ALTAN SANCAR

Türkiye’de yaşayan tüm yurttaşların bilgileri internet ortamında satışa çıkarıldı. Fiyatları 150 lira ile 1000 lira arasında değişen paketleri satın alanlar, Türkiye’deki yurttaşların kimlik numarası, adres ve sağlık bilgileri, telefon numaraları, iş yeri bilgileri gibi yüzlerce bilgiye erişebiliyor.

Türkiye’de yaşayan milyonlarca yurttaşı ilgilendiren büyük bir veri sızıntısı meydana geldi. Telegram kanalı kuran veri hırsızları, bu kanaldan yurttaşların bilgilerini satışa çıkardı.

Yaklaşık 11 bin takipçisi olan kanalda, verilerin sunulduğu siteye erişim için fiyatlar sıralanıyor. 'Mercy Check' adlı bu Telegram kanalına girenler, 'Mercy Check Yetkili' veya 'Sentinel' adlı iki ayrı kullanıcıya yönlendiriliyor.

PolitikYol olarak bu veri sızıntısının izini sürmek amacıyla Telegram kanalına girdik.

Kanala girdikten sonra 'Mercy Check Yetkili' adlı kullanıcıya mesaj atarak haftalık üyelikten istediğimizi söyledik. Gelen yanıt, “Hangi bankadan atacaksınız” oldu.

Verileri satan şahıslar, satın alanlara şirket adı veya kendi adlarını vermemek için elektronik para şirketlerinden birinde hesap açmışlardı. Böylece hesaba para gönderildiğinde girilmek üzere kendi bilgilerini paylaşmak zorunda kalmayacaklardı.

Biz de banka adını belirttikten sonra bize doğrudan o bankayla ilişkili bir hesabın IBAN numarasını ilettiler. Ayrıca açıklama kısmına ise 10 haneli bir sayı yazmamızı istediler ve “İsim soy isime gerek yok, açıklamayı unutma” dediler. Bunun üzerine banka üzerinden satılan en düşük paket olan haftalık paket için 150 liralık bir havale gönderdik ve dekontu ilettik.

Kısa süre içinde dönerek kullanıcı adı ve şifre belirlememizi istediler. Belirlediğimiz kullanıcı adı ve şifreyi ilettikten sonraysa bize bilgilerin yayınlandığı linki ilettiler. Ayrıca bu linke yalnızca ilk girdiğimiz cihaz üzerinden girebileceğimizi ve başka cihazlardan giremeyeceğimizi söylediler.

Bahsedilen linke olası virüs saldırıları için gerekli önlemleri aldıktan sonra girdik. Karşımıza kullanıcı adı ve şifrenin girileceği panel çıktı. Panele girdikten sonraysa siteye dair bilgilerin yer aldığı bir sayfa çıktı.

Bu sayfadaki iddiaya göre bugüne kadar sitede iki milyonun üzerinde sorgulama yapıldı. Sitenin toplam kullanıcı sayısı ise yaklaşık 2 bin olarak yer alıyordu. Öte yandan sitenin alan adındaki eki kaldırınca, Mayıs 2023’te CHP’nin internet sitesinden alınan bir arayüzün olduğunu ve sitenin bu şekilde gizlendiğini gördük. Ana linki elde edemeyenler, sitenin bilinen adıyla aradıklarında aslında hiçbir bağlantısı çalışmayan bir CHP sitesiyle karşılaşıyor.

Sitedeki sorgulama kısmına geçinceyse kişisel verilerin sorgulanabileceği çeşitli alanlara erişiliyordu. Burada kişilerin adı ve soyadı üzerinden kimlik numarasına, eğer aynı isim ve soy isime sahip yurttaş varsa anne ve baba adıyla sorgulama, adres bilgileri, evlilik bilgileri, sağlık kayıtları, iş yeri kayıtları, eğitim kayıtları, araç kayıtları ve telefon numaraları gibi bilgiler yer alıyordu.

Haberi hazırladığımız ekipten farklı isimlerle sorguladığımızda telefon numarasıyla kimlik numarasına erişimin dahi mümkün olduğunu gördük. Sitede yer alan sorgulamalardan adres, evlilik, iş yeri ve araç sorgulamaları çalışırken bazı sorgulamalarda sistemlerin yanıt vermediğini tespit ettik.

Örneğin sağlık verilerine dair sorgulama istediğimizde "Sistem bakımda" yanıtını aldık. Üzerinden birkaç saat geçtikten sonra ise sistemin aktifleştiğini gördük. Buradaki sonuçlar 'ürkütücü' cinstendi. Zira buradaki sorgulamayla en son gidilen hastane ve bölüm, yazılan ilaçlar, rapor durumu ve sigorta durumu görüntülenebiliyordu.

Bu durum akıllara geçtiğimiz aylarda bir paylaşımı nedeniyle kadın bir sosyal medya kullanıcısının tüm hasta geçmişinin sosyal medyada yayınlanmasını ve bunun üzerinden kendisine yöneltilen saldırıları akıllara getirdi.

Her durumda kimlik numarası dahil olmak üzere çok sayıda kişisel veriye erişmek çok hızlı ve kolaydı. Öyle ki kimlik numarasıyla iş yeri sorgulandığında aynı iş yerinde çalışan kaç kişi varsa tamamının tüm yurttaşlık bilgileri de liste halinde karşımıza çıkıyordu.

