108 milyon kişinin kişisel verilerinin çalındığını yalanlayan yetkililer gerçeği söylemiyor: Belgeleriyle açıklıyorum

ALİ SAFA KORKUT

Free Web Turkey’nin “108 milyon yurttaşın tüm kişisel verileri çalındı, BTK verileri koruyamadığını kabul ederek Google'dan yardım istedi" başlıklı haberi sonrası dört farklı hükümet yetkilisi beş farklı açıklama yaptı.

Bu açıklamalardan ilki, Ulaştırma ve Altyapı Bakanı Abdulkadir Uraloğlu’ndan geldi ve bakan, haberi doğruladı.

Uraloğlu kabul etti: “Pandemide çalındı, maalesef önlenemedi”

Cumhuriyet Gazetesi’nden Merve Kılıç’ın haberine göre, Beştepe’deki kabine toplantısının ardından gazetecilerin sorularını yanıtlayan Uraloğlu, “Pandemi sürecinde bazı bilgilerin maalesef belli şekliyle elde edilmiş olduğu doğru. O süreçte o maalesef önlenemedi” ifadesiyle sızıntının Sağlık Bakanlığı’ndan gerçekleştiğini söyledi.

Hatta 12 Eylül tarihli “Fatih Portakal ile Sözcü Ana Haber”de yayımlanan habere göre  Uraloğlu’nun danışmanı, basın mensuplarından Uraloğlu'nun bu itirafını kaleme almamalarını istedi.

İletişim Başkanlığı reddetti: “İddialar asılsızdır”

Ancak Ulaştırma Bakanı verilerin çalındığını kabul ederken Cumhurbaşkanlığı İletişim Başkanlığı Dezenformasyonla Mücadele Merkezi (DMM) herhangi bir sızıntı olmadığını belirterek iddiaları reddetti.

12 Eylül’de DMM’nin Twitter hesabından yapılan açıklamada Google’dan yardım istendiği iddialarının da gerçek dışı olduğu belirtilerek “Asılsız iddialara itibar etmeyiniz” ifadeleri kullanıldı.

Adalet Bakanı: “İsteyen dava açabilir”

İletişim Başkanlığının ardından bir açıklama da Adalet Bakanı Yılmaz Tunç’tan geldi. Yine 12 Eylül tarihli “Fatih Portakal ile Sözcü Ana Haber”deki habere göre Tunç, “Kişisel veriler ele geçirilmişse bu konuda gerekli başvuru yapılır. Kişisel verilerin korunmasıyla ilgili kanun var. İsteyen dava açabilir” dedi.

KVKK: “Konuyla ilgili bize gelen bir bildirim yok”

Kişisel Verileri Koruma Kurumu (KVKK) da 13 Eylül Cuma günü yaptığı açıklamada, 108 milyon yurttaşın verilerinin çalındığına ilişkin kendilerine yapılan herhangi bir ihlal bildirimi olmadığını söyledi.

Uraloğlu: “Böyle bir çalınma olayı olmamıştır”

9 Eylül’de sızıntıyı doğrulayan Uraloğlu, 16 Eylül tarihli İhlas Haber Ajansı (İHA) haberine göre ise veri sızıntısı iddialarını yalanladı.

Habere göre Uraloğlu, şunları söyledi:

“Şu anda Türkiye’nin gündeminde verilerin çalınması gündemi yoktur çünkü böyle bir çalınma olayı olmamıştır. Bu geçmiş dönemde sadece konuşulan bir bilgi vardı, oydu. Şu anda Türkiye’nin gündeminde yok. Çok net söylüyorum. Kimse ortalığı bulandırmasın. Söylenilen bir lafı cımbızla çekip sanki Türkiye’de insanların güvenliğiyle ve verileriyle ilgili çalınmış güncel şeyler vardır diye kimse haber yapmasın. Şu anda böyle gündem yoktur. Bu şekilde yapılmış olan haberlere de cımbızla çekilip arkasına önüne yorum ekleyerek yapılan hiçbir haberin bizim nezdimizde kıymeti yoktur. Böyle bir açıklamamız olmamıştır.”

Yetkililerin açıklamaları gerçeği yansıtmıyor

Açıklama yapmayan tek kurum, çalınan kişisel verilerin tutulduğu Google Drive dosyalarını yayımdan kaldırması için Google'a 29 Temmuz, 3 Eylül ve 6 Eylül tarihlerinde olmak üzere üç yazı yazan Bilgi Teknolojileri ve İletişim Kurumu (BTK) oldu.

Yanıt vermek için bu yalanlama faslının bitmesini bekledim ve sanırım bitti.

Sonda söyleyeceğimi en baştan söyleyeyim: Bir veri sızıntısı olmadığı ve/veya sadece pandemide olduğu ve onun da yalnızca Sağlık Bakanlığı sistemlerinden kaynaklandığına dair resmi açıklamalar doğru değil.

Bununla birlikte BTK’nın da çalınan verilerin saklandığı Drive dosyalarını yayımdan kaldırması için Google ile iletişime geçmediğine dair resmi açıklamalar da gerçeği yansıtmıyor.

Neden mi? Anlatayım.

