Tr 
En 
Yetkililerin çalıntı veriler konusunda neden adım atmadığını polise ve “panel”lere karşı mücadele edenlere sorduk. Polisteki kaynağımız panellerin yurtdışındaki sunucularda tutulduğunu söylerken, siber hak savunucuları çoğunun Türkiye’de olduğunu ve ilgili birimlere bildirdiklerini söyledi
Barış Altıntaş - Sibel Yükler
Türkiye’de kişisel verilerimizin hem yurtiçi hem yurtdışı dolandırıcıların elinde olduğu herkesin bildiği bir gerçek. Bankacı kılığında arayanlar, yabancı ülkelerden WhatsApp’ten mesaj atanlar... Numara ve bilgilerimize sahip kişilerin dolandırıcılık girişimlerine veya tacizine uğramak artık olağan bir durum haline geldi.
Devlet kurumları şimdiye kadar bu sızıntıların nasıl gerçekleştiğine dair bir bilgi vermediği gibi, sızıntıların varlığını da reddediyor. Hatta Meclis'e sunulan "Siber Güvenlik" bir yasa teklifi kabul edilerek yasalaşırsa, artık veri sızıntılarından bahsedenler 2 ila 5 yıl hapis cezasıyla yargılanabilecek.
Ancak Telegram, Discord, Tik Tok gibi kamuya açık birçok online uygulamada “panel” adı verilen, herkesin TC kimlik numarası ve diğer verilerinin kolayca bulunduğu sistemler ve bu sistemleri işletenlerin verilerin satışını yapması ise engellenmiyor. Bu panelleri işletenlere cezai işlem uygulanmıyor. Vatandaşların kişisel verilerinin korunması ve bu panellerin engellenmesi konusunda daha etkin bir yaklaşımın neden benimsenmediği ise anlaşılmıyor.
Gelinen noktada verilerimizin ortalığa saçılması yurttaşlar için adeta mizah malzemesine dönüştü:
Bu konuya dikkat çekmeye çalışan en son örnek, 140journos’un 14 Ocak’ta yayınlanan “panel” belgeseli oldu. Bu belgesel hem tartışmalara yol açtı ama hem de cevaptan daha çok soru üretti. Belgesele göre, veriler ilk etapta sigorta şirketleri ve devlet kurumlarında çalışan kişilerin parola bilgilerinin oyun sunucularında paylaşılarak ilk etapta avukatlara satılmasıyla başladı. Bu bilgilerin erilerin sızdırılması kısmen doğruluyor. Ancak en önemlisi, yetkili makamlara başvurulduğunda konuya dair bir adım atılmamasına ilişkin deneyimleri doğruluyor.
Buna verilebilecek en önemli örneklerinden biri MLSA’nın açtığı dava. Geçen sene Freeweb tarafından gündeme getirilen sorgu panelleriyle ilgili olarak MLSA İçişleri Bakanlığı'na dava açtı ancak dava “idarenin kusuru olmadığı” gerekçesiyle reddedildi.
Sorgu panelleri nerede tutuluyor?
Verinin nasıl sızdırıldığa dair ipuçları ortaya net olmayan bir resim çıkarıyor. Ama e-Devlet ve diğer kamu sistemlerinden elde edilen kişisel verilerin yasa dışı olarak kullanımı ve satışını yapan sorgu panelleri konusunda adım atılmadığı bir gerçek.
Ayrıca bu konuyla ilgili Emniyet Genel Müdürlüğü'nden (EGM) bilgi aldığımız bir kaynak ve ve bağımsız siber güvenlik savunucuları arasında çelişkili açıklamalar var. EGM’deki kaynağımıza göre, “Bu tarz sistemlerin tamamının sunucuları yurt dışında ve yabancı şahısların üzerine kayıtlı.” Kaynağımız bu sitelere Türkiye içinde erişim engeli alındığını ancak VPN gibi yöntemlerle erişimin devam ettiğini ifade ediyor.
Kaynağımız, ayrıca istatistik tutma veya süreçlerin şeffaf bir şekilde raporlanması konusunda eksiklikler olduğunu kabul ediyor:
"Bu konuda devletin elinde net bir sayısal istatistik yok. Çünkü farklı birimler bu panelleri tespit ettiğinde ayrı ayrı savcılığa bildiriyor. En sağlıklı bilgi Erişim Sağlayıcıları Birliği’nde (ESB) bulunabilir ancak onlar da bu konuda istatistik tutmuyor."
