Fransa'nın yüksek düzeyde dijitalleşmiş kamu sektörü, yoğun sağlık ödeme ekosistemi ve her biri on milyonlarca abone kaydına sahip üç büyük telekom operatörü, devasa bir saldırı yüzeyi oluşturmak üzere bir araya gelmektedir. Buna benzer ülkelere kıyasla siber güvenliğe kronik olarak yetersiz yatırım yapılması ve ön saflardaki danışmanları hedef alan sosyal mühendislik de eklendiğinde, sonuç Fransa'nın 2024-2026 yıllarında deneyimlediği rekor kıran ihlaller serisidir.

2.1 Son Derece Dijitalleşmiş Kamu Sektörü#

Fransa, Avrupa'daki en gelişmiş e-devlet teknoloji yığınlarından (stack) birine sahiptir. Ulusal kimlik federasyonu olan FranceConnect; vergi, sağlık, istihdam ve aile yardımlarına erişimi yönlendirir. Bu nedenle ele geçirilen tek bir danışman hesabı, France Travail, Pass'Sport ve OFII'de görüldüğü gibi on yıllara yayılan kayıtları ifşa edebilir. Kamu sektörü, vatandaşların verilerini doğumdan ölüme kadar elinde tutmakta ve ölçek olarak eşi benzeri olmayan bir hassas kayıt yoğunluğu yaratmaktadır.

2.2 Üçüncü Taraf İşleyicilerden Oluşan Yoğun Ekosistem#

Fransız sağlık sigortası, onlarca sigorta sandığı (mutuelle) için verileri işleyen az sayıda "tiers payant" (üçüncü taraf ödeme) platformuna (Viamedis, Almerys, Cegedim) dayanmaktadır. Bu nedenle bir yetkisiz giriş, on milyonlarca poliçe sahibine yayılır. Aynı kalıp telekom (Bouygues Telecom'un üçüncü taraf bir tedarikçi aracılığıyla gerçekleşen 2025 ihlali) ve e-ticaret alanlarında da görülmektedir. Olgun şirket içi güvenlik programlarına sahip kuruluşlar bile tedarikçi ağları aracılığıyla ifşaya açık kalmaktadır.

2.3 Siber Güvenliğe Kronik Olarak Yetersiz Yatırım#

Edouard.ai gibi bağımsız analizler, Fransa'nın kamu siber güvenlik harcamalarının GSYİH'nin yaklaşık %0,03'ü (resmî bir rakam değil, bir tahmin) olduğunu ve Avrupa'daki benzer ülkelerden belirgin şekilde daha düşük olduğunu tahmin etmektedir. Tarihsel olarak ortalama CNIL cezaları AB'deki emsallerinin altında kalmış ve yetersiz güvenlik için mali caydırıcılığı azaltmıştı; ancak düzenleyici kurum şimdi bu açığı Free Mobile, France Travail ve diğerlerine yönelik rekor yaptırımlarla kapatmaktadır.

2.4 Sosyal Mühendislik ve MFA Boşlukları#

Fransa'daki en büyük olaylardan birkaçı (France Travail, Viamedis, Free), oltalama (phishing) dirençli MFA zorunluluğu getirmeyen danışman veya çalışan portallarında oltalama ya da hesap ele geçirme işlemleriyle başladı. Her vakada saldırganlar temel altyapıdan ziyade uç noktalardaki insanları hedef aldı. FIDO Alliance, her geçiş anahtarı meşru kökene bağlandığı ve saldırgan kontrollü sitelere karşı tekrar oynatılamadığı (replayed) için geçiş anahtarlarını (passkeys) tasarım gereği oltalama dirençli olarak sınıflandırır. Geçiş anahtarlarını veya donanım destekli kimlik doğrulamayı henüz uygulamaya koymamış olan Fransız kamu hizmetleri ve telekom şirketleri, aynı saldırı sınıfına karşı savunmasız kalmaya devam etmektedir.

