Mobil Operatörünüz Sizi Ne Kadar Tanıyor?
Telefonunuzu cebinize koydunuz, sessize aldınız, ekranı kapattınız. Bütün gün hiç açmadınız. Akşam eve döndüğünüzde operatörünüz hâlâ sizin hakkınızda şunları biliyor: sabah saat kaçta evinizden çıktığınızı, hangi rotayı takip ettiğinizi, öğlen kimle 8 dakika telefonda konuştuğunuzu, hangi cafede mola verdiğinizi, akşam hangi metro istasyonunda indiğinizi.
Telefonunuzu hiç kullanmadığınız bir gün bile — sadece açık olması yeterli — operatöre yüzlerce sayfalık bir veri akışı oldunuz.
Peki tam olarak ne görüyorlar? Neyi göremiyorlar? Bilmediğimiz neler var?
Operatör her zaman görür
Mobil operatörünüzün doğal olarak görmesi gereken üç temel veri katmanı vardır. Bunlar olmadan zaten size hizmet veremezler — bir tür "teknik zorunluluk".
Konumunuz. Telefonunuz her zaman en yakın baz istasyonuyla iletişim halindedir. Şehir merkezlerinde baz istasyonları arasındaki mesafe çok küçük olduğundan, operatörün konumunuzu 100 metre hassasiyetinde bilmesi olağan. GPS açık olmasa bile. Hatta birden fazla baz istasyonu sinyalinizi alıyorsa, üçgenleme yöntemiyle daha da hassaslaşır.
Cihazınızın kimliği. Telefonunuzun IMEI numarası, SIM kartınızın IMSI numarası — bunlar her bağlantıda iletişime giriyor. SIM değiştirseniz bile telefonunuz aynı IMEI'yi kullanır. Telefonu değiştirseniz bile aynı SIM'le IMSI aynı kalır. Birini tanırlarsa, diğerine de bağlarlar.
Trafik metaverisi. Ne zaman online oldunuz, ne kadar süre, hangi sunucularla iletişim kurdunuz, hangi IP adresine ne kadar veri gönderdiniz. Site içeriğini görmeseler bile, "kullanıcı saat 22:14'te youtube.com'a 1.4 GB veri akıttı" tarzı kayıtlar tutuluyor.
Aramalar ve SMS: en görünür kısım
Modern internet hizmetleri (HTTPS, uçtan uca şifrelenmiş mesajlaşma) operatörlerin bizi okumasını engellemiş olsa da, klasik telefon servisleri hâlâ tamamen şeffaf:
- Kimi aradığınız ve kim sizi aradı. Numara, tarih, saat, süre — hepsi kayıtlı.
- Aramanın içeriği. Normalde kayıt altına alınmaz ama mahkeme kararıyla dinlenebilir. Türkiye'de bu yasal çerçeveye 5651 sayılı kanun ve 4422 sayılı Çıkar Amaçlı Suç Örgütleriyle Mücadele Kanunu diyor.
- SMS içerikleri. Bu en önemli noktadır: SMS şifrelenmez. Operatörün sunucularından şifresiz geçer. Yani operatör çalışanları teknik olarak okuyabilir. Bu yüzden bankalar SMS ile şifre gönderirken biraz endişeli olunmalıdır.
- SMS şifrelenmez. Operatör sunucusunda dakikalarca açıkta durur.
- Yetkili bir saldırgan operatörün altyapısına sızarsa SMS'leri okur.
- "SIM swap" saldırısı: dolandırıcı operatörü kandırıp SIM'inizi kendine devrettirir, banka SMS'lerini o alır.
- Banka uygulaması varsa onu kullanın. Doğrulama için SMS yerine uygulama içi onay (push notification) veya authenticator uygulaması tercih edin.
Hangi sitelere bağlandığınızı görürler
HTTPS'in yaygınlaşması büyük bir ilerleme oldu — operatör artık içeriği okuyamıyor. Ama hangi siteye bağlandığınızı hâlâ görebiliyorlar. Çünkü her bağlantı başlangıcında telefonunuz şu adımları yapar:
1. DNS sorgusu. "instagram.com'un IP adresi nedir?" diye sorar. Bu sorgu varsayılan olarak şifresiz gider — operatör görür: "kullanıcı instagram.com'u arıyor".
2. SNI (Server Name Indication). HTTPS bağlantısı kurulurken bile, "hangi siteye bağlanıyorum" bilgisi şifreli olarak gönderilmez. Operatör yine "instagram.com'a bağlandı" görür.
3. Trafik deseni analizi. Belli paket boyutları belli uygulamalara işaret eder. Netflix yayını başka türlü bir trafik üretir, WhatsApp sesli arama başka türlü. Operatör "ne yaptığınızı" kabaca anlayabilir.
Yani operatör, "kullanıcı saat 15:30'da instagram.com'a girdi, 47 dakika kaldı, 280 MB veri tüketti" tarzı bir log tutabilir. Hangi gönderiyi gördüğünüzü, kime mesaj attığınızı görmez — ama bu bile az değil.
Operatörün göremeyecekleri
Bütün bu listeyi okuyunca paniklemeye gerek yok. Çünkü modern internet altyapısı, özellikle son 10 yılda, kullanıcıyı operatörden korumaya yönelik büyük adımlar attı:
- Web sitelerinin içeriği. Bir blog yazısında ne okuduğunuz, Google'da neyi arattığınız, formda ne yazdığınız, banka uygulamasında hangi hesabınızı incelediğiniz — bunların hepsi HTTPS sayesinde şifreli.
