Zero-Day (Sıfır Gün) Açıklık Hukuki Değerlendirmesi 2026
Zero-day (sıfır gün) açıklıklar, yazılım üreticisinin dahi haberdar olmadığı, yama yayınlanmamış güvenlik zafiyetleridir. Bu rehber zero-day istismarının hukuki nitelendirmesini, sorumlu açıklama (responsible disclosure) ilkelerini ve üretici-araştırmacı ilişkisini inceler.
Zero-Day Yaşam Döngüsü
Keşif → dahili/harici açıklama → yama geliştirme → yamanın dağıtımı → kamuoyu duyurusu aşamalarından oluşur. Her aşamada sorumluluklar farklılaşır.
Sorumlu Açıklama (Coordinated Disclosure)
Araştırmacı açıklığı üreticiye özel olarak bildirir, makul bir süre (genellikle 90 gün) verir ve yama çıktıktan sonra kamuya duyurur. Bu süreç etik araştırma standartlarının bir parçasıdır.
Bilgi Alışverişi ve TCK 245/A
Açıklığın silah haline getirilmiş halde (exploit) satılması veya dağıtılması TCK m.245/A kapsamında değerlendirilebilir. Araştırma amacıyla sınırlı paylaşım farklı bir kategoridir.
Bug Bounty Programları
Üreticilerin resmi bug bounty programı çerçevesinde yapılan açıklama ödüllendirilir; araştırmacı ile yapılan yazılı sözleşme, test kapsamı ve rıza sınırları kritik belgelerdir.
Dava ve Uyuşmazlık
Üretici-araştırmacı uyuşmazlıklarında ticari sır, sözleşme ihlali ve fikri mülkiyet tartışmaları birlikte ele alınır. Açıklama öncesi hukuki danışmanlık önem taşır.
Sıkça Sorulan Sorular
Zero-day bulursam satabilir miyim?
Kötü amaçla kullanılabilecek hale getirilmiş exploit’lerin satışı TCK 245/A kapsamında sorun yaratabilir; sorumlu açıklama yolu tercih edilmelidir.
Bug bounty kapsamı nasıl belirlenir?
Üreticinin yayınladığı program sözleşmesi, test edilebilir varlıklar ve yasaklı eylemler listesi belirleyicidir.
90 gün süresi bitti, üretici yama çıkarmadı?
Kamu güvenliği ve bilgi özgürlüğü arasında denge gözeterek kademeli açıklama planlanabilir.
Araştırmam yasal mı?
Yetkilendirilmiş test, yazılı rıza ve sözleşme ile desteklenmeli; aksi halde TCK 243 kapsamında sorumluluk doğabilir.
Bu içerik bilgilendirme amaçlıdır ve bireysel hukuki danışmanlık yerine geçmez. Somut olayınız için bir hukuk müşavirila görüşmeniz önerilir.
Yargıtay Ceza Genel Kurulu ve Yargıtay içtihatlarıkararlarında TCK m.243 bakımından sistem bütünlüğünün bozulup bozulmadığı araştırılmaktadır. Sanığın IP-cihaz-kullanıcı eşleşmesinin kesintisiz olarak ispatlanamadığı hallerde beraat kararları verilmektedir. Ayrıca rıza savunmasının somut olarak değerlendirilmesi, sistem sahibinin eski personel olması veya ortak kullanım bulunması halleri kritik savunma argümanlarıdır. Anayasa Mahkemesi bireysel başvuru kararlarında dijital delil elde edilmesinde CMK m.134’e uyumun sıkı biçimde denetlendiği ifade edilmektedir. Yargısal kararların güncel ve tam metinleri için mevzuat.adalet.gov.tr veritabanından sorgulama yapılabilir. Burada özetlenen yaklaşımlar somut olayın koşullarına göre değişebilir. Bilişim hukuku, KVKK, siber suçlar ve dijital delil konularındaki anlatımlarımız için @bilalalyar YouTube kanalını takip edebilirsiniz.İlgili Yargısal Yaklaşımlar
Bilişim Sistemine Girme — Yargısal Yaklaşım
Bölgenizdeki Bilişim Hukuku Danışmanlığı
Konuyla İlgili Video İçerikler
Bu içerik 17 Nisan 2026 tarihinde gözden geçirilmiştir.
Resmi Kaynaklar
- Mevzuat Bilgi Sistemi (mevzuat.gov.tr)
- Yargıtay Karar Arama (karararama.yargitay.gov.tr)
- UYAP Vatandaş Portalı (uyap.gov.tr)
- İstanbul Barosu (istanbulbarosu.org.tr)
- T.C. Adalet Bakanlığı (adalet.gov.tr)
- Türkiye Barolar Birliği (barobirlik.org.tr)
Hazırlayan Hukuku
Av. Bilal ALYAR — İstanbul Barosu Sicil No: 54965
Marmara Üniversitesi Hukuk Fakültesi mezunu (2015). Aile hukuku, ceza hukuku, kripto para hukuku, bilişim hukuku, şirketler hukuku ve vergi hukuku alanlarında faaliyet göstermektedir.
Bu içerik yalnızca genel bilgilendirme amaçlıdır; somut hukuki görüş ya da avukat-müvekkil ilişkisi oluşturmaz. Her dosya kendine özgü koşullar içerdiğinden, hukuki süreçlerde ilgili mevzuat çerçevesinde bilgilendirme alınması yararlı olabilir.