Birkaç gündür 85 milyon kişinin (ki Freeweb Türkiye'de yaşayan yabancılarla birlikte bu sayıyı 101 milyon olarak veriyor) kişisel verilerinin ortalıkta gezdiği ve de devletin vatandaşın kişisel verilerinin bu denli kötüye kullanımı ile hiç ilgilenmediği konuşuluyor. Freeweb'den Barış Altıntaş da başarılı habercilik yapmış ve bizzat bunları satan kişilerle konuşarak bize ilginç bilgiler aktarıyor.

Yıllardır ortalıkta bir veri tabanı olduğu, satıcıların bunu yeni yeni sızıntılarla güncelleştirdiği (zenginleştirdiği) biliniyor. Ancak bu sefer ortaya çıkan verilerde bir acayiplik vardı. Verilerin internet üzerinden sorgulanabilir şekilde 4-5 panel olduğu ve bazılarının içindeki verilerin eski olmasına karşın, bazılarının çok güncel olduğu görülüyor. Örneğin Tarık Beyhan, bir tanıdığının nisan ayında değişen adresinin bu panellerde bulunduğunu söyledi.

Neler oluyor? Devlet bunun neresinde ve neden ilgilenmiyor?

Devlet memurlarından özensiz olanların verileri Deep Web'de

Dediğim gibi, veriler bir kaç ayrı panel halinde sunuluyor ve bazılarında güncel bilgiler var. Bu nasıl oluyor, birkaç gündür soruşturuyorum.

Olayın duyulduğu 9 Haziran'da yazdığım yazıda şunu belirtmiştim.

"Bugün sunulan verinin de ağırlıklı olarak e-Nabız'dan geldiği yorumu yapılıyor. Yeni bir veri midir, siber istihbaratçılar henüz bakıyor, aynı etapta bir başka olay olduğunu da belirtelim. Dediğimiz gibi bir de ehliyet/trafik türü verilerden bahsediliyor. İkisi aynı olay mı, farklı mı, biz de yeni bir bilgi alınca yeniden haber yapacağız."

İşte şimdi yeni bilgilere ulaştık. Olay bilgisayarı (kendisinin netameli sitelere girmesi ya da çocuklarının bilgisayarla oyun oynaması vs gibi bir olay sonucunda) bilgisayarına kötücül kod (trojan) sızan devlet memurları ile ilgili. Geçen yıl martta bu konuyu "e-Devlet Hacklenmesi Yok, Bireysel Trojan Olayı Var haberi ile duyurmuştuk.

O yazıda şunu anlatmıştık; bir küresel firma rapor yayımlamıştı. Rapora bakarsanız, DeepWeb'de (karanlık web) satılan devlet memurlarının bilgilerini derleyip, analiz etmişlerdi. Çok yararlı bir rapordu (bu yıl kamuya açık yayımlamadılar).

Raporda, kötücül yazılımlar (trojan) kullanılarak, askeri ve kamu kurumlarından bilgisayarlarına sızılan ve bilgileri çalınan devlet memuru ve askerlerin DeepWeb'deki sayıları veriliyordu. Kişilerin adlarından çok kurumların adları vardı. O raporda yayımlandığı kadarına baktığımızda 2022 yılında verileri çalınan devlet memurlarının sayısı ve çalıştığı kurumlar şöyleydi:

Yani 60 tanesi MEB'den, 25 tanesi Sağlık Bakanlığı'ndan (veri gerisi diğer kurumlardan) olmak üzere tam 148 devlet çalışanının (ayrıca askeri kurumlardan da vardı başka bir listede) bilgileri hacklenmişti. Biz bu bilgileri kendilerini korumaları ve şifreleri acilen değiştirmeleri için ilgili kurumlara haber vermiştik.

Bahsedilen panellere veriler nereden geliyor?

Şimdi Freeweb'den Barış Altıntaş bizzat panel satıcıları ile görüşerek kıymetli bilgiler almış (ve de dikkat ettim, daha önce hackerların çığırtkanlığını/pazarlamasını yapan gazetecilerden çok farklı yaklaşmış). Altıntaş şu panelleri sayıyor (bazıları kapatılmış):

• Seçim verisi
• Sağlık sistemleri verisi
• GSM verileri
• gov.tr
• e-Okul
• Ankara Valiliği

Ben de olayın diğer tarafından yani konuyu araştıran siber istihbaratçılardan bilgi aldım. Çünkü bu olayda herkes harekete geçti. Buna göre, şu anda konuştuğumuz 85 (ya da 101 milyon) kişinin verisinin ortalığa saçılması, muhtemelen yukarıda bahsettiğimiz "iş bilgisayarlarını evde kullanan ya da evden işe bağlanan hacklenmiş devlet memurlarının" yarattığı bir sorun.