3. Fransa'daki En Büyük 10 Veri İhlali#

2023'ten bu yana en büyük on Fransız veri ihlali, toplamda en az 145 milyon kaydı ifşa etti ve Ocak 2026'ya kadar toplam 47 milyon euro tutarında CNIL cezası tetikledi. Bu ihlaller; kamu hizmetlerini (France Travail, Pass'Sport), sağlık platformlarını (Viamedis, Almerys, Cegedim Santé), telekomu (Free, Bouygues Telecom) ve tüketici perakendesini (ManoMano, Sport 2000) kapsamaktadır. Aşağıdaki tablo; kapsam, yıl ve düzenleyici sonuçları özetlemektedir; ayrıntılı vaka açıklamaları ve önleme kalıpları ise tablodan sonra yer almaktadır.

3.1 France Travail Veri İhlali (2024)#

Mart 2024'te France Travail (eski adıyla Pôle Emploi) ve Cap Emploi, şu anda Fransa tarihindeki en büyük veri ihlali olarak kabul edilen durumu açıkladı. Saldırganlar, Cap Emploi danışmanlarının (engellileri destekleyen kurum) hesaplarını ele geçirmek için sosyal mühendislik yöntemlerini kullandı ve son 20 yıl içinde kayıt yaptırmış olan tüm bireylerin yanı sıra francetravail.fr'de profili bulunan adayların verilerine erişti. CNIL'e göre bu durumdan 43 milyona kadar kişi etkilenmiş olabilir.

22 Ocak 2026'da CNIL, France Travail'e GDPR Madde 32 kapsamında 5 milyon euro para cezası verdi; burada bir kamu kurumu için yasal üst sınır 10 milyon euro'dur. Düzenleyici kurum, "temel güvenlik ilkelerinin dikkate alınmadığını" belirtti ve günlük 5.000 euro ceza tehdidiyle düzeltici önlemler emretti. Bu, France Travail'in zaten ikinci ihlaliydi: Ağustos 2023'te, bir MOVEit Transfer sıfırıncı gün (zero-day) açığından yararlanan Cl0p fidye yazılımı grubuyla bağlantılı üçüncü taraf bir olay, hâlihazırda 10 milyon kullanıcının verilerini ifşa etmişti.

Önleme yöntemleri:

• Toplu vatandaş verilerine erişen tüm danışman ve yönetici hesapları için oltalama dirençli MFA (geçiş anahtarları) zorunluluğu getirmek
• Vatandaş veritabanlarında toplu sorgu anormallik tespiti ve katı veri saklama kuralları uygulamak

3.2 ManoMano Veri İhlali (2026)#

Şubat 2026'da, Fransız yapı market e-ticaret devi ManoMano'nun adı, tehdit aktörleri tarafından birden fazla Fransız siber güvenlik takipçisinde (tracker) atıfta bulunulan bir veri satışında geçti. Aktör; kimlik verileri, iletişim bilgileri ve idari bilgiler dâhil olmak üzere 37,8 milyona kadar müşteri kaydını ele geçirdiğini iddia etti. İddianın boyutu aktif Fransız müşterilerden ziyade platformun kümülatif AB kullanıcı tabanıyla tutarlıdır, ancak olay hâlâ şimdiye kadar gözlemlenen en yüksek hacimli Fransa bağlantılı veri satışlarından biridir.

Bu ifşa, Fransa'daki büyük tüketici pazaryerlerinin, özellikle de verilerin dolandırıcılık amaçlı "kimlik grafikleri" oluşturmak için önceki sızıntılarla birleştirilebilmesi durumunda, saldırganlar için bankalar veya telekomünikasyon şirketleri kadar cazip hâle geldiğinin altını çizmektedir.

Önleme yöntemleri:

• Yeraltı forumlarını ve ihlal pazaryerlerini ifşa olan müşteri listelerine karşı sürekli olarak izlemek ve müşteri uç noktalarında (endpoints) güçlü API hız sınırları (rate limits) uygulamak
• Tarihsel, düşük aktiviteli müşteri profillerinin saklanmasını en aza indirmek

3.3 Viamedis ve Almerys Veri İhlali (2024)#

Ocak ve Şubat 2024'te, tamamlayıcı sağlık sigortası için iki Fransız üçüncü taraf ödeme işleyicisi olan Viamedis ve Almerys ardı ardına ihlal edildi. CNIL, bu olayların toplamda Fransa nüfusunun neredeyse yarısı olan 33 milyon kişiyi etkilediğini doğruladı.

