Google Workspace hesap askıya alınması nedeniyle işlerin felç olduğu vaka

 (zencapital.substack.com)
1 puan yazan GN⁺ 24 일 전 | 1 yorum | WhatsApp'ta paylaş
  • Google Workspace hesabının hack şüphesiyle askıya alınması sonucu e-posta ve hizmet erişiminin engellendiği olayda, alan adı sahipliği DNS doğrulamasıyla kanıtlanmış olmasına rağmen kurtarma gecikti
  • Tek bir yönetici hesabı, e-posta·Drive·Calendar·maaş bordrosu·CRM ve diğer tüm iş sistemleri için kimlik doğrulama merkezi olarak çalıştığından, hesap askıya alınır alınmaz şirket genelinde erişim kesintisi yaşandı
  • Yurt dışından giriş yaparken kurtarma telefon numarasının silinmesinin ardından hatalı bir güvenlik uyarısı oluştu ve yedek kodlar ile passkey'lerin bile işe yaramadığı bir giriş yapılamama durumuna dönüştü
  • Google destek ekibinin 30 günlük bekleme prosedürü ve tekrarlanan ticket karmaşası nedeniyle kurtarma gecikti; topluluk ve sosyal medya üzerinden yapılan başvurularda da yalnızca “bekleyin” yanıtı alındı
  • İşler 40 saatten fazla aksadıktan sonra Google çalışanının müdahalesiyle hesap kurtarıldı; bu da tek bir hesaba bağımlılığın iş sürekliliği açısından ölümcül bir risk olduğunu ortaya koydu

Google Workspace hesap askıya alınması nedeniyle işlerin felç olduğu vaka

  • Google Workspace hesabının “hack şüphesi” nedeniyle askıya alınarak e-posta erişiminin kesildiği olay

    • Aslında kullanıcı yurt dışı iş seyahatindeyken hesabına kendisi giriş yapmıştı, ancak Google bunu hesap ele geçirilmesi olarak yanlış değerlendirdi
    • DNS doğrulamasıyla alan adı sahipliği kanıtlanmış olmasına rağmen e-posta gönderme ve alma tamamen durdu

  • Tek bir yönetici hesabının tüm hizmetler için kimlik doğrulama merkezi olarak çalışması

    • E-posta, Drive, Calendar, maaş sistemi, CRM(Pipedrive), iş yönetimi uygulamaları ve iç sistemlerin tamamı Google OAuth'a bağlıydı
    • Hesap askıya alınır alınmaz tüm hizmet erişimi kesildi ve şirket çapında iş durması yaşandı

  • Sorunun ortaya çıkış süreci

    • 4 Nisan sabah 05:00 civarında, kullanıcı yurt dışı iş seyahatindeyken SMS doğrulamasından kaçınmak için kurtarma telefon numarasını sildi
    • Hemen ardından “kimlik doğrulama uygulaması kaldırıldı” şeklinde yanlış bir güvenlik uyarısı oluştu ve hesap giriş yapılamaz duruma geçti
    • Yedek kodlar, passkey'ler ve oturum açık cihazların hiçbiri doğrulama yöntemi olarak çalışmadı

  • Kurtarma girişimleri ve Google desteğindeki karmaşa

    • DNS CNAME/TXT kayıt doğrulaması tamamlandı, ancak kurtarma e-postası süreci için 30 gün beklenmesi gerekti
    • Destek talebi başka bir Workspace hesabıyla açıldı, ancak yalnızca giriş yapılması gereken bağlantılar sağlandığı için süreç ilerleyemedi
    • Farklı destek temsilcileri arasında ticket'ların yinelenmesi, kapatılması ve yeniden açılması şeklinde tekrarlayan bir karmaşa yaşandı
    • Topluluk forumları ve X.com üzerinden yapılan başvurularda da sürekli yalnızca “bekleyin” yanıtı verildi

  • İş etkisi ve geçen süre

    • Kurtarmanın 40 saatten fazla gecikmesi nedeniyle maaş işlemleri, Google Meet toplantıları ve iş görüşmesi takvimlerinin tamamı durdu
    • Kişisel e-posta ile bazı işler geçici olarak yürütüldü, ancak iş hesabıyla ayrımın korunması gerektiğinden bunun sınırları vardı

  • Ek güncellemeler

    • Update 1: MX kayıtları başka bir posta hizmetine değiştirilebilirdi, ancak mevcut e-postalar ve takvim geri getirilemiyordu
    • Update 2: Google destek ekibinin “1~2 saat sonra güncelleme” sözü tekrarlandı, ancak çözüm gecikti
    • Update 3: Bir Google çalışanının doğrudan müdahalesiyle nihai olarak yeniden giriş sağlandı