2022'de bu yukarıdaki tabloyu yayımlamadık ama ilgili kurumlara 148 devlet memurunun bilgilerinin satıldığına dair bilgi verdik. Buna rağmen yeni çıkan paneller sorunların sürdüğünü gösteriyor. Örneğin sağlık verilerinin panellerde satıldığı görülüyor. Bu sağlık verileri eskiden kalma mıdır, ya da Sağlık Bakanlığında çalışanlar, geçen yıldan bu yana şifrelerini değiştirmemiş midir? Ya da hacklenmiş yeni Sağlık Bakanlığı çalışanları mı vardır?

Olayın kademeleri

Bu arada konuyu anlamayanlar için biraz daha detay verelim. Burada 6-7 kademe var:

1. Şifreleri çaldıranlar
2. Şifreleri alanlar (çalanlar)
3. Bu çalınan giriş bilgileri ile devlet kurumlarından veri çalanlar
4. Belki yazılım geliştirilen devlet kurumun verilerini hacklemeden çalanlar
5. Ele geçirilen VPN yetkileri ya da iç ağa yönelik zafiyet taramaları sonucunda ağda yetki kazanmak
6. Muhtemelen panel yaratıcıları
7. Verileri satanlar

Şu anda hepimiz 7 numaradaki olayı yani satanları konuşuyoruz. Dün tutuklandığı bildirilen 1 kişi de, bu tür bir kişi. 2016'da çalındığı raporlanan 50 milyon kişisel veri olayında da 2 kişi suçlanmıştı. Ama olay bu kadar basit değil.

Yukarıdaki kademeleri birer birer gözden geçirelim.

Öncelikle devletin kurumlarındaki yazılımların giriş şifrelerini dikkatsizce çaldıranlar var. Bunlar bilgisayarına sızıldığını farkında bile olmayıp, sadece kendi kullanıcı bilgilerini, kart bilgilerini vs değil, yanı sıra devletin sistemlerine giriş şifrelerini çaldıranlar devlet memurları. Yukarıda yazdık, iş bilgisayarlarını eve getirip ya kendileri netameli sitelere giriyorlar, ya da çocuklarının ellerine verdikleri bilgisayarlara bir şekilde kötücül kod bulaşıyor. Böylece hem kendi kişisel verilerini veriyorlar, hem de devlet sitelerinin API ya da giriş şifreleri çalınmış oluyor.

İkinci kademede bu dikkatsiz devlet memurlarının bilgisayarlarından aldıkları şifrelerle devletin kurumlarına sızan, verileri alan ve daha sonra derin web'de bir hayli pahalıya satanlar var. Bunlar sadece şifre satıyorlar. Yani hacklenmiş bilgisayarlardan aldıkları çeşitli kişisel verileri ya da kurumlara giriş bilgilerini derin webde satıyorlar. Bunların bir çoğu yabancı hacker olabilir. Biz bunları göremiyor ve bilemiyoruz.

Üçüncü adımda ise (2 ve 3 beraber de olabilir) bu şifreleri kullanarak, kurumların sistemlerine ulaşanlar var. Eskiden bunlar sızar, veri tabanını alır ve çıkardı (bu dördüncü adımdaki durum). Daha önce bahsettiğimiz, 10 yıl önceki Devlet Denetleme Kurumu raporunda yer aldığı gibi, devlete yazılım geliştiren firmaların yetkisiz çalışanları, hacklenmeye bile gerek kalmadan verileri alıyor ve database olarak satıyorlardı. Yani 3 ve 4.adımda hackleyerek ya da hacklemeden verileri alanlar var. Bunları da görmüyoruz, bilmiyoruz.

Bu arada gerçek hacker çalışmaları ile kurumların ağlarında zayıflık bulanlar verilere böyle ulaşanlar da oluyor. Bunu da 5.kademe olarak not edelim. Bu nedenle ağların zayıflıklara karşı sürekli taranması lazım.

