24 Ağustos 2020

Yurtiçi Kargo veri tabanına erişim nasıl sağlandı; hacker mı, sızıntı mı?

Rana Batı'nın evinin adresinin, bir kurye firması veri tabanı resmi ile sosyal medya üzerinden yayınlanması sonucu bugün herkesin aklına, "Kişisel Verilerimiz kimlerin elinde" sorusu geldi

Bir haftadır, maskesi burnunu kapsamadığı gerekçesiyle polisin orantısız güç kullandığı 19 yaşındaki Rana Batı'yı konuşuyoruz.

Rana Batı ve sosyal medyaya yayılan videoyu çeken arkadaşı Zeynep Kurt, RS FM'de Atilla Güner'le Akşam Postası yayınında yaşadıklarını anlattı.

Kurt'un olay sırasında çektiği videoya baktığınızda, polisin bir kadına karşı epeyce saldırgan davrandığı görülüyor. Rana Batı radyo programında, kimliğini talep üzerine polise verdiğini belirtiyor ama polislerin görevden alınması sonrasında sosyal medyada görülen "polis taraftarı" mesajlarının çoğunluğu kişinin kimliğini vermediği için polisin böyle davrandığı iddiasında. Mobese'den görürüz umarım.

Sonuçta sosyal medya tepkileri üzerine 2 polis önce görevden alındı. Arkasından muhtemelen polis teşkilatının yarattığı trol akımı meydana geldi. Rana Batı için, "polise hakaret etti", "sarhoştu", "orta parmak gösterdi" vs gibi mesajlar attılar. Rana Batı'yı savunan ve polisi protesto eden mesajlara da yumuşak tonda ve "ama o da..." şeklinde cevaplar verildi.

Ancak ilk önce sessiz yayınlanan videolar, daha sonra sesli yayınlandığında, bahsedilen küfürler duyulmadı. Mobese kayıtlarının merak edildiğini unutmayalım.

Bu baskılar sonucu olsa gerek; orantısız güç polislerinin yeniden görevlerine döndükleri görülüyor ki; ben konuya bir kadın gözüyle baktığımda, bunu doğru bulmuyorum. Bunun anlamı polise, "gözüne kestirdiğine istediğin gibi şiddet yapabilirsin" ve hatta "yolda yürüyen birine istediğin gibi davranabilirsin" demek.

Polis bizim vergilerimizle maaş alıyor ve karşılığında yapması gereken vatandaşı korumak, meslektaşları bile olsa, hukuksuz davranan kişileri değil. Maskesini burnuna altına indireni uyarsın ama kolunu kırmasın, karşısındakinin bir genç kız olduğunu unutmasın.

Ama şimdi tek bir olay birden çok sorunun "zip"lenmiş hali gibi oluverdi. Kadına yönelik şiddet, polis şiddeti, hacker olayı, sosyal medya üzerinden tehdit, kişisel verilerin korunamaması, büyük bir şirketin veriler konusunda bu aşamada yeterli gözükmeyen açıklaması.  Vatandaşlar açısında güven sarsıcı bir bileşim.

Yurtiçi Kargo çalışanı hacker mı? Yurtiçi Kargo verilerini koruyamıyor mu?

Bu olayda yukarıdaki paragrafta geçen polis şiddeti ve kadına yönelik şiddet dışında kalan konuların meydana geldiği yeni durum var. Rana Batı'nın evinin adresinin, bir kurye firması veri tabanı resmi ile sosyal medya üzerinden yayınlanması sonucu, bugün herkesin aklına; "Kişisel Verilerimiz kimlerin elinde" ya da "kurye firmalarından insanların adresleri servis mi ediliyor", "kurye firmaları kişisel verilerimizi koruyamıyor mu" soruları geldi. Şimdi buna yakından bakalım;

Birileri Batı'yı korkutmak için çalışıyor anlaşılan ki; Rana Batı'ya sosyal medya üzerinde ceza vermeye hatta linç için birilerini davet etmeye kalkıyorlar. Aykırı sitesinden Berat Temiz ve Yağmur Dinç'in aktardığına göre bir kargo çalışanı Batı'nın Instagram profilini ele geçirdi ve o hesap üzerinden şöyle bir linç çağrısı yaptı:

"Hesap bendedir dostlar. Sadece bir kaç saat içinde bu soysuz kızın numara ve adresini paylaşacağım. Artık gider evinden mi alırsınız bilemem, beni mahkemeye verdiğinde hep beraber adliyeye gidiyoruz."

