Zero-day (sıfır gün) açıklıklar, yazılım üreticisinin dahi haberdar olmadığı, yama yayınlanmamış güvenlik zafiyetleridir. Bu rehber zero-day istismarının hukuki nitelendirmesini, sorumlu açıklama (responsible disclosure) ilkelerini ve üretici-araştırmacı ilişkisini inceler.
Zero-Day Yaşam Döngüsü
Keşif → dahili/harici açıklama → yama geliştirme → yamanın dağıtımı → kamuoyu duyurusu aşamalarından oluşur. Her aşamada sorumluluklar farklılaşır.
Sorumlu Açıklama (Coordinated Disclosure)
Araştırmacı açıklığı üreticiye özel olarak bildirir, makul bir süre (genellikle 90 gün) verir ve yama çıktıktan sonra kamuya duyurur. Bu süreç etik araştırma standartlarının bir parçasıdır.
Bilgi Alışverişi ve TCK 245/A
Açıklığın silah haline getirilmiş halde (exploit) satılması veya dağıtılması TCK m.245/A kapsamında değerlendirilebilir. Araştırma amacıyla sınırlı paylaşım farklı bir kategoridir.
Bug Bounty Programları
Üreticilerin resmi bug bounty programı çerçevesinde yapılan açıklama ödüllendirilir; araştırmacı ile yapılan yazılı sözleşme, test kapsamı ve rıza sınırları kritik belgelerdir.
Dava ve Uyuşmazlık
Üretici-araştırmacı uyuşmazlıklarında ticari sır, sözleşme ihlali ve fikri mülkiyet tartışmaları birlikte ele alınır. Açıklama öncesi hukuki danışmanlık önem taşır.
Sıkça Sorulan Sorular
Zero-day bulursam satabilir miyim?
Kötü amaçla kullanılabilecek hale getirilmiş exploit’lerin satışı TCK 245/A kapsamında sorun yaratabilir; sorumlu açıklama yolu tercih edilmelidir.
Bug bounty kapsamı nasıl belirlenir?
Üreticinin yayınladığı program sözleşmesi, test edilebilir varlıklar ve yasaklı eylemler listesi belirleyicidir.
90 gün süresi bitti, üretici yama çıkarmadı?
Kamu güvenliği ve bilgi özgürlüğü arasında denge gözeterek kademeli açıklama planlanabilir.
Araştırmam yasal mı?
Yetkilendirilmiş test, yazılı rıza ve sözleşme ile desteklenmeli; aksi halde TCK 243 kapsamında sorumluluk doğabilir.
Bu içerik bilgilendirme amaçlıdır ve bireysel hukuki danışmanlık yerine geçmez. Somut olayınız için bir avukatla görüşmeniz önerilir.
İlgili Yargısal Yaklaşımlar
Bilişim Sistemine Girme — Yargısal Yaklaşım
Yargıtay Ceza Genel Kurulu ve Yargıtay 8. Ceza Dairesi kararlarında TCK m.243 bakımından sistem bütünlüğünün bozulup bozulmadığı araştırılmaktadır. Sanığın IP-cihaz-kullanıcı eşleşmesinin kesintisiz olarak ispatlanamadığı hallerde beraat kararları verilmektedir. Ayrıca rıza savunmasının somut olarak değerlendirilmesi, sistem sahibinin eski personel olması veya ortak kullanım bulunması halleri kritik savunma argümanlarıdır. Anayasa Mahkemesi bireysel başvuru kararlarında dijital delil elde edilmesinde CMK m.134’e uyumun sıkı biçimde denetlendiği ifade edilmektedir.
Yargısal kararların güncel ve tam metinleri için mevzuat.adalet.gov.tr veritabanından sorgulama yapılabilir. Burada özetlenen yaklaşımlar somut olayın koşullarına göre değişebilir.
Bölgenizdeki Bilişim Avukatlığı Danışmanlığı
Konuyla İlgili Video İçerikler
Bilişim hukuku, KVKK, siber suçlar ve dijital delil konularındaki anlatımlarımız için @bilalalyar YouTube kanalını takip edebilirsiniz.
Bu içerik 17 Nisan 2026 tarihinde gözden geçirilmiştir.