Ama şimdi durum değişmiş gözüküyor. Senelerdir üst üste gelen çeşitli kişisel veri sızmalarında, devletin hassas davranmadığı ve hatta ilgilenmediği görülüyor. En fazla yapılan 7'nci adımdaki kişiyi yakalamak şeklinde olunca, nasılsa devlet bu kişisel veriler olayını izlemiyor diye düşünülüyor olsa gerek, fütursuzca verileri akan bir veri halinde, panellerden sunmaya başladılar. Biz bu kişileri de görmüyoruz, bilmiyoruz.

Yani 6'ncı adıma geldik, bu adım da 2 ve 3 ile birlikte yapılıyor olabilir. Dediğim gibi veriler eskiden sadece çalınırdı. Ama şimdi çalanlar --muhtemelen devlet nasılsa hiç soruşturmuyor, soruştursa soruştursa 7'nci kademeyi soruşturuyor diye düşündüklerinden- bu verileri satın aldıkları uygulama admin şifrelerini kullanarak "akan" şekilde vermeye başladılar. Yani satın alınan veri, güncel. Devletin ya da ilgili kurumun kendi sunucularından geliyor. Bunun için 6'ncı kademede yer alanlar, şu anda konuştuğumuz panelleri yaratıyorlar ve 7 numarada olanlara (yani fütürsuzca Discord kanallarında övünenlere) kiralıyorlar. Bunlar da arka planda kalan insanlar.

Biz sadece bu panelleri kiralayan ve birtakım kanallarda (telegram ya da discord) sanki kendi yapmış gibi övünen 18 yaş grubu çocukları yani pazarlayanları görüyoruz. Tutuklananlar da onlar oluyor. Devlet daha derinine inmiş ya da inmeye hevesli gözükmüyor ki gördüğünüz gibi kişisel veriler sürekli ortalığa saçılmış duruyor.

Devlette kim ilgilenmeli?

Bu olayın ilgilisi BTK ve dolayısıyla Ulaştırma ve Altyapı Bakanlığı'dır. Çünkü USOM (Ulusal Siber Olaylara Müdahele) ekibi onlara bağlı. Bu ABD'nin CISA ekibi gibi bir şekilde çalışmalı. Yani siber saldırılara hazırlanmalı, yanıt vermeli ve etkilerini azaltmalı. Ama 2012'lerde kurulan USOM'un bugün hemen hemen tek yaptığı devlet kurumlarının kullandığı çok uluslu yazılımlarda ortaya çıkan açıklara karşı hazırlanan yamaların duyurulması, ddos türü saldırılarda bilgilendirme oluyor. Daha fazlasını ben görmedim. Varsa da, bu olaylar neden meydana geldi, onu açıklasınlar (zaman zaman USOM'un kendini savunduğunu gördüğüm için bunları belirtiyorum).

Oysa bu kişisel veri sızmalarında, en azından bizim yaptığımız gibi araştırarak ne olduğunu bulunmalı ve tüm devlet memurlarının ve uygulama API'lerinin rutin bir şekilde şifrelerinin değiştirilmesini sağlamalıydı.

Bunu 2019'da güvenliğe yönelik genelge yayımlayan Cumhurbaşkanlığına bağlı "Dijital Dönüşüm Ofisi" de ciddiye almamış gözüküyor. Çok yazık. Acaba başka ne işle meşguller, içi boş yapay zeka stratejisi mi yazıyorlar?

Tabi olayın diğer sorumluları da, 2018 seçimlerinden sonra Bilgi İşlem Daire Başkanlıkları yetmemiş gibi, koca koca Bilgi İşlem Genel Müdürlükleri kuran devlet kurumları. Bunların da kendi çalışanlarının şifre güvenliğini takip etmeleri gerekmez miydi?

Son olarak "Kişisel Verileri Koruma Kurulu"na (KVKK) gelelim. Onlar da konuya ilişkin suallerimize verdikleri cevapta "kendilerine bildirim olmadığı" raporlaması yaptılar. Tamam da re'sen soruşturma neden açmıyorlar? Bu kadar çok konuşulan bir konu bu. Zaten KVKK'nın önemli bir sorunu da, yayınladıkları ihlal bildirimleri arasında hiçbir devlet kurumu yok. Neden ki?

MLSA dava açtı

MLSA (Medya ve Hukuk Derneği) yaptı ve kişisel verilerimizi korumayan devlete dava açtı. Neden dava açtıklarını MLSA Eş Direktörü Avukat Veysel Ok'a sorduk.

