Basitçe anlatıyorum: 108 milyonluk veri hırsızlığı haberinin daha önceki veri hırsızlığı haberlerinden farkı ne?

Basitçe anlatıyorum: 108 milyonluk veri hırsızlığı haberinin daha önceki veri hırsızlığı haberlerinden farkı ne?
ALİ SAFA KORKUT

Resmi kurumlarda kaydı olan 108 milyon yurttaşın tüm kişisel verilerinin çalındı. Bu verileri korumakla yükümlü olan Bilgi Teknolojileri ve İletişim Kurumu (BTK) ise verileri koruyamadığını kabul ederek Google’dan yardım istedi.

9 Eylül’de freewebturkey.com’da haberleştirmemizin ardından bu veri hırsızlığı olayı ulusal gazete ve televizyon kanallarında geniş yer buldu, Ulaştırma Bakanı Adil Karaismalioğlu’nun yanıtlaması istemiyle Türkiye Büyük Millet Meclisi (TBMM) Başkanlığına soru önergesi dahi verildi.

Haberin kamuoyunda yapması gereken etkiyi yapmış olması ve yurttaşları harekete geçirmesi mutluluk verici. Ancak konuyla ilgili olarak bazı doğru zannedilen yanlışlar ve haklı olarak merak edilen bazı sorular var. 

Bunun yanı sıra teknolojiyle pek haşır neşir olmayanlar da çalınan verilerin boyutunu henüz idrak edebilmiş değil.

Bu yazıda da hem bu doğru zannedilen yanlışları ortaya çıkarmak hem de o sorulara yanıt vermek istiyorum. Bununla birlikte teknolojiyle yakın bir ilişki içinde olmayanlara da hırsızlığın boyutunu anlatmaya çalışacağım..

“Demek ki ülkede 28 milyon mülteci var”

Gerek haberi duyurduğumuz tweetin alıntılarında gerekse de tweetin altında en çok karşılaştığım yorum “Demek ki ülkede 28 milyon mülteci var” oldu.

Uzun bir süre “80 milyon nüfuslu ülkede…” diye başlayan klişe cümlelere tanıklık ettiğimiz için ülkenin nüfusunun 80 milyonda kaldığı sanılıyor. Dolayısıyla da kişisel verisi çalınan 108 milyondan 80 milyon sayısı düşülerek elde edilen 28 milyon da “mülteci” sayısı olarak yorumlanıyor.

Burada üç yanlış var.

Birincisi, Türkiye İstatistik Kurumunun 9 Temmuz (2024) Dünya Nüfus Günü’nde açıkladığı verilere göre Türkiye’nin güncel nüfusu 85 milyon 372 bin 377.

İkincisi, 108 milyon sayısının içinde vefat etmiş yurttaşların verileri de var.

Üçüncüsü, 108 milyonun içinde sadece Türkiye Cumhuriyeti vatandaşları değil, ülkeye yasal olarak giriş yapmış, turistik veya iş gezisi ya da tatil yapmak amacıyla gelen yabancıların da verileri var. Bunun yanı sıra kayıtlı göçmenler de yine bu 108 milyon sayısının içinde yer alıyor.

Haberde “Herhangi bir resmi makamda kaydı bulunan” ve “yurttaş” ifadelerini kullanmamın sebebi buydu.

“Bu haberin daha önceki veri sızıntısı haberlerinden farkı ne?”

Birçok kullanıcı da “Yeni bir olay değil, zaten çalınmıştı ve internette satılıyordu” yorumunu yaparak bu haberin daha önceki “Kişisel verilerimiz 100 lira karşılığında satılıyor” başlıklı haberlerden farkı olmadığını belirtti.

Ancak bu tespiti yaparken üç nokta atlandı.

Birincisi, söz konusu haberlerde verilerimizin 100-200 lira gibi fiyatlar karşılığında “panel” diye adlandırılan çeşitli internet sitelerinde satıldığı anlatılıyordu. Direkt olarak verinin kendisine ulaşılamamıştı. 