Batı'ya 1 saat süre veren ve bu sürenin içinde özür videosu çekip yayınlamazsa, evinin adresini ve telefon numarasını açıklayacağını ilan etmekle tehdit eden firma çalışanı şu ifadeleri kullandı:

"1 dakikada 500 kişi adresi at yazdı cidden sonu kötü olacak sistem açılsın paylaşıcam zaten bu kız ya Türk milletinden özür dileyerek video çeker atar paylaşırım ya da adresini paylaşır siz gerekeni yaparsınız. 1 saat vakti var."

Sonrasında Yurtiçi personeli olarak tanımlanan bu kişi, Rana Batı'nın adres ve telefon bilgilerini paylaştı. Adres bilgileri paylaşıldıktan sonra da kendi bulunduğu konumdan Batı'nın evinin uzaklığını tespit edip "Metrobüsle 1.5 saat" dedi ve kim olduğu bilinmeyen birilerini davet edecek şekilde sordu; "Hep beraber gidelim mi?"

Bu hareket, polislerin yakın oldukları, zaman zaman çalıştırdıkları hackerları yardıma çağırdığı yorumu ile karşılandı. Bu nedenle polis teşkilatının da bu konuya açıklık getirmesi gerekli.

Yani; önce sessiz yayınlanan video nedeniyle, Rana Batı'ya suçlama (sarhoş, küfür etti vs) yapan polislerin, bilahere sesli yayınlanması ile haksız duruma düşmüş olabileceği düşünülüyor. Bu düşünceden ötürü birilerinin Batı'yı tehdit ve şantaj ile vazgeçirmeye çalıştığı, baskı uyguladığı şeklinde yorumlanıyor. Bu tür bir hareket de zaten ancak bu durumda olabilir.

Ama bir yandan da, başta da dediğimiz gibi olayın diğer açısı var. "Adres yayınlayanın" Yurtiçi Kargo çalışanı gibi gözükmesi nedeniyle, bu şirkete karşı da büyük bir tepki doğdu.

Sosyal medyada 'Yurtiçi Kargo Cevap Ver' kampanyası

Yurtiçi Kargo firması personeli gibi davranan kişinin müşteri bilgi sistemine girip Batı'nın adres ve telefon bilgilerini paylaşması kısa sürede büyük tepki çekti, sosyal medyada konuyla ilgili olarak #YurticiKargoCevapVer etiketiyle binlerce mesaj paylaşıldı.

Çünkü bu olay sadece Rana Batı ile ilgili değil. Sonuçta bu kargo/kurye şirketleri milyonlarca insanın adresini ve kişisel verilerini (TC kimlik, telefon no vs) bünyesinde saklıyor.

Dolayısıyla bugün ortaya, daha önce pek düşünmediğimiz önemli bir soru çıktı. Bu sorun, kargo firmalarının ellerindeki bilgileri nasıl korudukları sorusu.

Bu hacker, Yurtiçi Kargo elemanı da olsa, polisin yakın olduğu ya da polis hayranı bir hacker da olsa, Yurtiçi Kargo veri tabanını hacklemiş durumda.

Her iki durumda da Yurtiçi Kargo'nun kişisel verileri 6698 sayılı kanun kapsamında iyi saklayamadığı söylenebilir. 

Yurtiçi Kargo: Olay araştırılmaktadır

Yurtiçi Kargo ise bugün sosyal medyadan yaptığı açıklamada, çalışanların sistem üzerinden müşterilerin bilgilerine erişemediğini ve sadece dağıtım sırasında adres bilgilerinin ilgili personele gösterildiğini belirtti.

Firma "Konunun şirketimizle ilgili olup olmadığı hakkında net bir bilgi olmasa da olay araştırılmaktadır. Bir ihlal yaşandı ise tüm kanuni haklarımızı kullanacağımızı kamuoyuna saygı ile duyururuz" ifadelerine yer verdi.

