Analiz Siber-Güvenlik

Hepimizin bilgileri çalındı: Tehlikenin farkında mısınız?

Türkiye vatandaşlarının nüfus bilgilerinin internette yayınlanması ne anlama geliyor? Ortaya çıkabilecek olası riskler ve tehlikenin boyutu...

Pazartesi gecesi önce yabancı yayın kuruluşlarının gündemine, sonra da Türkiye gündemine düşen haber, 50 milyon Türk vatandaşının kimlik ve adres bilgilerinin internet üzerinde açıklandığını gösteriyordu.

Üstelik bu olay 2 ay içinde 2. defa meydana gelmişti. Birinci yayınlanma teknik açıdan erişimi zor ve şifreli bir şekildeydi. İkincisi kolaylaştırılmış olarak verildi. Daha da ilginci, istediğiniz sırada görebiliyorsunuz.

A- Şimdi 8 adımda, ortaya çıkan verilerin ne olduğuna bakalım;

  1. Veriler, yurtdışındaki sunucularda yayınlandı. Verilerin sunumunda hükümeti ve Trump’ı eleştiren bazı mesajlar var.
  2. Verilere bakıldığında, 2010 yılından bu yana ortalıkta dolaşan ve çeşitli pazarlama firmalarına satılan veriler olduğu anlaşıldı. Bu veriler DVD halinde ve en son 120 TL gibi fiyatlarla satılıyordu.
  3. Verilere bakıldığında, tüm nüfusu kapsamıyor olması bir yana, sadece 1/1/1990 öncesi doğan vatandaşların verilerinin yer aldığı görülüyor. Buradan hareketle bu verilerin seçmen bilgileri olduğu düşünülüyor.
  4. Şubat ayındaki sızıntı sırasında hükümet iddia edilenin aksine bir hackleme olmadığı cevabını vermişti.
  5. Bu seferki sızıntıda, konuyla ilgili olarak, ilk açıklama Ulaştırma Denizcilik ve Haberleşme Bakanı’ndan geldi. Bakan Binali Yıldırım şöyle cevap verdi;
    “Bu haber çok eski bir haber. 2010 yılında da böyle bir iddia ortaya atılmıştı. Şimdi bu, zaman zaman ısıtılıp ısıtılıp gündeme getiriliyor, yeni bir haber gibi servis yapılıyor. Şu an ortaya çıkan haberlerin güncel bir değeri yok. Bu, bildiğimiz bir konudur, geçmişte yaşanmış bir hadisedir.”
  6. Arkasından Adalet Bakanı Bekir Bozdağ sorumluyu siyasi partiler olarak ilan etmeye yakın bir açıklama yaptı;
    “Tabii nereden, nasıl sızdı bilmiyorum ama rakamlara baktığınız zaman 50 milyon civarında. Bu, Türkiye’deki seçmen sayısına yakın. Bildiğiniz gibi YSK seçimlere ilişkin bilgileri partilerle de paylaşıyor. O nereden sızdı, nasıl sızdı bunun araştırılması, tahkik edilmesi, üzerinde durulması lazım.”
  7. “50 milyon vatandaşın kimlik bilgileri çalınıyor, devlet seyrediyor. Madem biliyorsun, neden önlem almıyorsun?” şeklinde tepki toplayan Bakan Binali Yıldırım, gazetecilere verdiği cevaplarda, Bozdağ’ı tekrarladı;
    “2009 ve sonrasındaki seçim dönemlerinde siyasi partilere verilen bilgiler üzerinden sızdırılmış. Ama kimin sızdırdığını bilemiyoruz.”
  8. Ankara Cumhuriyet Başsavcılığının konuyla ilgili bir dava açtığı duyumu geliyor. Şimdilik gelişmeler burada bitiyor.

B- Bakan açıklamalarına tepkiler; ‘Kişisel verileri kim koruyacak?’

identity-theft_fullKonuyla ilgili yorumlarda, Bakan Yıldırım’ın “zaten biliyoruz” yaklaşımı, “devlet seyretmek için mi var, madem biliyorlar, 6 yıldır bu konuda ne yapılmış?” şeklinde ifadelere neden oldu. Konuyu “Rezalet mi, çaresizlik mi, pişkinlik mi?” ya da “Kişisel verileri bizim kapıcımız mı koruyacak? Sorumlusu kim?” diye yorumlayanlar da var.

Bakan Yıldırım’ın belki nereye gittiğini düşünmeden, hızlıca verdiği ilk ifadenin arkasından dün durumu “siyasi partiler vermiş” şeklinde düzeltmeye çalıştığı görülüyor. Ancak “siyasi partiler” çıkışı, ne Bozdağ’ı, ne de Yıldırım’ı rahatlatabilir.

Olayı siyasi partiler gerçekleştirmiş olsa bile bu ifade, sorumluluğu hükümetin üzerinden alabilecek gibi değil. Çünkü bu verileri koruması gereken devletin (hükümetin) kendisi. Oysa Sayıştay raporu ile biliniyor ki; devlet kişisel verileri korumak bir yana, satabiliyor. SGK’nın bu verileri 65 milyon TL karşılığında sattığı muhalefet tarafından açıklanmıştı.

Yani Adalet Bakanı Bozdağ da güya hükümetin sorumluluğunu üzerlerinden atmak isterken, tamamen hükümetin yetersizliğini ortaya koyan talihsiz bir açıklama yapmış.

C- Kimlik bilgilerinin çalınması, yayınlanması neden önemli? 