İkincisi, dolayısıyla da o panellerde kaç milyon kişinin verisinin olduğu, hangi tür verinin yer aldığı ve herkesin tüm kişisel verilerinin olup olmadığı belirtilmiyordu çünkü bu bilin(e)miyordu.

Bizim haberimiz ise bu panellerin varlığı üzerinden değil, direkt olarak verinin kendisi üzerinden görüldü. Zira direkt olarak verinin kendisine ulaşabildim. Dolayısıyla da haberimizde kaç milyon kişinin verisinin yer aldığı ve bunların hangi tür veriler olduğu net bir şekilde belirtiliyor.

Üçüncüsü ve belkide en önemlisi ise 108 milyon yurttaşın verilerinin çalındığını Bilgi Teknolojileri ve İletişim Kurumunun (BTK) da teyit etmiş olması. Daha önceki haberlerde diğer iki madde belirttiklerimin yanı sıra verileri korumakla yükümlü olan kurumun onları koruyamadığını kabul ettiğine dair bir bilgi/belge de yoktu. Ancak bunun, o haberleri yapan gazeteci arkadaşlarımın emeğini değersiz kılmadığını da belirtmek istiyorum. 

“42 GB büyük bir veri değil”

Haber hakkındaki hatalı çıkarımlardan biri de çalınan verilerin yer aldığı dosyaların toplam boyutu üzerinden yapıldı. 

Söz konusu haberde dosyaların toplam boyutunun 42,18 gigabayt (GB) olduğunu belirtmiştim. 

Gazeteci Fatih Altaylı, haber yayımlandıktan bir gün sonra, 10 Eylül Salı günü yayımladığı “Fatih Altaylı yorumluyor: Millet olmak ya da güruh olmak” başlıklı videosunda veri hırsızlığını anlattığımız haberi de yorumladı.

Altaylı’nın haberi yorumlaması, durumun vahametinin anlaşılması ve gerekli kamuoyunun oluşması adına çok çok kıymetli bir adım. Bunun için bir yurttaş olarak kendisine teşekkür ederim.

Ancak videonun bir bölümünde Altaylı, 42 GB’nin büyük bir veri olup olmadığını anlayabilmek adına onu kendi cep telefonunun kapasitesiyle kıyaslıyor ve “128 GB’lık bir telefonla kıyaslayınca o kadar da çok değil demek ki” diyor.

Ancak Altaylı’nın bu çıkarımı yaparken atladığı çok önemli bir nokta var.

Zira içerisinde kişisel verilerimizin yer aldığı ve toplam boyutu 42,18 GB olan bu dosyaların tamamı sadece metinlerden oluşuyor. Fotoğraf, resim, çizim, grafik, animasyon, ses ve/veya video gibi multimedya dosyalardan değil. 

Bilgisayar, cep telefonu, tablet ve/veya oyun konsolu gibi cihazların hafızasının dolmasına neden olan asıl veriler bu tür multimedya dosyalarıdır, metin dosyaları değil.

Oysa bu çalınan veriler sadece ve sadece metin dosyalarından oluşuyor. 

96 sayfalık Word dosyası sadece 46 kilobayta denk geliyor

Sadece metin dosyalarıyla 42,18 GB’yi bulmanın ne kadar zor, dolayısıyla da çalınan verilerin boyutunun ne denli büyük olduğunun anlaşılması için bir örnek vereceğim.

Temmuz ayında Free Web Turkey 2023 İnternet Sansürü Raporu’nu yayımladık. Sadece metinden oluşan 96 sayfalık bu raporun yer aldığı Word dosyasının toplam boyutu yalnızca 46 kilobayt (KB) idi. Bir megabayt (MB) dahi değil.

Bir gigabayt bin 24 megabayta, bir megabayt da bin 24 kilobayta tekabül ediyor.

Yani 42 gigabayt, toplamda 44 milyon 32 bin kilobayta denk geliyor.

44 milyon 32 bin kilobaytı 46 kilobayta böldüğümüzde ise 957 bin 395 sayısına ulaşıyoruz.

Bu da demek oluyor ki çalınan veri, tam 957 bin 395 adet Free Web Turkey raporuna denk geliyor.