Viamedis izinsiz girişi, sağlık profesyonellerini hedef alan ve saldırganların çalınan kimlik bilgilerini sağlayıcı portalında tekrar kullanmasına olanak tanıyan bir oltalama saldırısına dayandırıldı. Almerys'in ise benzer bir sağlık profesyoneli portalı aracılığıyla vurulduğundan şüphelenilmektedir.

Önleme yöntemleri:

• Sigortalı üye verilerine erişen her bir sağlık profesyoneli için oltalama dirençli MFA (geçiş anahtarları) dağıtmak
• Tiers-payant platformlarını parçalara (segment) ayırarak, güvenliği ihlal edilmiş tek bir portalın tüm ulusal veritabanını ifşa edememesini sağlamak

3.4 Free Veri İhlali (2024)#

Ekim 2024'te Free (Fransa'nın en büyük ikinci İSS'si ve Iliad grubunun bir yan kuruluşu), saldırganların şirket içi bir yönetim aracını ele geçirdiğini ve 5,11 milyon Freebox müşterisinin tümünün IBAN'ları da dâhil olmak üzere 19,46 milyon Free Mobile ve 5,17 milyon Freebox sözleşmesine ait verileri sızdırdığını doğruladı. Veriler hızla BreachForums'ta "drussellx" olarak bilinen bir tehdit aktörü tarafından açık artırmaya çıkarıldı ve son teklif 175.000 euro'ya ulaştı.

Free; şifrelerin, ödeme kartı verilerinin ve iletişim içeriğinin etkilenmediğini vurguladı ancak IBAN, tam isim ve doğum tarihinin birleşimi, doğrudan ödeme (direct-debit) dolandırıcılığı ve yüksek kaliteli oltalama için yeterlidir. 13 Ocak 2026'da CNIL, abone verileriyle ilgili yetersiz güvenlik nedeniyle Free Mobile'a 27 milyon euro ve Free'ye 15 milyon euro yaptırım uyguladı (toplam 42 milyon euro); bu, Fransa'da bir veri ihlali için şimdiye kadar verilen en büyük birleşik GDPR yaptırımlarından biridir.

Önleme yöntemleri:

• Ayrıcalıklı şirket içi araçları, oltalama dirençli MFA ve tam zamanında erişim (just-in-time access) ile korumak
• Abone kayıtlarının doğrudan paraya çevrilememesi için IBAN'ları ve ödeme tanımlayıcılarını tokenize etmek

3.5 Cegedim Santé (MLM) Veri İhlali (2025)#

Ekim 2025'te saldırganlar, Cegedim Santé tarafından düzenlenen ve binlerce Fransız sağlık profesyoneli tarafından kullanılan bir tıbbi muayenehane yönetim yazılımı olan "MonLogicielMedical.com"u (MLM) ihlal etti. Fransız Sağlık Bakanlığı'na göre olay, 15 yıllık geçmişi kapsayan ve 19 milyon dijital kayıt satırına ulaşan yaklaşık 15 milyon Fransız hastanın idari verilerini tehlikeye attı.

Cegedim Santé Şubat 2026'daki açıklamasında, söz konusu verilerin tamamen idari (soyadı, adı ve cinsiyet gibi kimlik türü bilgiler) olduğunu ve yapılandırılmış klinik kayıtların, serbest metin tıbbi yorumların ve HIV durumu gibi hassas teşhislerin söz konusu olmadığını belirtti. 27 Ekim 2025 tarihinde "otomatik bir veri sistemini ihlal etme" suçundan ceza soruşturması açıldı.

Önleme yöntemleri:

• Bulut tıbbi yazılımlarına erişen her pratisyen hekim için güçlü kimlik doğrulama (geçiş anahtarları) zorunluluğu getirmek
• SaaS tıbbi platformlarında, idari kimlik verileri ile klinik kayıtlar arasında sıkı veri minimizasyonu ve ayrımı uygulamak

3.6 France Travail MOVEit İhlali (2023)#

France Travail, manşetlere çıkan 2024 yılındaki olaydan önce de Progress MOVEit Transfer yazılımındaki bir sıfırıncı gün (zero-day) açığından yararlanan Cl0p fidye yazılımı grubuyla bağlantılı üçüncü taraf bir ihlalin kurbanı olmuştu. Saldırı; isimler, NIR'ler (sosyal güvenlik numaraları) ve iletişim bilgileri de dâhil olmak üzere yaklaşık 10 milyon iş arayanın kişisel bilgilerini ifşa etti. Bu ihlal, dünya çapında yüzlerce kuruluşu etkileyen küresel MOVEit tedarik zinciri dalgasının bir parçasıydı ve aynı kuruma yönelik çok daha büyük 2024 ihlalinin habercisi niteliğindeydi.

