Füsun Sarp Nebil

05 Nisan 2016

50 milyon vatandaşın verileri sızdırıldı mı?

Hacklenmiş ve/veya yayınlanmış bilgiler pek çok şekilde kullanılabilir...

Bütün dünyada en fazla korunmaya çalışılan varlıklardan birisi olan "kişisel veriler" konusunda son derece beceriksiz bir hükümetle karşı kaşıyayız. 2 ay önce Emniyet Genel Müdürlüğünden çalındığı iddia edilen verilerden sonra şimdi de 50 milyon vatandaşın verilerinin ortaya döküldüğü yani Romanya'daki bir sunucu üzerinde yer aldığına dair haberler var.

Kişisel Veriler Kanunu TBMM'den henüz yeni geçmişken,  49,611,709 vatandaşın bilgilerinin ele geçirildiği ve bu bilgiler arasında kimlik cüzdanları üzerinde yer alan TC kimlik no, ad-soyad, anne adı, baba adı, cinsiyet, doğum yeri ve tarihi, nüfusa kayıtlı olduğu il ve ilçe ve adres bilgilerin bulunduğu belirtiliyor.

Yeni çipli kimlik kartı sistemine geçileceği bir dönemde yaşanması da ayrıca dikkate değer.
 

"50 milyon vatandaşın kimlik verileri sızdırıldı"
 

İsrail Haertz gazetesinin DB-Hack isimli güvenlik grubuna dayandırdığı bilgiye göre Romanya'daki bir sunucu üzerinde, Amerikan'nın sesine göre ise, bilgi sızıntılarını yayınlayan İzlandalı bir gruba ait web sitesinde yayınlanan bilgiler, Mernis yani TC kimlik numaralarını veren kurumun verileri gibi duruyor ve 9/9/1990 öncesinde doğan tüm Türk vatandaşlarını kapsıyor. Verilerin yer aldığı adres http://185.100.87.84 şeklinde veriliyor. Ama tıklamayın, yazının son bölümüne bakın.

Bu sızma ya da hack işlemini kimin yaptığı ya da bu verilerin devlete kuruluş yapan bir firmanın elemanları tarafından kopyalanan veriler mi olduğu bilinmiyor. Ama verileri yayınlayan hackerların şöyle bir mesajı var;

Yani Hackerlar demek istiyor ki, “biz içerdeydik yani neleri nasıl koruduğunuzu biliyoruz ve bunları aptalca buluyoruz.” Hackerlar son olarak da;

gibi bir mesaj vermişler ki, bu mesaja bakıp "hah bunlar Amerikalı" mı demeliyiz acaba? (bunun şaşırtmaca olma olasılığı yüksek)

Verilerin yayınlandığı sitede Cumhurbaşkanı, Başbakan, Eski Cumhurbaşkanı ile ilgili bilgiler önde yer alırken, geri kalan vatandaşların verilerinin torrent dosyası içinde olduğu belirtiliyor.
 

Kimlik verileri sızıntıları ile ilgili detay
 

Bugün yayınlanan veriler sonrasında, ülkemizdeki güvenlik firmalarından henüz bir analiz göremedik ama çok uluslu güvenlik firmaları Torrent dosyasını indirmişler. 10 dakikada indirildiğini ve dosyanın PostgreSQL veritabanına yüklenmesinin de 1 saat aldığını not ediyorlar. Ondan sonra her türlü arama işleminin (kimlik noya göre, doğum tarihine göre vsvs) kolaylıkla yapıldığı belirtiliyor.

Veri tabanının çapraz ilişkileri sayesinde soy ağaçlarının ya da ailelerin görülebildiği ve bu veriler üzerinden vergi borçları ya da mahkeme davaları gibi dosyada yer almayan başka kişisel verilere ulaşılabileceği de kaydediliyor. AKP hükümetinin henüz ilgili siteye karşı bir işlem yapmadığı ya da önlem almadığı belirtilirken, yabancı yayın organları Dışişleri Bakanlığından bilgi istediklerini ama herhangi bir cevap alamadıklarını kaydediyorlar. Biz de Mernis’ten konu ile ilgili bilgi istedik. Aldığımızda yayınlayacağız.
 

