Free Web Turkey'den gazeteci Ali Safa Korkut, 108 milyon kişinin kişisel verilerinin çalındığı konusunu gündeme taşıdı, Bakan Uraloğlu ve İletişim Başkanlığı ise haberin gerçeği yansıtmadığını ifade etti. Korkut, '108 milyon kişinin kişisel verilerinin çalındığını yalanlayan yetkililer gerçeği söylemiyor' başlıklı haberinde verilerin çalındığına ilişkin belgeleri sundu.
Free Web Turkey'den gazeteci Ali Safa Korkut'un haberinin ardından 108 milyon kişinin verilerinin çalındığı iddiası gündeme gelmişti. Ulaştırma ve Altyapı Bakanı Abdulkadir Uraloğlu'nun, pandemi döneminde 85 milyon yurttaşın kimlik bilgilerinin çalındığını doğruladığına yönelik haberler hakkında açıklama yapan Dezenformasyonla Mücadele Merkezi, "halihazırda" sızdırılmış bir veri olmadığını ifade etti.
108 milyon kişinin verilerinin çalındığı ve BTK'nın Google'dan yardım istediği konusunun gündeme gelmesinin ve iddaların yalanlanmasının ardından Korkut, belgeleri yayınladı.
Free Web'de yer alan habere göre; ilk açıklamasında veri sızıntısını doğrulayan Uraloğlu, bunun sadece pandemide yaşandığını ve Sağlık Bakanlığının sisteminden kaynaklandığını belirtti.
Bu doğru değil. Çünkü sızıntı sadece pandemide değil, ondan sonra da yaşandı. Aynı zamanda Sağlık Bakanlığının yanı sıra Çalışma Bakanlığı ile İçişleri Bakanlığından da veri çalındı.
Kanıt olarak 12 Eylül Perşembe günü yayımladığımız “21 milyon işçi ve işverenin tüm SGK hizmet bilgileri çalındı” başlıklı haberimi gösterebilirim.
Haberde, 20 milyon küsur yurttaşın Sosyal Güvenlik Kurumunda (SGK) kayıtlı çalışan bilgileri ile 1 milyon küsur işverenin SGK sisteminde kayıtlı kişisel ve yetkili bilgilerinin çalındığı anlatılıyor.
Çalınan veriler incelendiğinde, Çalışma ve Sosyal Güvenlik Bakanlığına bağlı SGK kayıtları arasında 28 Aralık 2023 Perşembe gününe ilişkin giriş bilgilerinin yer aldığı görülüyor. Bu da verilerin bu tarihte çalınmış olma ihtimalini güçlendiriyor.
'Bir örnek daha sunacağım'
'Uraloğlu’nun söylediğinin aksine sızıntının sadece pandemi döneminde gerçekleşmediğini gösteren bir örnek daha sunacağım' diyen Korkut, şöyle devam etti:
6 Mart 2024’te, T24’te yayımlanan “T24 'alıcı' olarak araştırdı: Veri hırsızlığı skandalında son perde; siyasi liderler dahil Türkiye'de herkesin kişisel bilgileri 150 liraya satışta!” başlıklı haberde tüm kişisel verilerin 150 TL karşılığında satıldığı ortaya kondu.
Cengiz Anıl Bölükbaş, haberinde kendi ikâmet adresini arattığını ve çalınan veriler arasında o tarihte henüz iki ay önce değiştirdiği güncel adresini de bulduğunu kaydetti.
Bölükbaş, haberde, çalınıp da satılan verilerin içinde yurttaşların hastane randevuları ve reçete edilen ilaç bilgilerinin de yer aldığını belirtti.
Buna dair bir ekran görüntüsü de sunan Bölükbaş, 8 Şubat 2024’te Ankara 29 Mayıs Devlet Hastanesi Kulak Burun Boğaz Polikliniğinde olduğu muayene kaydı ile kendisine sunulan reçeteye kadar ulaştığını belgeledi.
Uraloğlu’nun söylediğinin aksine, sızıntının sadece Sağlık Bakanlığından kaynaklanmadığını gösteren bir başka kanıt daha.
Temmuz ayında, Türkiye’de kayıtlı 3 milyon 300 bin Suriyeli sığınmacıya ait kişisel verilerin yanı sıra pasaport kopyalarının sızdırıldığına dair haberler yapıldı.
Sadece İçişleri Bakanlığı Göç İdaresi Başkanlığında bulunan bu bilgilerin nasıl sızdığı tespit edilemedi. Ancak Göç İdaresi Başkanlığı sızıntıyı doğruladı. Başkanlık, buna karşın sızan bilgilerin güncel verilerle uyuşmadığını söyledi.
Tüm bunlardan ne anlıyoruz?
- Sızıntının sadece pandemide yaşandığı, güncel olmadığı ve yalnızca Sağlık Bakanlığından kaynaklandığı açıklaması doğru değil.
- İletişim Başkanlığının yaptığı “Halihazırda sızdırılmış bir veri yoktur” açıklaması doğru değil.
- Uraloğlu’nun yaptığı “Sanki Türkiye’de insanların güvenliğiyle ve verileriyle ilgili çalınmış güncel şeyler vardır diye kimse haber yapmasın” açıklamasında öne sürülen güncel bir sızıntı olmadığı iddiası doğru değil.
Google'dan yardım istenmediyse bunlar ne?
“108 milyon yurttaşın tüm kişisel verileri çalındı, BTK verileri koruyamadığını kabul ederek Google'dan yardım istedi” başlıklı haberi yalanlayan bir diğer kurum da Cumhurbaşkanlığı İletişim Başkanlığı Dezenformasyonla Mücadele Merkezi (DMM) oldu.