Önleme yöntemleri:

• İnternete açık üçüncü taraf dosya aktarım yazılımlarının güncel bir envanterini tutmak ve sıfırıncı gün pencereleri için sanal yama (virtual patching) uygulamak
• Dosya aktarım boru hatlarını (pipelines) temel İK ve vatandaş veritabanlarından ayırmak

3.7 Bouygues Telecom Veri İhlali (2025)#

4 Ağustos 2025'te, yaklaşık 14,5 milyon mobil abonesi ve toplamda yaklaşık 23 milyon müşteri tabanına sahip Fransa'nın başlıca mobil operatörlerinden biri olan Bouygues Telecom, bir müşteri yönetim sistemine yönelik siber saldırı tespit etti. İki gün sonra şirket, saldırganların IBAN'lar da dâhil olmak üzere 6,4 milyon müşteri için kişisel ve sözleşmeye dayalı verilere eriştiğini doğruladı. Şifreler ve ödeme kartı numaraları tehlikeye girmedi.

Üçüncü taraf bir tedarikçiden kaynaklandığına inanılan ihlal, CNIL ve ANSSI'ye bildirildi. Fransız Ceza Kanunu Madde 323-1 uyarınca saldırgan, otomatik bir veri işleme sistemine yetkisiz erişimden dolayı üç yıla kadar hapis cezasıyla karşı karşıyadır; verilerin değiştirilmesi veya sistemin bozulması durumunda bu süre beş yıla çıkmaktadır. Bouygues Telecom ise üçüncü taraf risk yönetimi nedeniyle CNIL'den GDPR incelemesi ile karşı karşıyadır. Olay, 2024-2025 yıllarında SFR (Eylül 2025, bankacılık detayları) ve Free'yi de vuran daha geniş bir modelin parçasıdır.

Önleme yöntemleri:

• Üçüncü taraf tedarikçileri temel saldırı yüzeyinin bir parçası olarak değerlendirmek ve tüm bağlı sistemlerde oltalama dirençli MFA talep etmek
• Toplu veri hırsızlığının değerini sınırlamak için IBAN'ları ve diğer ödeme tanımlayıcılarını tokenize etmek

3.8 Pass'Sport Veri İhlali (Aralık 2025)#

Pass'Sport, Fransa Spor Bakanlığı tarafından yürütülen ve uygun gençlere spor kulübü üyelikleri için 70 euro sübvansiyon (daha önce 50 euro) sağlayan bir hükûmet programıdır. 17-18 Aralık 2025 gecesi, 22 milyondan fazla veri satırı içeren 15 GB'lık bir dosya çevrimiçi olarak ortaya çıktı. İlk medya raporları yanlış bir şekilde sızıntıyı Caisse d'Allocations Familiales'e (CAF) atfetti; kurum caf.fr'ye herhangi bir izinsiz girişi alenen reddetti. Spor Bakanlığı daha sonra verilerin, yararlanıcıların ve onların ebeveynlerinin veya vasilerinin yaklaşık 3,5 milyon hanesini ve 6,4 milyon benzersiz e-posta adresini kapsayan Pass'Sport bilgi sisteminden kaynaklandığını doğruladı.

İfşa edilen kayıtlar Eylül 2024'ten Kasım 2025'e kadar olan süreyi kapsıyordu; tam kimlikleri, posta adreslerini, telefon numaralarını ve e-posta adreslerini içeriyordu ancak bankacılık verileri veya şifreleri içermiyordu. Bu veri seti, özellikle reşit olmayan çocukları olan ailelere yönelik hedeflenmiş oltalama (phishing) için değerlidir ve o zamandan beri büyük bir kısmı Have I Been Pwned'da indekslenmiştir.

