Veri sızıntısında yeni detaylar: ‘85 değil, 101 milyon kişinin verisi çalındı’

Veri sızıntısında yeni detaylar: ‘85 değil, 101 milyon kişinin verisi çalındı’
  • ‘Devlet zaten API ile bu verileri ticari şirketlere veriyordu’
  • ‘Siteler kapansa da bir şey değişmez’
  • ‘E-Okul’daki açıkları onlarca kere CİMER’e şikayet ettik’
  • ‘Devlet kurumlarının siber güvenlik politikasını değiştirmesi gerekiyor’

İlk olarak Free Web Turkey’nin ortaya çıkardığı veri sızıntısı skandalında yeni detaylara ulaştık. Buna göre verinin çalındığı adresler arasında Halk Sağlık Yönetim Sistemi ile CHP Sandık Takip Sistemi (STS) de yer alıyor. CHP STS’den 2023 verilerinin çalındığı belirtiliyor. Panelciler, 2009 ve 2015 seçimlerinden de yurttaş verilerinin çalınıp sızdırıldığını kaydetti

BARIŞ ALTINTAŞ

İlk olarak Free Web Turkey olarak ortaya çıkardığımız veri sızıntısı skandalında yeni bilgiler elde ettim.

3 Haziran tarihinde yayına alınan “Sorgu Paneli” isimli site ile Telegram ve Discord kanallarında dolaşıma sokulan milyonlarca Türkiye Cumhuriyeti yurttaşının verilerinin dağıtıldığı bir ses kanalına ulaştım.

Free Web  Turkey’nin haberi üzerine 9 Haziran akşamı, Sorgu Paneli sitesi üzerinden verileri sızdıran E.Ö. isimli bir kullanıcının açtığı bir ses kanalında, yıllardır “panel”cilik yapan kişilerle konuştum. Bu kanal, aynı zamanda siber güvenlik açısından en riskli uygulamalardan birinde oluşturulmuş durumda. O akşam benden başka en az iki gazeteci ve bir siber güvenlik uzmanının da konuşmaları dinleyip not aldığını söyleyebilirim. Bu aralar bu konuşmalardan haberler gelmeye başladı bile.

Kendisini açıkça dox eden tek gazeteci olduğum için, E.Ö. dışında yıllardır bu işle uğraşan bazı kişiler sorularıma cevap vermeyi kabul ettiler. 

Panelciler, Türkiye Cumhuriyetine vatandaşlık bağı bulunmayan fakat yabancı kimlik numarası almış olanların verisinin de sızdırıldığını ve dolayısıyla 85 değil, 101 milyon kişinin verisinin dolaşıma sokulduğunu söyledi. Panelciler, sızdırılan GSM verisinin ise 116 milyon olduğunu kaydetti.

Yukarıda bağlantısını verdiğim Füsun Sarp Nebil’in haberinde de anlatıldığı gibi bu verilerin bulunduğu birçok panel olduğunu ve bu hafta ortaya çıkan panelin yeni bir veri sızıntısı olmadığını söyleyen bu kişiler, devletin verilere sahip çıkmamasının en büyük sorun olduğunu düşünüyor. Aynı kişiler, bu tür açıkların kapatılması için CİMER’e çok sayıda başvuru yaptıklarını da anlattı. 

Verdikleri bilgiye göre 3 Haziran’da açılan panelde paylaşılan veriler şu veri tabanlarından oluşuyor:

  • 2009 ve 2015 seçim verisi (TCKN, ad, soyad, nüfus il, nüfüs ilçe, adres verilerini içeriyor)
  • 2022 Halk Sağlık Yönetim Sistemi verisi (TCKN, ad, soyad, doğum tarihi, nüfus il, nüfus ilçe, anne adı, anne TCKN, baba adı, baba TCKN, uyruk verileri içeriyor. 101 milyon veri yer alıyor)
  • 116 milyon telefon numarası (TCKN, GSM verileri içeriyor.)
  • 2023 seçmen verisi (https://sts.chp.org.tr sitesinden çekildi) TC kimlik numarası ile oy vermiş olduğu sandık ve okul gibi veriler çekildi.

Konuştuğum panelciler, şu anda devletin açıkça veri sunduğu adresler olduğunun da altını çiziyorlar:

  • Adres ve aile no, cilt no, sıra no vs. kimlik bilgilerin çekildiği bir devlet sitesi. Bu adres İnternet Vergi Dairesi (https://intvrg.gib.gov.tr). Herhangi bir yönetici hesabı gerektirmiyor, normal bir yurttaş bile bu verilere erişebilir.
  • Bir hafta önceye kadar e-okul üzerinden normal bir yurttaş, dilediği kişinin e-okul vesikasını görebiliyordu. Şu an ise müdür kullanıcı hesabı ile kişinin vesika, okul numarası ve mezuniyet durumu-yılı ile ad ve soyadına erişilebiliyor. 
  • Bir ay öncesine kadar Ankara Valiliği üzerinden yurttaşların adres verileri çekilebiliyordu. Site bağlantısı: “https://ahsl.asm.gov.tr/webgiris/order.php” (Şu an ise giriş gerektiriyor).

Buna göre devlet bu şekilde devam ettikçe yapılabilecek hiçbir adım veri sızıntısını engellemeyecek. Aynı kişiler, ayrıca zaten sızmış olan bilgiler için yapılabilecek bir şey olmadığını söylüyor.

Veri sızıntısının engellenmesi içinse görev, devlete düşüyor. İşte “panelci”lerin tavsiyeleri:

  • Devlet, resmi siteleri şirketlere ihale usulü yaptırmayı bırakmalı.
  • Devlet sitelerinde GSM ile iki aşamalı doğrulamayı zorunlu yapmalı.
  • Devlet, siteleri için bir kurum kurmalı ve bu kurumda güvenlik için ayrı bir özel departman açmalı
  • Devlet, sitelerinde memurlar için sorgulama sınırı getirmeli ve bu sınırlamalar çeşitli açıklarla aşılmamalı
  • Devlet, şirketlere yurttaşlara verilerini verirken daha temkinli olmalı