12 Eylül’de yapılan açıklamada “Halihazırda sızdırılmış bir veri olmadığı gibi Google'dan yardım istenmesi de söz konusu değildir” ifadeleri kullanıldı.
Bu konuyla ilgili olarak açıklama yapmayan tek kurum, ilgili Drive dosyalarını yayımdan kaldırması için Google’a üç ayrı yazı yazan Bilgi Teknolojileri ve İletişim Kurumu (BTK) oldu.
BTK’dan henüz bir açıklama gelmedi çünkü DMM’nin açıklamasının aksine BTK, çalınan kişisel verilerin saklandığı Drive dosyalarının kaldırılması konusunda Google’dan yardım istedi.
Drive dosyalarının kaldırılması için 29 Temmuz, 3 Eylül ve 6 Eylül tarihlerinde Google’a yazı yazan BTK’nın 29 Temmuz tarihli başvurusunun belgesini paylaşıyorum. Bu belge, Google'ın BTK bünyesindeki Ulusal Siber Olaylara Müdahale Merkezinden (USOM) bir içerik kaldırma talebi aldığını ve bunun üzerine Google tarafından oluşturulan içerik kaldırma kaydını gösteriyor.
*Bu dosyalar Google tarafından kaldırıldığı için görüntülerde yer alan ilgili Drive dosyasına ait linkleri sansürlemeden paylaşılmıştır.
Google, Free Web Turkey durumu haberleştirdikten sonra dosyaları kaldırdı
BTK’nın, ilettiği yazıda kaldırılmasını istediği Drive dosyalarının linklerini görebilirsiniz.
Ancak kurumun 29 Temmuz’da yazdığı yazıyla kaldırılmasını istediği dosyalar, durum Free Web Turkey’de haberleştirilinceye dek kaldırılmadı.
Bunu iddiamı desteklemek adına haber yayımlanmadan beş gün önce, 4 Eylül’de aldığım ekran görüntülerini de ekte sunuyorum.
Yukarıdaki adres çubuğunda yer alan URL’le BTK’nın yazdığı yazıda yer verdiği URL’lerin birbiriyle uyuştuğunu göreceksiniz.
Aşağıdaki ekran görüntülerindeyse haber yayınlandıktan sonra Google’ın ilgili dosyaları yayımdan kaldırdığını görebilirsiniz.
İlgili dosyalar ziyaret edilmek istendiğinde Google, “Hizmet Şartlarımızı ihlal ettiği için maalesef bu öğeye erişemezsiniz” uyarısı veriyor.
USOM, Borsa İstanbul için de Google ile iletişime geçti
Bunların yanı sıra BTK'ya bağlı USOM, 17 Mayıs 2024'te de bu kez Borsa İstanbul (BİST) için Google ile iletişime geçti.
Google'a yapılan başvuruda, BİST'i hedef alan bir "kimlik avı saldırısı"nın gerçekleştirildiği ve kişilerin bilgilerinin çalınmasına yönelik bir bir bağlantının varlığından söz edildi. USOM, başvuru yazısında "Bu gelişmeler ışığında, içeriğin sisteminizden derhal kaldırılmasını acilen talep ediyoruz." ifadesiyle Google'ın internet sitesi oluşturulmasına olanak sağlayan "Google Sites" aracı kullanılarak oluşturulmuş bir internet sitesinin yayımdan kaldırılmasını istedi.
Ancak Google bu internet sitesini yayımdan kaldırdığı için söz konusu sitenin içeriğinde ne olduğunu göremedim. Dolayısıyla bunu da bir veri hırsızlığı olarak nitelemek doğru değil.
Haberi yalanlayan hükümet yetkililerine sorular
Korkut, hükümet yetkililerine şu soruları yöneltti:
- Ulaştırma Bakanı Abdulkadir Uraloğlu’nun 9 Eylül'de yaptığı ve sızıntıyı doğrulayan açıklamasıyla 16 Eylül'de yaptığı sızıntıyı yalanlayan açıklaması arasındaki çelişkinin sebebi nedir?
- Uraloğlu’nun 9 Eylül’deki “sadece pandemi döneminde sızıntı oldu, güncel bir sızıntı yok” açıklamasına rağmen hem gazeteci Cengiz Anıl Bölükbaş'ın kendi haberinde ortaya koyduğu hem de benim 12 Eylül 2024 tarihli "21 milyon işçi ve işverenin tüm SGK hizmet bilgileri çalındı" başlıklı haberimde ortaya koyduğum, güncel sızıntıların da olduğunu gösteren bulgulara Uraloğlu nasıl bir açıklama getiriyor?
- Kişisel verileri çalınan yurttaşlar olarak Uraloğlu'nun 9 Eylül'de yaptığı ve veri sızıntısını doğrulayan açıklamasını mı dikkate almalıyız yoksa 16 Eylül'de yaptığı ve sızıntıyı yalanlayan açıklamasını mı?
- 9 Eylül'deki açıklamasını dikkate alacaksak yetkililer böylesine büyük bir sızıntı için Uraloğlu’nun “pandemi dönemindeki sızıntılar maalesef önlenemedi” açıklamasını yeterli buluyor mu? Bu açıklamanın gerekli özeleştiriyi ve sorumluluğu barındırdığını düşünüyor mu?
- Yine 9 Eylül'deki açıklamasını dikkate alacaksak Free Web Turkey olarak bu veri sızıntısını ortaya çıkarmasak Ulaştırma Bakanlığı verilerin çalındığını açıklamayacak ve sorumlular hesap vermeyecek miydi?
- Google'dan yardım istenmediyse şirkete iletilen 29 Temmuz, 3 Eylül ve 6 Eylül tarihli yazıları İletişim Başkanlığı nasıl açıklıyor?