Önleme yöntemleri:

• Yöneticiler için zorunlu oltalama dirençli MFA dâhil olmak üzere, reşit olmayanların verilerini işleyen sistemlere mümkün olan en katı korumayı uygulamak
• Program sona erdikten sonra yararlanıcı verilerinin saklanma süresini en aza indirmek

3.9 Sport 2000 Veri İhlali (2024)#

Nisan 2024'te Fransız spor malzemeleri perakendecisi Sport 2000, daha sonra Have I Been Pwned tarafından indekslenen bir veri ihlali yaşadı. "ChatNoir7331" takma adıyla faaliyet gösteren bir tehdit aktörü, 3,2 milyon benzersiz e-posta adresine sahip 4,4 milyon satırlık bir veritabanını bir bilgisayar korsanlığı forumunda satışa sundu; ardından veri seti Haziran 2024'te ücretsiz olarak yeniden yayımlandı. Sızıntı; isimleri, e-posta ve posta adreslerini, telefon numaralarını, doğum tarihlerini ve belirli mağaza konumlarına kilitlenmiş (keyed) detaylı satın alma geçmişini içeriyordu.

İletişim verileri ve mağaza başına satın alma geçmişinin birleşimi, Sport 2000 sızıntısını yüksek oranda hedeflenmiş oltalama ("Sport 2000 Lyon'daki son satın alımınız...") için özellikle faydalı kılıyor ve pazarlama veritabanlarının zayıf bir şekilde segmentlere ayrıldığında, orta ölçekli Fransız perakendecilerin nasıl tüketici ölçeğinde ihlaller üretebileceğini göstermektedir.

Önleme yöntemleri:

• Pazarlama ve işlemsel veritabanlarını bölümlere (segment) ayırmak ve üçüncü taraf pazarlama araçları tarafından kullanılan erişim token'larını (access tokens) rotasyona tabi tutmak
• Kimliği belirlenebilir müşterilere bağlı tarihsel satın alma verilerinin saklanmasını en aza indirmek

3.10 Fédération Française de Football Veri İhlali (2025)#

2025 yılında Fédération Française de Football (FFF), lisanslı üyelerinin kişisel verilerini ifşa eden bir ihlal açıkladı. FFF, 2023-2024 sezonu için yaklaşık 2,38 milyon lisanslı üye yayımlamıştır. FFF'nin kendi "vol de données" (veri hırsızlığı) bildirimine göre bu olay; kimlik ve iletişim verilerini (isimler, doğum tarihleri, lisans numaraları ve bazı kimlik belgeleri) kapsıyordu ve sağlık verilerini açıkça kapsam dışı bırakıyordu. FFF olayı; Fédération Française de Voile, Fédération Française de Gymnastique, Fédération Française de Tir ve diğerlerini de vuran, devasa tarihsel veri setleri ve nispeten zayıf BT güvenlik bütçeleri nedeniyle Fransız spor federasyonlarının cazip hedefler olduğunu doğrulayan bir dalganın parçasıydı.

Önleme yöntemleri:

• Üyelerin on yıllara yayılan verilerini ellerinde tutan federasyonlarda ve kâr amacı gütmeyen kuruluşlarda siber güvenlik yatırımlarına öncelik vermek
• Lisansları işletmek için artık ihtiyaç duyulmayan tarihsel kayıtları silmek

4. Fransa'da Bir Veri İhlali Nasıl Bildirilir#

Fransız veri sorumluları, GDPR Madde 33 uyarınca bir kişisel veri ihlalinden haberdar olduktan sonra 72 saat içinde CNIL'e bildirimde bulunmalıdır. İhlalin, etkilenen bireyler için yüksek risk oluşturması muhtemelse, GDPR Madde 34 onların gecikmeksizin bilgilendirilmesini gerektirir. Hayati önem taşıyan operatörler (OIV) ve temel hizmet operatörleri (OSE) ayrıca ANSSI'ye de bildirimde bulunur; NIS2 direktifinin Fransız hukukuna tam olarak aktarılması ise 2026 yılında hâlâ devam ediyordu.

4.1 GDPR 72 Saat Kuralı (Madde 33)#

GDPR Madde 33 uyarınca bir veri sorumlusu, bir kişisel veri ihlalini haberdar olduktan sonraki en geç 72 saat içinde CNIL'e bildirmelidir. Bildirim gecikirse, veri sorumlusu gecikmenin nedenlerini sunmalıdır. Bildirimde ihlalin niteliği, etkilenen bireylerin kategorileri ve yaklaşık sayısı, olası sonuçları ve alınan veya önerilen önlemler açıklanmalıdır.