Anti Query Panel: "Sunucuların çoğu Türkiye’de"
Donanım Arşivi’nde denk geldiğimiz ve aralık ayı itibarıyla çalışmalarını sollandırmış olsa da sorgu panellerine karşı çalışan bağımsız bir grup olan Anti Query Panel ise farklı bir tablo çiziyor. Grup, sorgu panellerinin çoğunlukla Türkiye merkezli olduğunu ve Türk firmalarının sunucularında barındırıldığını belirtiyor. Yaklaşık 40 sorgu panelini ihbar ederek kapattırdıkklarını söyleyen ekip, sorgu panellerinin hangi firmalarda barındığını da EGM’ye ilettiklerini ve geri bildirim almadıklarını söylüyor.
Yurttaşlara bir çağrı
Anti Query Panel, sorgu panelleriyle karşılaşan vatandaşların, kanıtlarıyla birlikte savcılığa suç duyurusunda bulunmaları gerektiğini belirtiyor. EGM ise erişim engellerine rağmen VPN kullanımıyla panellerin faaliyetlerini sürdürdüğüne dikkat çekiyor.
MERNİS veri satışına KYOK kararı
Başka bir örnek ise X üzerinde konuda deneyimini paylaşan Avukat Umut Zorer’den geldi. Zorer, 16 Ocak tarihli sosyal medya paylaşımında 140journos’un yayınladığı “panel” belgeselini izlediğini ve belgeselde ele alınan konuların tartışılmasını oldukça değerli bulduğunu belirtti. Zorer, belgeselin 30:28 dakikasında bahsedilen “bunu ilk kullanmaya başlayan avukatlar” iddiasına katıldığını ifade ederek, 2022 yılında yaşanan bir olay üzerinden kişisel verilerin nasıl yasadışı şekilde satıldığını detaylarıyla paylaştı.
“MERNİS 2022” adı altında veri ticareti
Zorer, 2022 yılında bir avukat arkadaşından aldığı bilgiyle, veri tacirlerinin birçok kişinin kimlik, GSM, eğitim, tapu bilgileri ve hatta kullanılan ilaçlara kadar uzanan kişisel verilerini satışa sunduğunu öğrendiğini belirtti. Zorer, bu bilgileri tespit edebilmek için veri tacirleriyle iletişime geçtiğini ve ödeme bilgilerini edindiğini söyledi. Şüphelilere ödeme yapılması için verilen IBAN’ın, Türk Elektronik Para A.Ş. adlı bir şirketin hesaplarına ait olduğunu tespit ettiğini aktardı.
Savcılığa yapılan ihbar ve sonuçsuz kalan soruşturma
Zorer, topladığı delillerle birlikte 21 Kasım 2022’de İstanbul Anadolu Cumhuriyet Başsavcılığı’na suç duyurusunda bulunduğunu belirtti. İhbar dilekçesine yazışmalar, IBAN ve kart bilgilerini eklediğini, hatta soruşturmada dikkat edilmesi gereken noktaları detaylı şekilde anlattığını ifade etti. Ancak savcılık, iki hafta içinde dosya hakkında “kovuşturmaya yer olmadığı” (KYOK) kararı verdi. Kararda, Zorer’in kişisel verilerini paylaşmadığı, verilerin hukuka aykırı şekilde ele geçirildiğine dair delil bulunmadığı ve bu verileri kullananların dolandırıcı olduklarına dair yeterli kanıt olmadığı gerekçeleri yer aldı.
“Veri ihlali hukuki yardım olarak değerlendirildi”
Savcılığın, kişisel verilerin satışını “hukuki yardım” olarak değerlendirmesi nedeniyle soruşturma yapılmadığını belirten Zorer, “Keşke soruşturulsaydı. Savcılarımız kişisel verinin ne olduğunu bilse, veri ihlallerinin kamusal sonuçlarını öngörebilseydi” dedi. Ayrıca, Türk Elektronik Para A.Ş.’ye ait hesaptan şüphelilerin kimliklerinin tespit edilmesi gerektiğine dikkat çekti.