Bu açıklama yeterli değil. Yayınlanan veriler, Yurtiçi Kargo veri tabanından ise;

  1. Ya bir hacker veri tabanına sızmış ve bunu almış
  2. Ya da bir Yurtiçi Kargo elemanı bunu yayınlamış ya da sızdırmış.

Her iki durum, kargo şirketlerinin kişisel verileri korumalarının önemini hepimize sorgulattı.

Bu nedenle Yurtiçi Kargo derhal soruşturmasını yapmak ve sonuçları kamuoyuna paylaşmak zorundadır. Aksi durum, insanların Yurtiçi Kargo firmasından kaçmaya başlamasını getirecektir (en başta ben).

Tabii ki, Kişisel Verileri Koruma Kurulu'nun (KVKK) da harekete geçmesi gerekiyor. Bu çok önemli bir konu.

Bu arada Yurtiçi Kargonun yukarıda linkini verdiğimiz bugünkü açıklamasının altına eklenen şu mesajı da ilginç bulduğumuz için paylaşıyoruz. Umarız doğru değildir;

Av. M. A. Köksal: Bu Sadece kişiyi ilgilendiren bir suçtur; ancak, kargo firmasındaki bilgilerden yararlanılmışsa o da incelenebilir

Kişisel Verilerin Korunması konusunda uzun yıllardır çalışan Köksal Partners hukuk bürosundan Mehmet Ali Köksal'a konuyu sorduk;

  • Tuhaf bir gelişme yaşandı. Yurtiçi Kargo şirketinin elemanı gibi gözüken bir kişinin, 19 yaşındaki Rana Batı'nın önce Instagram hesabını hacklediği, sonra da bu hesaba ait bilgileri Yurtiçi Kargo veri tabanından bulup, adresini yayınladığı anlaşılıyor. Öncelikle Instagram hesabının hacklenmesini nasıl değerlendiriyorsunuz? Sonra da sosyal medyadan bu adresin yayınlanması, kişisel veriler açısından nasıl değerlendirilir?

Hesabın hacklenmesi olayı TCK öncelikle TCK 243'teki suçu oluşturur. Yani ilgili kişi öncelikle daha ileri gitmediyse TCK 243 (1) de düzenlenen "Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren veya orada kalmaya devam eden kimseye bir yıla kadar hapis veya adlî para cezası verilir. (1)" hükmünü ihlal etmiştir

Ayrıca sosyal medyada paylaşılan görüntülerden yola çıkarak ilgili kişinin ayrıca hesaptan paylaşım yaptığı anlaşılmaktadır. Bu nedenle de TCK 243/3'teki "(3) Bu fiil nedeniyle sistemin içerdiği veriler yok olur veya değişirse, altı aydan iki yıla kadar hapis cezasına hükmünün uygulanması gerekir."

Ancak, burada kişi sadece sisteme girdiği için verileri değiştirmemiş, sisteme girmiş ve kasti bir davranışla verileri değiştirmiştir. Bu nedenle de artık suç TCK 243'teki suç değil, TCK 244'deki "verileri değiştirme" suçu işlenmiş olacaktır.

Bu nedenle olayda TCK 244/2'deki "(2) Bir bilişim sistemindeki verileri bozan, yok eden, değiştiren veya erişilmez kılan, sisteme veri yerleştiren, var olan verileri başka bir yere gönderen kişi, altı aydan üç yıla kadar hapis cezası ile cezalandırılır" hükmünün uygulanması ve 6 aydan 3 yıla kadar hapis cezasının söz konusu olması gerekir.

Şantaj suçu ise TCK 107'de düzenlenmiştir ve düzenleme aşağıdaki gibidir:

(1) Hakkı olan veya yükümlü olduğu bir şeyi yapacağından veya yapmayacağından bahisle, bir kimseyi kanuna aykırı veya yükümlü olmadığı bir şeyi yapmaya veya yapmamaya ya da haksız çıkar sağlamaya zorlayan kişi, bir yıldan üç yıla kadar hapis ve beşbin güne kadar adlî para cezası ile cezalandırılır. (2) (Ek: 29/6/2005 – 5377/14 md.) Kendisine veya başkasına yarar sağlamak maksadıyla bir kişinin şeref veya saygınlığına zarar verecek nitelikteki hususların açıklanacağı veya isnat edileceği tehdidinde bulunulması halinde de birinci fıkraya göre cezaya hükmolunur."