Sızıntı sadece pandemide gerçekleşmedi ve yalnızca Sağlık Bakanlığından kaynaklanmadı: İçişleri Bakanlığından da veri sızdırıldı Çalışma Bakanlığından da 

İlk açıklamasında veri sızıntısını doğrulayan Uraloğlu, bunun sadece pandemide yaşandığını ve Sağlık Bakanlığının sisteminden kaynaklandığını belirtti.

Bu doğru değil. Çünkü sızıntı sadece pandemide değil, ondan sonra da yaşandı. Aynı zamanda Sağlık Bakanlığının yanı sıra Çalışma Bakanlığı ile İçişleri Bakanlığından da veri çalındı.

Kanıt olarak 12 Eylül Perşembe günü yayımladığımız “21 milyon işçi ve işverenin tüm SGK hizmet bilgileri çalındı” başlıklı haberimi gösterebilirim.

Haberde, 20 milyon küsur yurttaşın Sosyal Güvenlik Kurumunda (SGK) kayıtlı çalışan bilgileri ile 1 milyon küsur işverenin SGK sisteminde kayıtlı kişisel ve yetkili bilgilerinin çalındığı anlatılıyor.

Çalınan veriler incelendiğinde, Çalışma ve Sosyal Güvenlik Bakanlığına bağlı SGK kayıtları arasında 28 Aralık 2023 Perşembe gününe ilişkin giriş bilgilerinin yer aldığı görülüyor. Bu da verilerin bu tarihte çalınmış olma ihtimalini güçlendiriyor.

Uraloğlu’nun söylediğinin aksine sızıntının sadece pandemi döneminde gerçekleşmediğini gösteren bir örnek daha sunacağım.

6 Mart 2024’te, T24’te yayımlanan “T24 'alıcı' olarak araştırdı: Veri hırsızlığı skandalında son perde; siyasi liderler dahil Türkiye'de herkesin kişisel bilgileri 150 liraya satışta!” başlıklı haberde tüm kişisel verilerin 150 TL karşılığında satıldığı ortaya kondu.

Cengiz Anıl Bölükbaş, haberinde kendi ikâmet adresini arattığını ve çalınan veriler arasında o tarihte henüz iki ay önce değiştirdiği güncel adresini de bulduğunu kaydetti.

Bölükbaş, haberde, çalınıp da satılan verilerin içinde yurttaşların hastane randevuları ve reçete edilen ilaç bilgilerinin de yer aldığını belirtti.

Buna dair bir ekran görüntüsü de sunan Bölükbaş, 8 Şubat 2024’te Ankara 29 Mayıs Devlet Hastanesi Kulak Burun Boğaz Polikliniğinde olduğu muayene kaydı ile kendisine sunulan reçeteye kadar ulaştığını belgeledi.

Uraloğlu’nun söylediğinin aksine, sızıntının sadece Sağlık Bakanlığından kaynaklanmadığını gösteren bir başka kanıt daha.

Temmuz ayında, Türkiye’de kayıtlı 3 milyon 300 bin Suriyeli sığınmacıya ait kişisel verilerin yanı sıra pasaport kopyalarının sızdırıldığına dair haberler yapıldı.

Sadece İçişleri Bakanlığı Göç İdaresi Başkanlığında bulunan bu bilgilerin nasıl sızdığı tespit edilemedi. Ancak Göç İdaresi Başkanlığı sızıntıyı doğruladı. Başkanlık, buna karşın sızan bilgilerin güncel verilerle uyuşmadığını söyledi.

Tüm bunlardan ne anlıyoruz?

• Sızıntının sadece pandemide yaşandığı, güncel olmadığı ve yalnızca Sağlık Bakanlığından kaynaklandığı açıklaması doğru değil.

• İletişim Başkanlığının yaptığı “Halihazırda sızdırılmış bir veri yoktur” açıklaması doğru değil.

• Uraloğlu’nun yaptığı “Sanki Türkiye’de insanların güvenliğiyle ve verileriyle ilgili çalınmış güncel şeyler vardır diye kimse haber yapmasın” açıklamasında öne sürülen güncel bir sızıntı olmadığı iddiası doğru değil.

Google'dan yardım istenmediyse bunlar ne?

“108 milyon yurttaşın tüm kişisel verileri çalındı, BTK verileri koruyamadığını kabul ederek Google'dan yardım istedi” başlıklı haberi yalanlayan bir diğer kurum da Cumhurbaşkanlığı İletişim Başkanlığı Dezenformasyonla Mücadele Merkezi (DMM) oldu.

12 Eylül’de yapılan açıklamada “Halihazırda sızdırılmış bir veri olmadığı gibi Google'dan yardım istenmesi de söz konusu değildir” ifadeleri kullanıldı.

Bu konuyla ilgili olarak açıklama yapmayan tek kurum, ilgili Drive dosyalarını yayımdan kaldırması için Google’a üç ayrı yazı yazan Bilgi Teknolojileri ve İletişim Kurumu (BTK) oldu.

BTK’dan henüz bir açıklama gelmedi çünkü DMM’nin açıklamasının aksine BTK, çalınan kişisel verilerin saklandığı Drive dosyalarının kaldırılması konusunda Google’dan yardım istedi.