4.2 Yetkili Makam: CNIL#

Almanya'nın eyalet düzeyindeki 16 DPA'sının aksine, Fransa'nın tek bir ulusal denetim makamı vardır: Commission Nationale de l'Informatique et des Libertés (CNIL). CNIL, hem kamu hem de özel sektör veri sorumluları için GDPR'yi uygular ve 20 milyon euro'ya veya küresel yıllık cironun %4'üne kadar (hangisi daha yüksekse) idari para cezası uygulama yetkisine sahiptir. Free Mobile ve Free'ye (27 milyonu Free Mobile'a olmak üzere 42 milyon euro) ve France Travail'e (5 milyon euro) yönelik son birleşik yaptırımlar, CNIL'in uyarılardan cezai yaptırımlara geçtiğini göstermektedir.

4.3 OIV, OSE ve NIS2 için ANSSI Raporlaması#

Hayati önem taşıyan operatörler (OIV) ve temel hizmet operatörleri (OSE), önemli siber olayları ayrıca Fransız ulusal siber güvenlik kurumu ANSSI'ye de bildirmek zorundadır. NIS2 direktifi, zorunlu raporlamayı dijital hizmet sağlayıcıları, üretim ve atık yönetimi dâhil olmak üzere daha fazla sektöre genişletmektedir. Bunun Fransız hukukuna aktarılması süreci 2026'da devam ediyordu ve ANSSI tüm süreç boyunca iletişim kuracağını belirtmiştir; Avrupa Komisyonu da eksik aktarımla ilgili gerekçeli bir görüş bildirmiştir. Yürürlüğe girdiğinde raporlar aşamalı bir zaman çizelgesini takip edecektir: 24 saat içinde erken uyarı, 72 saat içinde tam bildirim ve bir ay içinde nihai rapor.

4.4 Bireysel Bildirim (Madde 34)#

Bir ihlalin bireylerin hak ve özgürlükleri için yüksek bir risk oluşturması muhtemel olduğunda, GDPR Madde 34, etkilenen kişilere açık ve sade bir dille doğrudan bildirim yapılmasını zorunlu kılar. France Travail, Viamedis, Free ve Cegedim Santé vakalarının tümü Madde 34 yükümlülüklerini tetiklemiştir. Bildirimde bulunmamak, temel ihlale ek olarak ek düzenleyici cezalar için yaygın bir tetikleyicidir.

5. Fransa'daki Veri İhlallerinde Eğilimler#

On vaka boyunca dört kalıp tekrarlanmaktadır: vatandaş verilerinin yüksek düzeyde dijitalleşmiş bir kamu sektöründe yoğunlaşması, baskın giriş noktası olarak üçüncü taraf ve tedarik zincirinin ihlali, Fransız kamu portallarını kolay hedeflere (soft targets) dönüştüren kimlik bilgisi doldurma (credential stuffing) ve yaptırım uygulamasında hızla arayı kapatan bir CNIL. Bu kalıpları anlamak, bireysel olayları ezberlemekten daha eyleme dönüştürülebilirdir.

5.1 Kamu Sektörünün Dijitalleşmesi Ülke Çapında Bir Saldırı Yüzeyi Yaratıyor#

France Travail, OFII, FICOBA ve Pass'Sport, vatandaş verilerinin birkaç kamu platformunda ne kadar yoğunlaştığını göstermektedir. Cap Emploi'deki ele geçirilmiş bir danışman hesabı 43 milyon kaydı ifşa etmeye yetti; sızdırılan tek bir Pass'Sport iş ortağı entegrasyonu 3,5 milyon haneyi ifşa etmeye yetti. Fransa'nın FranceConnect'e ve paylaşılan kamu hizmeti oturumlarına bağımlılığı bu riski artırır: Bir NIR'e bağlı ele geçirilmiş tek bir şifre, aynı anda birden fazla kamu hizmetinin kilidini açabilir.

5.2 Üçüncü Taraf Satıcılar Kritik Bir Zayıf Halkadır#

Viamedis, Almerys, Cegedim Santé, Bouygues Telecom ve 2023 France Travail MOVEit olayının aynı kök nedeni vardır: ana markada değil, bir üçüncü taraftaki ihlal. Olgun şirket içi güvenlik programlarına sahip kuruluşlar bile satıcı ağları aracılığıyla ifşaya açık kalmaktadır. Bir avuç işleyicinin düzinelerce sigorta sandığının verilerini ele aldığı tiers-payant sağlık sigortası modeli, tek bir noktadaki başarısızlık (single-point-of-failure) ihlallerine karşı özellikle savunmasızdır.