Veriler nasıl çalınmış olabilir?

 

Hackerların yapmış oldukları açıklamalara bakılınca, bu verilerin sistemden çalınmış olabileceği düşünülebilir. Çünkü "arayüze şifre koymak" gibi detaylar var. Ama tersi de mümkün yani şaşırtmaca da olabilir. Çünkü 2 ay önce şubatta yine bazı veriler ortaya çıkmıştı. Önemli olmasına rağmen heyecan yaratmamıştı çünkü bunların hackleme olmadığı, çoktandır ortalıkta dolaşan ve 120 TL’lere kadar düşük fiyatlarla satılan veriler olduğu konuşulmuştu[1].

Abdullah Gül'ün Cumhurbaşkanlığı döneminde yani 2011 yılında hazırlanan Devlet Denetleme Kurulu raporuna bakılırsa -ki bu devlete donanım/yazılım satan camiada zaten konuşuluyordu- önemli sorunlara parmak basılmıştı. Bu rapora göre, devlete yazılım veren firmalar yetkisiz bayilerini çalıştırıyor. Onlar da sorumluluğu belirsiz elemanların her yere erişebilmesine hatta kopyalayabilmesine imkan veriyorlar denilmişti. Bu dönemde veri tabanlarının çalınmış olabileceği söyleniyor[2].
 

Risk nedir?
 

Asıl soru bu! Bu konudaki düşüncemizi, "Telefon Dolandırıcılığının arkasında bu mu var?" başlıklı yazımızda belirtmiştik[3].

Hacklenmiş ve/veya yayınlanmış bilgiler pek çok şekilde kullanılabilir. Neler yapılabileceğine dair çeşitli yolları biz öğretmeyelim. Ama telefonda eşinin adını kullanarak "filanca bey şöyle yapmanızı söyledi" şeklinde ikna edilecek yani dolandırılacak çok sayıda insan olabileceğini daha önceki TV haberlerinde görmedik mi?

Kimlik hırsızlığı açısından bizde olmayan bir olayı gösterelim; Amerikalılar vergilerini kendileri öderler. Burayı tıklarsanız, kimlik hırsızlığı ile vergi iadesinin nasıl çalındığına dair bir hikayeyi okuyabilirsiniz.

Bu arada, kaydedelim; yukarıda sitenin adresini link olarak vermedik. Çünkü bu tür sitelerin kendileri de bir silahtır. Tarayıcınızın açığı varsa, bilgisayarınıza trojan indirebilir ya da dosyayı indirmeye kalkarsanız, o dosya başınıza iş açabilir. Bu konuda zaten şu anda yapabileceğiniz bir şey yok. Yayınlanmış.

Ama yapabileceğiniz başka bir şey, bu konuda hükümeti zorlamak, belki korumadığı için dava açmak ya da protesto etmektir. Belki kişisel verilerinizi bu yolla gerçekten korumaya ikna edebilirsiniz.

Bir de şifrelemelerinizde, ya da başka işlemlerinizde doğum tarihi, anne adı, baba adı vs kullanıyorsanız, bilin ki artık güvenli değil. Bundan sonra normal olmayan bir şekilde ortaya çıkan durumlara karşı da dikkatli olun!


[1] Anonymous EGM'yi Hackledi mi? Yoksa Veri Tabanını SGK mı Verdi? İyi de.. Önemli Olan Kişisel Veriler Neden Korunamadı?

[2]Devlet Denetleme Kurulu'ndan Önemli Bir Rapor; Devlet Kurumları Kişisel Verileri Dikkatsizce Veriyor - 

[3] Kişisel Verilerimiz Neden Ortada Dolaşıyor? Telefon Dolandırıcılıklarının Arkasında Bu mu Var!