Drive dosyalarının kaldırılması için 29 Temmuz, 3 Eylül ve 6 Eylül tarihlerinde Google’a yazı yazan BTK’nın 29 Temmuz tarihli başvurusunun belgesini paylaşıyorum. Bu belge, Google'ın BTK bünyesindeki Ulusal Siber Olaylara Müdahale Merkezinden (USOM) bir içerik kaldırma talebi aldığını ve bunun üzerine Google tarafından oluşturulan içerik kaldırma kaydını gösteriyor.

*Bu dosyalar Google tarafından kaldırıldığı için görüntülerde yer alan ilgili Drive dosyasına ait linkleri sansürlemeden paylaşıyorum.

Google, Free Web Turkey durumu haberleştirdikten sonra dosyaları kaldırdı

BTK’nın, ilettiği yazıda kaldırılmasını istediği Drive dosyalarının linklerini görebilirsiniz.

Ancak kurumun 29 Temmuz’da yazdığı yazıyla kaldırılmasını istediği dosyalar, durum Free Web Turkey’de haberleştirilinceye dek kaldırılmadı. 

Bunu iddiamı desteklemek adına haber yayımlanmadan beş gün önce, 4 Eylül’de aldığım ekran görüntülerini de aşağıda paylaşıyorum.

Yukarıdaki adres çubuğunda yer alan URL’le BTK’nın yazdığı yazıda yer verdiği URL’lerin birbiriyle uyuştuğunu göreceksiniz.

Aşağıdaki ekran görüntülerindeyse haber yayımlandıktan sonra Google’ın ilgili dosyaları yayımdan kaldırdığını görebilirsiniz.

İlgili dosyalar ziyaret edilmek istendiğinde Google, “Hizmet Şartlarımızı ihlal ettiği için maalesef bu öğeye erişemezsiniz” uyarısı veriyor.

USOM, Borsa İstanbul için de Google ile iletişime geçti

Bunların yanı sıra BTK'ya bağlı USOM, 17 Mayıs 2024'te de bu kez Borsa İstanbul (BİST) için Google ile iletişime geçti.

Google'a yapılan başvuruda, BİST'i hedef alan bir "kimlik avı saldırısı"nın gerçekleştirildiği ve kişilerin bilgilerinin çalınmasına yönelik bir bir bağlantının varlığından söz edildi. USOM, başvuru yazısında "Bu gelişmeler ışığında, içeriğin sisteminizden derhal kaldırılmasını acilen talep ediyoruz." ifadesiyle Google'ın internet sitesi oluşturulmasına olanak sağlayan "Google Sites" aracı kullanılarak oluşturulmuş bir internet sitesinin yayımdan kaldırılmasını istedi.

Ancak Google bu internet sitesini yayımdan kaldırdığı için söz konusu sitenin içeriğinde ne olduğunu göremedim. Dolayısıyla bunu da bir veri hırsızlığı olarak nitelemek doğru değil.

Haberi yalanlayan hükümet yetkililerine sorular

1. Ulaştırma Bakanı Abdulkadir Uraloğlu’nun 9 Eylül'de yaptığı ve sızıntıyı doğrulayan açıklamasıyla 16 Eylül'de yaptığı sızıntıyı yalanlayan açıklaması arasındaki çelişkinin sebebi nedir?
2. Uraloğlu’nun 9 Eylül’deki “sadece pandemi döneminde sızıntı oldu, güncel bir sızıntı yok” açıklamasına rağmen hem gazeteci Cengiz Anıl Bölükbaş'ın kendi haberinde ortaya koyduğu hem de benim 12 Eylül 2024 tarihli "21 milyon işçi ve işverenin tüm SGK hizmet bilgileri çalındı" başlıklı haberimde ortaya koyduğum, güncel sızıntıların da olduğunu gösteren bulgulara Uraloğlu nasıl bir açıklama getiriyor?
3. Kişisel verileri çalınan yurttaşlar olarak Uraloğlu'nun 9 Eylül'de yaptığı ve veri sızıntısını doğrulayan açıklamasını mı dikkate almalıyız yoksa 16 Eylül'de yaptığı ve sızıntıyı yalanlayan açıklamasını mı?
4. 9 Eylül'deki açıklamasını dikkate alacaksak yetkililer böylesine büyük bir sızıntı için Uraloğlu’nun “pandemi dönemindeki sızıntılar maalesef önlenemedi” açıklamasını yeterli buluyor mu? Bu açıklamanın gerekli özeleştiriyi ve sorumluluğu barındırdığını düşünüyor mu?
5. Yine 9 Eylül'deki açıklamasını dikkate alacaksak Free Web Turkey olarak bu veri sızıntısını ortaya çıkarmasak Ulaştırma Bakanlığı verilerin çalındığını açıklamayacak ve sorumlular hesap vermeyecek miydi?
6. Google'dan yardım istenmediyse şirkete iletilen 29 Temmuz, 3 Eylül ve 6 Eylül tarihli yazıları İletişim Başkanlığı nasıl açıklıyor?