Bu nedenle burada uygulanması gereken madde TCK 244/4. fıkrasıdır.

(4) Yukarıdaki fıkralarda tanımlanan fiillerin işlenmesi suretiyle kişinin kendisinin veya başkasının yararına haksız bir çıkar sağlamasının başka bir suç oluşturmaması halinde, iki yıldan altı yıla kadar hapis ve beşbin güne kadar adlî para cezasına hükmolunur.

Yani bu durumda artık kişinin cezası 2 yıldan az olmaması gerekir. Yani kişi hem şantaj, hem de veriye müdahale suçunu işlemiştir.

  • Peki bu olay bize, yurtiçi kargo gibi kurye firmalarının veri tabanındaki adres bilgilerimizin sızabilir ve kötüye kullanılabilir olduğunu göstermiş oldu. Burada firmanın sorumluluğu nedir (a. çalışanı ise, b. hacker ise)?

Bu nedenle de durumda uygulanacak madde 244/4'tür. Firmanın sorumluluğu öncelikle bu veriler kişisel veri olduğu için 6698 sy. KVKK'ya dayanmaktadır

Yani, firma isterse kusuru olmasın, veri sorumlusu olarak (Aslında gerekli teknik ve idari tedbirleri almadığı için kusuru söz konusudur) ilgili kişinin zararından sorumludur.

Bu nedenle Rana Hanım Yurtiçi Kargo'ya dava açtığında ve/veya onu KVKK'ya şikayet ettiğinde ciddi bir yaptırım söz konusu olacaktır.

Burada ilginç bir şey söyleyeyim. Şu anda kişinin hacker olup olmadığı, bu bilgiyi hangi yöntemle elde ettiği bilgileri elimizde yok. Bu nedenle değerlendirmemiz hatalı bir sonuç verebilir. Kişi örneğin Yurtiçi Kargo'nun IT ekibinden bir kişi veya şube yetkilisi olabilir.

Bu durumda örneğin şube yetkilisi ise bu veriye erişmesi makul olabilir. Ancak, burada kişi Kurumun politikalarının dışına çıkmıştır. Kurumda da bunu engelleyecek teknoloji ve alarmlar yoktur. Bu nedenle kişi suç işlemiştir. Kurum'da adam çalıştıranın sorumluluğu gereği olaydan hukuki olarak sorumludur.

Ayrıca 6698 sy. Kanun kapsamında idari para cezası yaptırımı kaçınılmazdır.

Ancak, kişi tamamen hacklemiş olsa bile, bu durumda Kurum yine aynı mevzuat gereği sorumludur. Sadece kusuru daha az olduğu için miktarın tayininde olayın özelliklerine göre davranılması gerekmektedir

Yani netice olarak kişinin Rana'nın hesabını hacklemesi olayı sadece kişiyi ilgilendiren bir suçtur. Ancak, bu suçun oluşması yani hesabın hacklenmesi için kargo firmasındaki bilgilerden yararlanılmışsa burada da Kargo şirketinin üzerine gidilebilecektir.

Yazarın Diğer Yazıları

Neden bazı sitelere erişimde sıkıntı oldu?

Çeşitli hizmetler veren Cloudflare'i ülkemizde en çok "dDOS temizleme hizmetleri" ile biliyoruz. Trendyol'undan, Yemeksepetine, çeşitli gazetelerden, eksisozluğe, arabam.com'a kadar pek çok sayıda Türk web sitesi tarafından da kullanılıyor. Detayları Dağhan Uzgur'a sorduk

Trendyol "buybox" soruşturmasında, Rekabet Kurumu’na taahhüt metni sundu

İddiaya göre e-ticaret platformları, müşteriye gösterilecek satıcı konusuna daha doğrusu satıcılar arasında fiyatlara müdahale edebiliyor ve böylece son kullanıcının alım şartlarını etkiliyor

Avrupa endişeli, dikkatler denizaltı kabloları üzerinde

Denizaltı kablolar, uluslararası veri trafiğinin yaklaşık yüzde 99'unu taşıyan küresel internet bağlantısının omurgasını oluşturur. Bu kablolar, bulut bilişim, finansal işlemler ve medya akışı gibi hizmetleri etkinleştirerek küresel iletişim için kritik öneme sahip

"
"