Verilerin güncelliğini kontrol etmek üzere çok yakın bir tarihte boşanma kararı alan ve arkadaşımız olan bir çiftin izniyle medeni hallerini sorguladık. Sorgulama sonucunda verilerin yalnızca iki ay önce görülmüş bir boşanma davasının sonucunu gösterecek kadar güncel olduğu ortaya çıktı. Yani, ana sayfasında açılış tarihi 2023 yılının ekim ayı olarak gösterilen sitede, verilerin güncellenmeye devam ettiği anlaşılıyor.

Sızıntıların boyutunu anlamak üzere bazı siyasilerin isimleri yazdığımızda da yine tüm kişisel verilerinin açık biçimde yayınlandığını gördük.

Sitede telefon numarası üzerinden sorgulama bölümünde kimlik numarasını öğrendiğiniz kişinin, bu bilgisini girince ailesindeki herkesin kimlik ve telefon numaraları karşınıza çıkıyordu. Öyle ki sitede hedeflenen bir telefon numarasını ‘SMS saldırısı’ dahi yapılabiliyordu.

Kendi telefon numaralarımızı girdiğimizde aralarında çok tanınmış zincir marketler, kahve ve giyim mağazalarından SMS’ler almaya başladık. Üstelik gelen mesajlar, doğrudan bu şirketlerden geliyordu. Öyle ki telefonunda daha önce bu şirketlerden mesaj alanlar, yine buradan mesajları alıyordu.

Sitedeki kontrollerin ardından bize bilgileri satan 'Mercy Check Yetkili' adlı kullanıcıya mesaj atarak gazeteci olduğumuzu ve verilere nasıl eriştiklerini, neden sattıklarını sormak istediğimizi söyledik. Kullanıcı siteyi beğenip beğenmediğimizi sorduktan sonra, sorumuzu yanıt vermek için gece saatlerinde yazacağını belirtti. Ancak daha sonra sorularımıza yanıt vermedi.

'Önüne geçilemiyor'

Sızıntıyı ve bu verilerin internet ortamında satışa çıkarılmasını değerlendiren Veri koruması ve internet hukuku konularında çalışan Avukat Serhat Koç, Kişisel Verileri Koruma Kanunu hatırlatarak sızıntının adli cezalarının olduğuna dikkat çekti.

Sızdırılan verilerin ‘devletin verisi’ değil 'vatandaşın verisi' olduğunu söyleyen Koç, devlet ve ilgili tüm kurumların verileri korumakla yükümlü olduğunu hatırlattı.

Sızıntıya yol açan kurum ve kuruluşların para cezalarıyla cezalandırılması gerektiğine işaret ederek, 2008 yılında meydana gelen büyük bir sızıntı sonrası yargılamalara işaret etti:

“2008’de büyük bir sızıntı yaşanmış ve büyük bir yargılama yapılmıştı. Hatta bu konuda büyük bir ‘çete’ çökertilmişti. O günden bugüne elden ele geçen ve maalesef avukatlar tarafından da kullanılan mekanizmalar nedeniyle veriler çeşitlendi. Ne yazık ki devlet kurumlarının inanılmaz zayıf güvenlik önlemleri nedeni ile de bu veriler artık güncelleniyor. Bu verilere sigorta şirketleri ve belediyelerin elindeki veriler de eklendikçe birbirlerine bağlanarak zenginleşiyorlar. Yani A verisine sahip olduğumuzda ve buna B verisini elektronik ortamda eklediğinizde, C verisine ulaşabiliyorsunuz. Algoritmalar sayesinde profillemeler yapılıyor ve böylece bir kişinin tüm verilerine ulaşabiliyorsunuz. Buradan da onunla bağlantılı kim varsa verilerini elde ediyorsunuz. 2008 yılından veri iki ya da üç yılda bir bu tarz büyük sızıntı haberleri ile karşılaşıyoruz. Her ne kadar aralıklarla temizleme operasyonu yapılsa da önüne geçilemiyor.”

'Hayatınız karartılabilir'

Bilişim Uzmanı Şevket Uyanık ise verilerin paketler halinde internet ortamında dolaşıma girdiğini ve bir kere internet ortamına düşmesi sonucunda sızıntının önüne geçilmesinin imkânsız olduğunu vurguladı.

Uyanık, e-devlet sisteminin güvenlik önlemlerinin yetersizliğine işaret ederek, şunları dedi: “İki faktörlü doğrulama kısa süre önce geldi. Bunun dışında kalan durumlarda sızıntıların olmaması mümkün görünmüyor. Kaldı ki herhangi bir Avrupa ülkesinde bir banka hesabı açmak uzun zaman alıyor. Çünkü verilerin bir kısmı hiçbir zaman dijital ortama aktarılmamış. Fakat bizde bu işlemler birkaç dakika sürüyor ve veriler çoktan dijital ortama aktarılmış durumda. Aktarılan verilerin korunmasının ise yetersiz olduğu ortada." Uyanık, yurttaşların değiştirilebilir şifre, kullanıcı adı ve maillerini düzenli aralıklarla güncellemeleri gerektiğini vurgulasa da bir 'çaresizliğe' de işaret ediyor: “Ancak doğum tarihinizi, kütük kaydınızı ve kimlik numaranızı değiştiremezsiniz. Bu veriler de artık birçok zarar verecek insanın eline geçmiş gibi görünüyor. Bakın bu veriler ile size zarar vermek isteyecek birinin size verebileceği zararı tahmin dahi edemezsiniz. Sevmediğiniz bir insanın evine şehirdeki tüm restoranlardan sipariş vermek ve karşıya geçip oturup izlemek buradaki en masum şey olacaktır. Hayatınız karartılabilir. En kötüsü de bu veriler bir kere yayıldığı için artık bunu toparlama şansı bulunmuyor.”