Güvenlik Kararları Yanlış Giderse Ne Olur? Skynethosting Vakasından Çıkaracaklarımız

Hosting dünyasında güvenlik olayları kaçınılmazdır. Sorun "oluşup oluşmayacağı" değil, "ne zaman oluşacağı"dır. Ama burada önemli olan şey, bu duruma nasıl tepki verdiğinizdir. Müşterilerinizin güvenini kazanan bir şirket mi olursunuz, yoksa kaçıp gitmelerini sağlayan bir şirket mi?

Mayıs 2026'de Skynethosting tam da böyle bir durum yaşadı. Kritik bir cPanel açığı (CVE-2026-41940, CVSS 9.8 puanında) onları zorladı. Çoğu hosting sağlayıcısı açıklanmasından 2-3 saat içinde sistemi yamalarken, Skynethosting farklı bir yol seçti. Müşterilerine önceden haber vermeden tüm cPanel altyapısını devre dışı bırakmaya karar verdi.

İki hafta sonra, bazı sunucular hala çalışmıyordu.

Mantıklı Görünen Karar (Teoride)

Adil olmak gerekirse, sistemi kapatma kararı bilinçsiz değildi. CVSS 9.8 puanındaki kimlik doğrulama gerektirmeyen bir açık gerçekten dehşet vericidir. Saldırganlar kimlik bilgileri olmadan sistemleri ele geçirebilir. Bu açıdan bakılırsa, müşteriler göç edene veya beklerken yapılan tam kapanış savunmaya yönelik bir hamleler gibi görünüyor.

Söylenilen plan sağlamcıydı:

• Tüm altyapıda işletim sistemi yeniden yüklenmesi
• Satıcı yamalarının uygulanması
• Kapsamlı güvenlik denetimlerinin yapılması
• Sertleştirme kontrollerinin eklenmesi
• Hizmetlerin güvenli şekilde geri yüklenmesi

Sınırsız mühendislik kaynağınız ve mükemmel operasyonel yürütmeniz olduğu bir dünyada, bu yaklaşım kazanan bir stratejidir. Daha temiz ve daha sağlam bir altyapı ile ortaya çıkarsınız.

Skynethosting o dünyada değildi.

İşler Nereyi Saçtı

İşte bu noktada hikaye akılcı bir karardan uyarıcı bir öyküye dönüştü.

Müşterilere haber verilmedi. İnsanlar uyandığında web siteleri ölmüştü, hiçbir ön uyarı yoktu. Uptime SLA'ları ve hizmet düzeyi anlaşmalarının olduğu bir çağda, bu ilk özür vermeden önce bir sözleşme ihlalidir.

Destek ortadan kayboldu. Kriz sırasında Skynethosting canlı sohbeti tamamen websitesinden kaldırdı. Destek talepleri bir haftanın üzerinde cevaplanmadı. Durum sayfası güncellemeleri o kadar muğlaktı ki işe yaramıyordu. Müşteriler hem şirkete ulaşamadığında hem de hizmetlerine erişemediklerinde panik başlar. Bir bayii, müşteri tabanının %30'unu kaybettiğini herkese açık olarak bildirdi.

Kurtarma işlemi çok yavaştı. İki hafta geçmişken, bölgesel altyapı genelinde sunucu kurtarması hala eşitsizdi. Bazı sistemler adli veri kurtarma gerektiriyordu; bu da kapatmadan önce potansiyel bir uzlaşmayı gösteriyordu. En az bir sunucu yazı kasa olarak işaretlenmişti.

Düzenleyici sorular yanıtlanmadı. Olayın bildirilmesi sırasında Skynethosting, müşteri verilerine açığın penceresi sırasında erişilip erişilmediğini kamuoyuna bildirmemişti. GDPR veya Singapur'un PDPA altında faaliyet gösteren işletmeler için, bu sessizlik bildirim gerekliliklerini tetikler; potansiyel para cezalarıyla birlikte.

Gerçek Ders: Karar Değil, Hazırlık Önemli

Güvenlik olaylarından sağ salim çıkan şirketleri çıkamayanlardan ayıran şey şudur: önceden hazırlık.