- E-posta içeriği. Gmail, Outlook, Yahoo — hepsi şifreli bağlantı kullanır. Operatör "kullanıcı Gmail'e bağlandı" görür, mailin içeriğini değil.
- Uçtan uca şifreli mesajlaşma. WhatsApp, Signal, iMessage, Telegram secret chat. Operatör mesajın içeriğini hiçbir koşulda göremez — sadece "kullanıcı WhatsApp kullanıyor" görür.
- Şifreleriniz, banka hesap bilgileriniz. Bunlar sertifika tabanlı şifrelemeyle korunur. Operatör için anlamsız karakter dizileridir.
Operatörden saklanmak için ne yapabilirsiniz?
Konumunuzu ve metadata'nızı saklayamazsınız — bunlar fiziksel bağlantının doğası gereği gerekli. Ama hangi sitelere gittiğinizi saklayabilirsiniz.
DNS şifreleme. Bu en hafif ve ücretsiz yöntem. Telefonunuzun ayarlarında "Özel DNS" veya "Secure DNS" seçeneği var. Cloudflare'in 1.1.1.1 veya Google'ın 8.8.8.8 hizmetini kullanabilirsiniz. Bu, DNS sorgularınızı operatörden gizler — ama Cloudflare/Google görür.
VPN. En kapsamlı çözüm. Tüm trafiğiniz VPN sunucusuna şifrelenerek gider, oradan internete açılır. Operatör sadece "kullanıcı VPN sunucusuna bağlı" görür, başka hiçbir şey. Ama VPN sağlayıcısı her şeyi görür — yani güvene dayalı bir takas. Ücretsiz VPN'lerden kaçının, ücretli ve şeffaf bir VPN seçin.
Tor tarayıcısı. Maksimum gizlilik isteyenler için. Trafiğiniz 3 farklı sunucudan geçerek yönlendirilir. Çok yavaştır, günlük kullanım için pratik değil — ama hassas durumlarda altın değerinde.
Wi-Fi. Mobil veriye girmek yerine Wi-Fi kullanırsanız, mobil operatörünüz o anda hiçbir şey görmez. Ama bu sefer Wi-Fi sahibi (kafe, otel, ev modeminizin internet sağlayıcısı) görür — operatör değişmiş olur, izleyici değişmemiş.
- Telefonunuzun ayarlarından Özel DNS seçeneğini bulun ve
1.1.1.1veya8.8.8.8girin. 30 saniye sürer. - Hassas işlemler (banka, e-posta) için HTTPS olduğundan emin olun — tarayıcı çubuğunda kilit simgesi olmalı.
- Banka için SMS doğrulama yerine uygulama içi onay veya Google/Microsoft Authenticator kullanın.
- Güvenliğiniz için endişeleniyorsanız ücretli VPN düşünebilirsiniz — ama VPN'in kendi loglarına dikkat edin.
- Konum hassasiyetini azaltmak için Bluetooth ve Wi-Fi tarama ayarlarını kapatın (telefon arka planda baz istasyonu dışında konum sinyali yayar).
Türkiye ve Kırgızistan'da yasal çerçeve
Türkiye'de 5651 sayılı kanun gereği operatörler trafik verilerinizi 1 yıldan 2 yıla kadar saklamak zorundadır. Bu saklama yargı kararı olmadan üçüncü taraflarla paylaşılamaz, ama yargı kararıyla operatör tüm metadata'nızı yetkililere verir. İçerik için ayrı bir yargı kararı gerekir.
Kırgızistan'da ise telekomünikasyon yasaları benzer bir trafik veri saklama yükümlülüğü içerir. Operatörler, SORM (Sistem Operativno-Rozysknyh Meropriyatii) sistemini kullanır — bu Sovyetler döneminden gelen bir altyapıdır ve devletin gerçek zamanlı erişimine olanak sağlar. Türkiye'deki sistemden daha az şeffaf olduğu eleştirilir.
Her iki ülkede de operatörlerinizin sizinle ilgili hangi verileri ne kadar süre tuttuğunu öğrenmek isterseniz, müşteri hizmetleri yoluyla resmi olarak talep edebilirsiniz. GDPR benzeri yasalar tam olarak uygulanmasa da, "verilerimi gösterin" hakkınız temel olarak vardır.
Sonuç: Tam gizlilik mümkün değil, ama akıllı kullanım mümkün
"Hiçbir şey görmesinler" diye uğraşmak boşa çabadır — mobil ağa bağlandığınız sürece teknik olarak her zaman görünürsünüz. Konumunuz, kiminle ne zaman görüştüğünüz, kabaca ne yaptığınız her zaman bilinecek.
Ama akıllı kullanımla içeriği koruyabilirsiniz. HTTPS site, şifreli mesajlaşma, DNS koruması, gerektiğinde VPN — bunlar 2026'nın temel hijyenidir. Bunları yaparsanız, operatör "ne yaptığınızı" değil "ne kadar veri kullandığınızı" görür. Ortalama bir kullanıcı için bu yeterli savunmadır.
Asıl sorun başka yerde: WhatsApp, Instagram, Facebook, TikTok gibi uygulamalar operatörden çok daha fazlasını biliyor — çünkü siz onlara açıkça verdiniz. Operatöre kızmadan önce, bu uygulamaların kendi gizlilik ayarlarını gözden geçirin. Asıl tehlike orada.