Olay sonrasındaki dersler ve topluluk tepkisi

  • Hacker News kullanıcıları, ülke değişikliği, kurtarma telefon numarasının silinmesi ve MX'in değiştirilmemesi gibi birden fazla risk sinyalinin aynı anda ortaya çıktığına dikkat çekti
  • Yazar, ülke değişikliğinden sonra 6 gün boyunca aynı IP üzerinden normal kullanımın sürdüğünü ve asıl tetikleyicinin telefon numarasının silinmesi olduğunu açıkladı
  • MX, Fastmail veya Protonmail'e değiştirilebilirdi, ancak mevcut e-postalar, takvim ve OAuth giriş sorunları nedeniyle bu pratikte gerçek bir alternatif olmadı
  • İki aşamalı doğrulama, passkey, yedek kodlar, kurtarma e-postası ve aynı cihaza erişim mevcut olmasına rağmen hesap kurtarılamadı
  • Bu olay, tek bir Google Workspace hesabına aşırı bağımlılığın iş sürekliliği için ciddi bir risk olduğunu gösteren bir örnek oldu

İlgili okumalar

1 yorum

 
GN⁺ 24 일 전
Hacker News görüşleri

  • Google geçmişte ‘daha az kötü Big Tech’ gibi görünüyordu ama gerçek müşteri desteği deneyimi berbattı
    Pixel satın aldım ama vaat edilen 1 yıllık Gemini AI Pro aboneliğini alamadım ve müşteri hizmetleri hiçbir çözüm sunmadı
    Bir arkadaşım da aynı sorunu yaşadı ve Google One planını değiştirme sürecinde benzer bir yanıtsızlıkla karşılaştı
    Artık milyonlarca dolar harcamıyorsanız Google hizmetlerini seçmek için bir neden göremiyorum

    • Pixel 6a aldım ama batarya 400 şarjdan sonra bozuldu. Google 100 dolar tazminat vereceğini söyledi ama tüm evrakları göndermeme rağmen parayı alamadım. Google berbat
    • Google eskiden beri diğer Big Tech şirketleriyle aynı şekilde ‘kötü bir şirket’ idi. “Don’t be evil” sadece bir PR sloganıydı
      2008 civarında Blogspot bug’ı için iletişime geçtiğimde, ‘diamond’ gönüllüsü tarafından görmezden gelindim. Gerçek destek ekibine ulaşmanın bir yolu yoktu
    • Böyle durumlarda small claims court ile çözüm mümkün mü diye merak ediyorum. Tüketicinin sözleşme ihlaline karşı kullanabileceği gerçekçi bir yol mu bilmek istiyorum
    • Adsense hesabım 13 yıl boyunca askıya alınmıştı, sonra sebebi bile söylenmeden açıldı. Muhtemelen bir rakip sahte tıklamalar göndermişti
    • Google aslında 10 yıl önce kullanıcı verileriyle reklam yapmayacağına dair verdiği sözü bozmuştu
      Google’s broken privacy promise yazısına göre, Gmail gibi hizmetlerden elde edilen bilgileri reklam verileriyle birleştirmeyeceğini söyleyen maddeyi kaldırdı

  • “Bulut sağlayıcısı hesabı kapattı ve her şeyi kaybettim” türünde bir yazı daha çıktı
    Yalnızca Google değil; Amazon, Microsoft, Apple gibi bulut hizmetlerine bağımlı olan herkesin hesap askıya alınmasına karşı bir planı olmalı
    Önemli verileri emanet ediyorsanız yedekleme ya da alternatif yöntemler şart

    • Bir zamanlar birisi “30 saniye içinde terk edemeyeceğin bulut hizmetine bağlanma” demişti — Robert De Niro alıntısı
    • Şirketimiz Google Workspace yedekleri için Cubebackup kullanıyor
      SaaS hizmetinin dışında geri yüklenebilir bir ‘external backup’ tutmak düşünüldüğünden daha zor ama kesinlikle gerekli
    • Bu uyarı HN’de en sık görülen sözlerden biri. “Claude Code kullanmıyorsan geride kalırsın”dan sonra en yaygını bu
    • Google’ın özellikle sorunlu olmasının nedeni, teknik bilgisi olmayan sıradan insanların tek e-posta hesaplarını kaybettiklerinde bunu nasıl geri alacaklarını hiç bilmemeleri
    • Bu durum adeta “kiralanan binadan atılıp eşyaların da çöpe atılması” gibi. Sonuçta yasaların değişmesi gerekiyor

  • Mümkünse “Login with Google/Apple/Facebook” özelliğini kullanmamak gerekir
    Çünkü bu tek bir hata noktası yaratır. Mümkünse kendi giriş sistemini kullanmak daha güvenlidir
    Eski bir Googler olarak, yalnızca iç erişim yetkim varken Gmail kullandım; işten ayrıldıktan sonra Gmail’i de bıraktım

    • Almanya’daki eIDAS sisteminin Google veya Apple hesabı gerektirdiğini söyleyen bir yazı gördüm. Bu, devlet kimlik doğrulamasının Big Tech’e bağımlı hale gelmesi demek
    • Uygulamamız da Google/Facebook ile giriş sunuyor ama bu iki şirket Selenium benzeri otomatik girişleri engellediği için E2E testleri yapılamıyor
    • Tailscale’in yalnızca üçüncü taraf giriş sunan bir şirket olması bana garip gelmişti. Sebebini bilen var mı?
    • Tailscale bunun yerine özel SSO’yu ücretsiz sunuyor

