Clou.tr Yetkisiz Root Erişimi Ve KVKK İhlali Nedeniyle Şikayet
Clou.tr (Clou Bilgi Teknolojileri a. Ş.) üzerinden 25.05.2026'da ticari faaliyetlerim kapsamında barındırma hizmeti amacıyla yıllık VDS satın aldım ve bedelini peşin ödedim. Pazarlanan nvme altyapısına rağmen hizmet süresince ağır I/O darboğazları ve performans kayıpları yaşanmış, taahhüt edilen “ayıpsız hizmet” standardı sağlanamamıştır. Bu durum, açmış olduğum destek taleplerinde de açıkça kayıt altındadır.
Hizmet süresi boyunca yaklaşık 1 hafta boyunca çok ciddi sistem kesintileri yaşanmıştır. Sunucu adli logları (/var/LOG/auth. LOG) ve root komut geçmişi (. Bash_history) incelendiğinde; bilgim dışında sisteme harici IP’lerden root erişimleri sağlandığı, sistemin varsayılan ana kullanıcısının prosesleri öldürülerek silindiği (userdel -r ubuntu), Kernel modüllerine manuel müdahaleler yapıldığı ve Network konfigürasyonunun bozularak sistemin tamamen erişilmez kılındığı adli zaman damgalarıyla sabittir. Teknik güvenlik ve hizmet bütünlüğü açısından bu müdahaleler tarafımca kesinlikle kabul edilemez bir ayıplı ifa niteliğindedir.
02.07.2026'da ise süreç, benim açımdan kitlesel nitelikte bir KVKK skandalına dönüşmüştür. Müşteri panelime girdiğimde kendi bilgilerim yerine, sistemdeki bir diğer gerçek kullanıcı olan “Arda A**” isimli şahsın T. C. Kimlik numarası, açık adresi, iletişim bilgileri ve firmaya açtığı özel destek talepleri ekranıma yansımıştır. Firmanın sistemlerinde oturum ve veri tabanı yönetimi güvenliğini sağlayamadığı, KVKK m. 12 kapsamında alması gereken idari ve teknik tedbirleri açıkça ihlal ettiği kanaatindeyim. Benim kişisel ve kurumsal verilerimin de şu an başkalarının ekranında ifşa olup olmadığı meçhuldür.
Maddi haklarımı saklı tutarak, bu ağır teknik ayıpları ve kişisel veri güvenliği ihlalini resmi makamlar nezdinde (Asliye Ticaret Mahkemesi ve KVKK Kurumu) sonuna kadar takip edeceğim. Bu süreci, benzer vaatlere kanarak benzer bir mağduriyet yaşama riski olan diğer bilişim profesyonellerini uyarmak ve bilgilendirmek amacıyla paylaşıyorum.
Kişisel Görüşlerim:
Bu firmadan hizmet satın almadan önce 1 değil 10 defa yeninden düşünmenizi tavsiye ederim. Size pazarlanan ürünle aldığınız ürün aynı değil! Teknik personel yetersizliği, teknik personel yetkinsizliği ve sunucunuz üzerinde yetkisiz erişim ve işlemler... Belki de daha fazlası vardır bilmiyorum.
Sayın Hıdır Bey, Sanal sunucularımızda nvme disklerin stoğa bağlı olarak teslim edildiği tarafınıza bildirilmiş ve onayınız doğrultusunda sunucunuz müsaitlik oluşana kadar SSD altyapısı altında teslim edilmiştir. Sunucunuz logları incelendiğinde önceden duyurusu yapılmış olan planlı bakım tarihine kadar sunucunuzun aktif kaldığı, sistem kesintileri yaşamadığı tespit edilmiştir. İlettiğiniz komut geçmişi günlüğü ise sunucunuza izinsiz olarak root erişiminde bulunulduğunu değil, sanal sunucu hizmetinizin size teslim edilmeden önce otomasyon tarafından sisteme gönderilen ve sunucunuzu teslim için hazırlayan komut geçmişini göstermektedir. Müşteri paneliniz üzerinde yaşadığınız oturum ihlalleri ise araştırılacak ve dönüş yapılacaktır. Yaşadığınız bu teknik aksaklıklar ve veri güvenliği ihlallerini telafi etmek amacıyla, hizmet bedelinizin kullanılmayan günler hesaplanarak ödemesini tarafınıza sunmak istiyoruz. Bu iade ve telafi işlemlerini en kısa sürede tamamlayarak, oluşan maddi kaybınızı en aza indirmeyi hedefliyoruz. İade sürecinin hızlı ilerlemesi için Şikayetvar üzerinden onayınızı yanıt olarak iletin. İade ödemeniz en kısa sürede hesabınıza aktarılacaktır. Yaşadığınız bu olumsuz deneyim nedeniyle tekrar özür diler, gelecekte hizmetlerimizde bu tür sorunların yaşanmaması için tüm teknik ve güvenlik önlemlerimizi gözden geçirip güçlendireceğimizi belirtmek isteriz. Sorununuzun çözümü konusunda her adımda yanınızda olduğumuzu unutmayın. Saygılarımızla, Müşteri Hizmetleri Ekibi
Ben paylaşabildiğim belgeleri zaten burada paylaştım... Benim amacım herhangi birini karalamak değil yaşanan bu olayları ilgili olanların önüne koymaktır! Nvme konusu gerçekten tam bir fecaat. Bunlar tekrar konuşmak istemiyorum. Evet lütfen kullanmadığım günlerin ücretinin tamamını iade edin.
Ücretin iadesi için iade faturası kesilmiştir.
Hizmetini alamadığım zamana ait ücretin iadesi gerçekleşmiştir.
Sürece ilişkin olarak firma tarafından kurumsal hesabıma ücret iadesi eksiksiz olarak gerçekleştirilmiştir. Ancak bu iadenin yapılmış olması, yaşanan teknik fecaatlerin ve yapısal kusurların üzerini örtmemektedir. Süreci kamuoyunun bilgisine teknik netlikle sunarak kapatıyorum: Altyapı Kusuru Tescillenmiştir: Pazarlanan nvme disk altyapısı yerine SSD sunulduğu ve ağır I/O darboğazları yaşandığı bizzat firma tarafından yazılı olarak kabul edilmiştir. Siber Güvenlik ve KVKK zafiyeti Belgelenmiştir: Panel arayüzünde yaşanan, başka bir gerçek kullanıcının mahrem verilerini, T. C. Kimlik numarasını ve destek taleplerini ekranıma basan kitlesel oturum (session/cache) yönetimi hatası; zaman damgalı ham html kaynak kodları, ekran görüntüleri ve video kayıtlarıyla birlikte tarafımdan kriptografik olarak (sha-256) mühürlenerek adli bilişim standartlarında arşivlenmiştir. Erişim Kesintisi İspatlıdır: İşletim sistemi düzeyinde süreçleri sonlandıran ve Network bacağını kıran hatalı işlemler, sunucu içi root loglarıyla sabittir. Firmanın bunu 'kesinti yok' diyerek geçiştirme çabası adli loglar karşısında hükümsüzdür. Sonuç olarak; tüketici olarak tüm yasal, hukuki ve KVKK müracaat haklarım saklı kalmak kaydıyla, bakiye iademin kuruşu kuruşuna tamamlanmış olması vesilesiyle bu platform üzerindeki takibimi sonlandırıyorum. Paramı kurtarmış olmam, firmanın arka plandaki bu ağır siber güvenlik ve altyapı yönetim amatörlüğünü gerçeğini değiştirmemektedir. Tercih edecek olan tüm bilişim profesyonellerinin bilgisine sunarım.