"MLSA eş direktörü olarak adıma, kişisel verilerimin hukuka aykırı bir şekilde ele geçirildiği, yaygınlaştırıldığı veya satıldığı gerekçesiyle İçişleri Bakanlığı'na dava açtım ve aynı zamanda sorumlular hakkında suç duyurusunda bulundum. İçişleri Bakanlığı, kişisel verilerimizi korumakla görevli bir kamu kurumudur ve görevlerini kötüye kullandıkları veya ihmal ettikleri açık bir şekilde ortadadır. Bu nedenle, onlar hakkında da suç duyurusunda bulundum ve tazminat davası açtım. Bu dava, sorumluların ve ihmal veya kasıt sahibi olanların ortaya çıkması ve yargılanması açısından önemlidir. Aynı zamanda yargılama sürecinde, verilerin nasıl sızdığı hakkında da bilgi edinebileceğiz.

Bu durumda olan diğer vatandaşlara da bir çağrıda bulunmak istiyorum; İçişleri Bakanlığı, verilerimizi korumakla yükümlüdür. Herkesin bu konuda tazminat davası açması ve sorumlular hakkında suç duyurusunda bulunması önemlidir. Bu büyük skandalın gündemde ve yargılama konusu olması, vatandaşların güvenliği açısından önemlidir. Dolayısıyla, dava sayısının artması, konunun gündemde kalması ve verilerimizin güvenliği açısından tüm vatandaşların bu sürece dahil olması son derece önemlidir."

Ne yapmalı?

Biri halka, diğeri devlete olmak üzere iki önerimiz var.

Devlete vergi ödeyen ve karşılığında, eğitim, hukuk, sağlık konularında hizmet bekleyen halk olarak, bu konuda çok uzun zaman önce yapmamız gerekeni, MLSA (Medya ve Hukuk Derneği) yaptığı gibi hukuk yoluyla itiraz hakkımızı kullanmalıyız.

Bu tür hukuki araçlara başvurmadığımız sürece, her türlü yanlışlıkların süreceğinin bilincinde olarak hakkımızı aramalıyız. MLSA yol göstermiş. Bravo onlara. Sonuçta sızan veriler telefon dolandırıcılıklarında, sağlık verilerimizin kullanılmasına ve hatta kadın cinayetlerindeki adreslere, avukatların takibine kadar her şeyde kullanılabilir. Devletin bunlardan bizi koruması lazım.

Bugün seçilen hükümetten ve devleti yönetim tarzından ve hatta muhalefetin zayıflığından memnun olmayanlar olarak, önümüzdeki süreçte, tek savunma yolu "sivil toplum örgütleri (STK)" ve "medya" konusuna hepimizin destek olması ve mücadeleyi bunlar üzerinden sürdürmesidir.

Ama bir yandan da devlet memurlarına ve askerlere "acil, acil, acil, kişisel şifrelerinizi ve kurumunuzun uygulama şifrelerini değiştirin" diyelim. Bunun yukarıda da yazdığımız gibi, devletin genel bir kural olarak "her ay hem devlet memurlarının hem de devlet uygulamalarının (API) şifreleri değiştirilecek" şekline sokması lazım.

Şunu da soralım: Devlet memurlarının dark webde satılan şifrelerini acaba sadece para kazanmak isteyen birtakım siber suçlular mı alıyor? Yanı sıra diğer devletlerden bu şifreleri alıp, başka bilgilere ulaşanlar var mıdır?

BTK'nın, Ulaştırma Bakanlığının ya da onlar yapmıyorsa, devletin başka bir bölümünün yapması gereken şu: Bu kadar önemli bir konu, bugüne kadar olduğu gibi boşlukta bırakmamak.

Bizim yaptığımız gibi, tüm siber güvenlik firmaları ile işbirliği yapılsa olaylar çözülebilir. Çünkü biz de bütün bilgileri görüştüğümüz çeşitli siber güvenlik firmalarından alıyoruz. Onlar ne olup, bittiğinin hep farkındalar. Artık kişisel verilerimizi ortalığa saçılmış görmeyelim. Bir an önce bu suistimalin sona ermesi için devleti hem şifreleri değiştirme seferberliğine, hem de siber güvenlik firmaları ile daha yakın çalışmaya davet ediyorum.