5.3 Kimlik Bilgisi Doldurma, Kamu Portallarını Kolay Hedef Hâline Getiriyor#

Kimlik bilgisi doldurma, Fransa'daki her ihlalden sonra varsayılan takip saldırısı hâline gelmiştir. Şubat 2024'te LulzSec bilgisayar korsanlığı grubu, caf.fr'de herhangi bir teknik ihlal olmaksızın sırf şifrenin yeniden kullanılması yoluyla 600.000'e kadar CAF hesabının ele geçirildiğini iddia etti. Ağustos 2024'teki müteakip bir sızıntı, bir bilgisayar korsanlığı forumunda 60.369 CAF giriş (login) kombinasyonunu (NIR + şifre) daha ifşa etti. Fransız kamu hizmetleri şifre girişini kabul ettiği sürece, Avrupa'nın herhangi bir yerindeki her yeni ihlal, onlara karşı kimlik bilgisi doldurma saldırılarını besler.

5.4 CNIL Yaptırımları Arayı Kapatıyor#

Ocak 2026 itibarıyla CNIL, uyarılardan cezai yaptırımlara geçmiştir. 13 Ocak 2026'da Free Mobile ve Free'ye ortaklaşa 42 milyon euro (27 milyonu Free Mobile'a ve 15 milyonu Free'ye olmak üzere) para cezası verildi ve France Travail'e GDPR Madde 32 kapsamında 22 Ocak 2026'da 5 milyon euro para cezası kesildi (bir kamu kurumu için yasal üst sınır 10 milyon euro'dur). Tarihsel olarak ortalama CNIL cezaları, GDPR tavanlarının oldukça altında kalmıştı. Madde 82 kapsamındaki, sayısı giderek artan toplu dava (class-action) tarzı tazminat talepleriyle birleştiğinde Fransa; Almanya, Hollanda ve İrlanda ile aynı yaptırım kademesine geçmiştir.

6. Sonuç#

Fransa'da yakın zamanda yaşanan en büyük on ihlal tutarlı bir hikâye anlatıyor: kimlik bilgileri ve üçüncü taraf erişimi ortak paydalardır. France Travail'de sosyal mühendislik kurbanı olan danışman hesapları, Viamedis'te oltalanan (phished) sağlık profesyonelleri, Free'de ele geçirilen şirket içi araç, Pass'Sport'un sızdırılan iş ortağı entegrasyonu ve Bouygues Telecom'un üçüncü taraf tedarikçisinin tümü aynı temel zayıflığa dayanmaktadır: on yıllara yayılan vatandaş verilerini barındıran sistemlerde şifrelerle kimlik doğrulayan insanlar ve satıcılar.

Karşı önlemler de aynı derecede tutarlıdır: geçiş anahtarları gibi oltalama dirençli kimlik doğrulama, katı üçüncü taraf erişim yönetişimi, sürekli dark web izlemesi ve 72 saatlik CNIL bildirimi hazırlığı. CNIL'in artık sekiz ve dokuz haneli cezalar kestiği göz önüne alındığında, 2026 yılında bunları yönetim kurulu düzeyinde öncelikler olarak ele alan Fransız kuruluşları, hem düzenleyici cezalarından hem de Fransa ihlallerinin son üç yılını tanımlayan itibar kaybından kaçınacaktır.

Corbado Hakkında

Corbado, büyük ölçekte tüketici kimlik doğrulaması yöneten CIAM ekipleri için Passkey Intelligence Platform'tur. IDP loglarının ve genel analytics araçlarının göremediğini görmenizi sağlarız: hangi cihazların, OS sürümlerinin, tarayıcıların ve credential manager'ların passkey desteklediğini; kayıtların neden girişe dönüşmediğini; WebAuthn akışının nerede başarısız olduğunu; bir OS ya da tarayıcı güncellemesinin girişi sessizce ne zaman bozduğunu — hem de Okta, Auth0, Ping, Cognito veya kendi IDP'nizi değiştirmeden. İki ürün: Corbado Observe, passkey'ler ve diğer tüm giriş yöntemleri için observability sağlar. Corbado Connect, analytics entegre managed passkey'ler sunar (IDP'nizin yanında). VicRoads, Corbado ile 5M+ kullanıcı için passkey çalıştırıyor (%80+ passkey aktivasyonu). Bir Passkey uzmanıyla görüşün →