  1. Kimlik bilgilerinin çalınması sahte pasaporttan (ki Suriyeli göçmenlerin gündemde olduğu günümüzde önemini takdir edersiniz), sahte şirket kurmaya, teröristlere kimlik sağlamaya kadar giden ağır tablolar çıkarabilir.
  2. Ama zaten bir tablo önümüzde duruyor. O da “telefon dolandırıcılıkları.” Ünlü profesör Canan Karatay’dan yargıçlara kadar varan tablolarda, dolandırıcıların başarılı olmasının arkasındaki kriteri, bir kadın mağdur açıklamıştı, “Eşimin adına kadar biliyordu. Sahte olduğunu anlayamadım.” Acaba bu dolandırıcılıkların arkasında bu veriler var mıydı?
  3. Verilerin birleştirilmesi ve bu yolla örneğin aile ağaçlarının çıkarılması yani anne kızlık soyadlarının bulunabilmesi mümkün. Dolayısıyla sanal banka dolandırıcılıkları ya da kredi kart dolandırıcılıklarına varan tablolar olabilir.

D – Devlet biliyorum deyip önlem almamışsa, davaya zemin hazırlar

Olayın arkasından devlete “verilerimi korumadılar” diye dava açmayı konuşan vatandaşlar oldu. Bu boyutu sorduğumuz Av. Gökhan Candoğan şöyle dedi;

“2004 yılında güncellenen TCK 135. madde, kişisel verilerin kopyalanmasına dairdir. 136 ise ele geçiren, yayan, dağıtan hakkında maddeler içerir. Üstelik bunu kamu görevlisi yapmış ise ağırlaştıran bir özelliği var.”

Şimdi, 50 milyon veri bir şekilde ele geçirilmiş. Çeşitli şirketlerin, pazarlama departmanlarına ya da bu tür bilgilere ihtiyacı olan yerlere satılmış. Bu arada devlet ne yapmış? Soruşturma açmış mı? YSK’dan mı çıkmış, Mernis’ten mi? Siyasi partilerden mi? 6 yıllık sürede olayın şekli ya da sorumluları ortaya çıkartılmış mı?

Şöyle denilebilir; “Haberiniz var da 5 yıldır ne yapıyorsunuz? Sadece seyrediyor musun?” Ayrıca bildiğiniz gibi, son yıllarda artan oranda telefon dolandırıcılığı var. Canan Karatay gibi profesörleri bile inandırabilen dolandırıcıların bir avantajı, telefonda söyledikleri o kişiye ait bilgiler. Bunlar bazen eşinin adı ya da bulunduğu yer olabiliyor. Dolayısıyla, bu çalınma ile telefonla dolandırıcılık arasında bir bağlantı kurulursa, devlet bütün dolandırıcılık zararlarını ödemek zorunda kalır. Daha da ilerisi, bakanın “haberimiz vardı” açıklaması ile, bu süreçte zarara uğrayan herkes devlete tazminat davası açabilir.

Eski tarihli çalınma ise hukuki süreç geriye işlemez mi?

Avukat Candoğan’a bunu da sorduk. Çünkü gelen yorumlardan birisi de bununla ilgili. Olayın 2010’da olmasının hukuki açıdan sorumluluğu ortadan kaldırıp, kaldırmadığı soruluyor. Cevap şu şekilde;

“Bu yeniden yayınlanmış bir olay. Yani çalınma eski bile olsa, devam eden bir etki var. Veri sürekli el değiştiriyor. Bazen bu verileri kullanan çeşitli kurumlara, bazen pazarlama firmasına satıldığı duyuluyor. Şimdi de halka açık yayınlanıyor. Bunu süresi geçmiş kabul edemezsiniz. Örnek verelim. 6 yıl önce adam öldürdünüz başka bir şey, adamı gelip gidip bıçaklıyor ve sürekli yaralıyor olmanız başka bir şey. Bu olayda sorumluluk devam etmektedir.”

Her şerde bir hayır

Bir son ifade de şu; bu verileri kim, ne nedenle yayınlıyor bilemiyoruz. Ama faydalı bir noktasına işaret edelim. 2010’dan beri bu veriler pazarda alınıp, satılıyorsa da kimse tam anlamıyla farkında değildi. Telefon dolandırıcılıklarında ya da başka şekilde kullanılıyorsa da, yine vatandaşlar bilincinde değildi.

Oysa karşımızda bu verilerimizi alan ama layıkıyla korumayan, üstelik 6 yıldır önlem almak ve soruşturma başlatmak yerine “haberimiz var, eski veriler” ya da “siyasal partilerdir” diyen bir hükümet var. Yani kişisel verilerimizin korunması için gerekli mercilere başvurmak, bireysel AİHM hakkını kullanmak dahil, hukuki süreçleri başlatmak lazım.

Son olarak uyaralım, herkes şifre kullandığı yerlerdeki şifrelerini ya da bilgilerini güncellesin. Bakanların açıklamasına bakmayın, “listede anne kızlık soyadı yok” diyenlere de bakmayın. Çünkü ilişkisel bir yapıda sorgulanabiliyor. Kolaylıkla annenize, anneannenize ulaşılabilir.

Tekrar ediyoruz, bu çok ciddi bir olay. Bütün dünyada da zaten “en büyük veri sızıntılarından birisi” başlıkları ile veriliyor.

Füsun Nebil

Füsun Nebil

1996’dan beri telekom endüstrisinde çalışıyor.
2000’den beri sektörle ilgili yazılar yazıyor.