Skynethosting savunulabilir bir stratejiye sahipti. Sorun, bunu yürütmeye operasyonel olarak hazır olmamalarıydı. Eksikleri şunlardı:

• Felaket senaryolarında test edilmiş olay yanıt oyun kitapları
• Hızlı müşteri bildirimi için önceden hazırlanmış iletişim şablonları
• 7/24 erişilebilir olay yanıt uzmanları
• Toplu hizmet geri yükleme için belgelenmiş kurtarma prosedürleri
• Kritik kararların darboğaza girmemesi için net yükseltme yolları
• Birincil sistemler devre dışı kaldığında yedek iletişim kanalları

Hosting altyapısını yönettiğinizde, aslında sunucuları değil, güveni yönetiyorsunuz. Müşteriler sizin ulaşamadığında ve hizmetlerinize erişemediklerinde, güven buharlaşır.

Başta Ne Yapılması Gerekirdi

Gün 0 (Açık açıklanması): Olay yanıt ekibi harekete geçer. 2-3 saat içinde yamalar üretime uygulanır ve yama doğrulama süreci başlar.

Gün 0 + 4 saat: Müşteri bildirimi herhangi bir kesintiden önce gönderilir. Genel bir duyuru değil; açığı, riski, düzeltmeyi ve beklentileri açıklayan hedefli bir e-posta. Şeffaflık paniği öldürür.

Paralel süreç: Hemen yamalanamayan sistemler izole edilir ve izlenir. Kapatmanın gerekli olması durumunda, tüm filo değil, cerrahsal bir müdahaledir.

Gerekli kapalı kalma süresi boyunca: Canlı sohbet personeli hazırdır. Destek talepleri 4 saat içinde cevaplanır. Durum sayfası her 30 dakikada bir güncellenir (hangi bölgeler etkilenir, ne geciktirir, geri yükleme tahmini saati).

Olaydan sonra: Neler olduğunun kamuya açık açıklaması, adli bulgular, tekrarlanmayı önlemek için neler değişti ve etkilenen müşteriler için tazminat önerileri.

Bu endüstri standardının neye benzediği ve diğer hosting sağlayıcılarının neden haftalar yerine saatler içinde yama yaptığıdır.

Geliştirici ve Startup Kurucuları İçin

Hosting altyapısında uygulamalar çalıştırıyorsanız (ya da sağlayıcılar değerlendiriyorsanız), Skynethosting olayı, vendor seçimi konusunda nasıl düşündüğünüzü şekillendirmelidir:

• Olay yanıt prosedürleri hakkında sorun. Teoride ne yapacaklarından değil, gerçekten belgelenmiş ve test edilmiş mi? Bunu açıklayamıyorlarsa kırmızı bayrak.
• İletişim altyapısını doğrulayın. Sağlayıcının acil durumlarda sizinle iletişim kurmanın birden fazla yolu var mı? Ana websitesi devre dışı kaldığında müşterilere ulaşabilirler mi?
• Destek SLA'larını anlayın. Bilet yanıt süreleri bağlayıcı mı? Bir olay sırasında ihlal edilirse ne olur?
• Geçmiş performansını kontrol edin. Geçmiş olaylara nasıl tepki verdiler? Sosyal medya ve hosting forumları gerçek hikayeyi anlatır.
• Altyapınızı çeşitlendirin. Bayii iseniz ya da kritik hizmetler çalıştırıyorsanız, tüm yumurtaları tek bir sağlayıcının sepetine koymayın. DirectAdmin tabanlı alternatifleri olan Skynethosting müşterileri tamamen çevrimdışı değildi.

Daha Büyük Resim: Kahraman Hamleler Değil Hazırlık

Hosting dünyasında güvenlik, afet çarptığında mükemmel kararı vermek değildir. Herhangi bir kararı temiz şekilde yürütebilecek kadar iyi hazırlıklı olmaktır.

Skynethosting makul bir karar aldı ve kötü yürüttü. Bu dönemde başarılı olan şirketler daha akıllı değildi; daha iyi antrenman yapmışlardı.

Olay yanıt oyun kitabınız, deployment pipeline'ınız kadar otomasyonlu ve belgelenmiş olmalı. İletişim şablonlarınız kullanıma hazır olmalı. Yükseltme yollarınız net olmalı. Ekibiniz eğitimli olmalı.

Çünkü CVSS 9.8 açığı çıkıp sizin dizlerinize düştüğünde, bu şeyleri çözmek için zamanınız olmayacak. Sadece yürütmek için zamanınız olacak.

NameOcean'da, hosting güvenilirliğinin müzakere edilemez olduğunu anlıyoruz. Vibe Hosting platformumuz, çekirdekte redundans, otomatik failover ve olay yanıt otomasyonu ile inşa edilmiştir. Çünkü güvenlik kahramanlık gerektirmemelidir; hazırlık gerektirmelidir.