Sık Sorulan Sorular#

2024 yılındaki France Travail veri ihlali neydi?#

Mart 2024'te France Travail (eski adıyla Pôle Emploi) ve Cap Emploi, Fransa tarihindeki en büyük veri ihlalini duyurdu. Saldırganlar, Cap Emploi danışman hesaplarını ele geçirmek için sosyal mühendislik yöntemlerini kullandı ve isimler, doğum tarihleri, sosyal güvenlik numaraları, France Travail kimlikleri ve iletişim bilgileri dâhil olmak üzere son 20 yılda 43 milyona kadar iş arayanın kişisel verilerini sızdırdı. 22 Ocak 2026'da CNIL, GDPR Madde 32 kapsamında France Travail'e 5 milyon euro para cezası verdi; burada bir kamu kurumu için yasal üst sınır 10 milyon euro'dur.

Fransa'da bir veri ihlalini nasıl bildirirsiniz?#

GDPR Madde 33 uyarınca, Fransız veri sorumluları bir kişisel veri ihlalinden haberdar olduktan sonra 72 saat içinde CNIL'e bildirimde bulunmalıdır. İhlalin, etkilenen bireyler için yüksek risk oluşturması muhtemelse, Madde 34 onların gecikmeksizin bilgilendirilmesini gerektirir. Hayati önem taşıyan operatörler (OIV) ve temel hizmet operatörleri (OSE) mevcut Fransız yasaları kapsamında ANSSI'ye bildirimde bulunur; NIS2 direktifinin Fransız hukukuna tam olarak aktarılması ise 2026 yılında hâlâ devam ediyordu.

Fransa'da bir veri ihlalinden sonra şimdiye kadar verilen en büyük CNIL cezası nedir?#

13 Ocak 2026'da CNIL, 5,11 milyon IBAN dâhil olmak üzere 24,6 milyon sözleşmenin verilerini ifşa eden 2024 yılındaki bir ihlale katkıda bulunan yetersiz güvenlik nedeniyle Free Mobile'a 27 milyon euro ve Free'ye 15 milyon euro (toplam 42 milyon euro) ortak para cezası verdi. Bu, Fransa'da bir veri ihlali için şimdiye kadar verilen en büyük birleşik GDPR yaptırımlarından biridir. France Travail'e 22 Ocak 2026'da Madde 32 kapsamında 5 milyon euro para cezası verildi.

Fransa neden veri ihlalleri için böylesine birincil bir hedef hâline geldi?#

Fransa; son derece dijitalleşmiş bir kamu sektörünü (France Travail, CAF, DGFiP, OFII), yoğun bir sağlık ödeme ekosistemini (Viamedis, Almerys, Cegedim) ve her biri on milyonlarca abone kaydına sahip üç büyük telekom operatörünü bir araya getiriyor. GSYİH'ye kıyasla siber güvenliğe kronik olarak yetersiz yatırım yapılması, üçüncü taraf platformlara aşırı bağımlılık ve halkla temas kuran danışmanlara yönelik sosyal mühendislik saldırıları, 2024 ile 2025 yılları arasında neden 145 milyondan fazla Fransız kaydının ifşa edildiğini açıklıyor.

Fransız veri ihlalleri kimlik bilgisi doldurma saldırılarını nasıl besliyor?#

İhlaller; e-posta adreslerini, sosyal güvenlik numaralarını ve genellikle dark web forumlarında alınıp satılan şifreleri ifşa eder. Saldırganlar şifrelerin yeniden kullanılmasından yararlanarak bu kimlik bilgilerini bankalara, kamu hizmetlerine ve perakendecilere karşı tekrar kullanırlar. Şubat 2024'teki CAF olayı, caf.fr'de herhangi bir teknik ihlal olmaksızın sırf kimlik bilgisi doldurma yoluyla 600.000'e kadar hesabı ele geçirmiş olup, Fransız ihlallerinin ifşadan uzun süre sonra bile saldırıları nasıl beslemeye devam ettiğini göstermektedir.