  • Ben Buildhub forumunun gönüllü sistem yöneticisiyim
    10 yıl boyunca Google aramalarında üst sıralardaydı ama 28 Aralık 2025’te bir anda indeksten kayboldu
    Google forumları bomboş ve ulaşılacak kimse yok. Ücretli bir Workspace kullanıcısı olarak yedek planı konusunu ciddi şekilde düşünmeye başladım

    • Google, Microsoft ve Apple forumlarında anlamsız yanıtlarla portföy kasan insanlar çok
      Bazıları sanki Google HQ daveti almak için sistemi oyunlaştırmaya çalışıyor gibi

  • 2013’te Google Glass’ın ilk kullanıcılarındandım. New York HQ’da doğrudan eğitim aldım ve 24 saat hizmet veren özel bir destek numarası bile vardı
    Cihazı iki kez kırdım ama ikisinde de ücretsiz değişim yaptılar. Eskiden böyle müşteri desteği verebiliyorlardı

    • O dönemde biz aslında fiilen gönüllü test ekibiydik. Ürün başka bir takıma geçince ilgi de kaybolan bir yapı vardı
    • Glass’ın ilk 8.000 kullanıcısıyla yüz milyonlarca Workspace kullanıcısını karşılaştırınca destek kalitesi farkı kaçınılmaz
    • O zamanki sınırsız değişim politikası Ar-Ge maliyeti idi, hayırseverlik değil
    • Eskiden Google Wifi destek numarasını aradığımda hemen bağlanıyordum ama şimdi sadece “destek sona erdi” mesajı duyuluyor
    • Stadia geri ödemelerinde istisnai olarak ödenen tüm tutarın tamamını geri aldım.
      Google’ın müşteri desteği kalitesi ürün ekiplerine göre çok değişiyor. Workspace özellikle en kötüsü

  • Bu durum yasadışı seviyesinde
    Dev şirketler hayatın giderek daha büyük bir kısmını kontrol ettikçe sıradan insanlar da gittikçe daha çaresiz hale geliyor
    Temel hizmetler sunuyorlarsa buna uygun sorumluluk da taşımaları gerekir

    • Nüfusun %1’inden fazlasının kullandığı bulut hizmetleri için her şehirde fiziksel müşteri merkezi zorunlu olmalı
      Telekom şirketleri gibi her mağazada personel bulunmalı; Google bunu rahatlıkla karşılayabilir
    • Devlet düzeyinde bir Big Tech şikayet hattı gerekli
    • “Exerting power” yerine “Excreting power” demek yanlış bir ifade ama hayal etmesi eğlenceli

  • Yönetici hesabı kurtarma sürecinden geçtim ve güvenlik politikası çelişkiliydi
    Hesabı manuel olarak açtılar ama yine de silinmiş bir numaraya SMS doğrulaması istiyordu
    Güvenlik anahtarı veya TOTP ekleseniz bile SMS hâlâ zorunluydu. Numara ele geçirilirse iş biter

    • Benim Gmail hesabımda da önceden haber verilmeden 2FA zorunlu olarak etkinleştirildi.
      Kullanıcı adı, parola ve kurtarma e-postası bende olsa da, artık var olmayan bir numaraya SMS doğrulaması istediği için giriş yapamıyorum
      Meta’da para verirseniz yardımcı olan en azından birileri var ama Google’da hiç kimse yok

  • Google Workspace’i kurumsal düzeyde bir operasyon ekibi olmadan kullanırsanız, tek bir yönetici hesabı tek hata noktası haline geliyor
    Kimlik doğrulama döngüsüne sıkıştım, tüm yollar kapandı ve ancak defalarca yasal işlem tehdidinde bulunduktan sonra bir insanla konuşup çözebildim

  • Yazıyı yazan kişi hacklenmiş de olabilir. OTP cihazını ya da DNS erişimini ele geçirmişlerdir ama telefon numarasını alamamış olabilirler
    Böyle bir durumda kendiniz olduğunu kanıtlamanın yolu yok. Pasaportla gidip yüz yüze kimlik doğrulaması yapılabilecek bir ofis olsa iyi olurdu

    • Resmî kimliği isteğe bağlı olarak kaydetme seçeneği olsa iyi olurdu
      ABD’deki login.gov gibi postanede kimlik doğrulaması yapılan model ilginç geliyor
      Yine de ticari olarak uygulaması zor ve çevrimiçi kimlik doğrulamasını zorunlu hale getirme eğilimi ciddi rahatsızlık yaratıyor
    • Eğer bu kullanıcı gerçekten hacklendiyse Gmail hesabını geri almak imkânsız
      Google kimin haklı olduğunu belirlemeye çalışmak yerine hesabı kapatıyor

  • İnanması zor ama Microsoft (Office365) gerçekten telefonda ulaşılabilen bir destek ekibine sahip
    Arayüz korkunç ama sonunda sorunu çözdüler

    • Azure’da otomasyonun berbat olduğu ve binlerce taşeronun sorunları elle düzelttiğine dair yazılar da vardı
      Ama bu sayede gerçekten sorunu çözebilecek çok sayıda insan bulunması gibi bir avantaj da var
      İlgili yazı: HN discussion