Tr 
En 
Barış Altıntaş
Dolandırıcılar arıyor, hakkınızda her şeyi bilerek sizinle banka çalışanı gibi konuşuyor, Hindistan numaralarından WahtsApp’ınıza mesajlar geliyor, adınıza şirketler kuruluyor, ölüm sertifikanız çıkarılıyor… Kişisel bilgilerimiz sanal alemin derinliklerine nasıl yayıldı, tarihine bir bakalım
Türkiye vatandaşlarının hatta oturum izni olan yabancıların tüm hassas verileri yıllardır internette dolaşıyor. Devlet sunucularından çalınmış bu veriler, “panel” adı verilen veritabanı arayüzlerinde erişime açılıp, 18 yaş altı kişilerin elinde satılıyor, aylık ücretlerle kullanıma açılıyor. Bu yolla TC kimlik, ikamet adres, yaş ve telefon numarası gibi bilgilerimiz herkese açık olarak ortada. Kötü niyetli kişiler verilerimizi bize zarar vermek amaçlı kullanabiliyor. Bir Reddit kullanıcısının deneyimine göre adınıza ölü sertifikası çıkartmak bile mümkün:
Bir şeyleri değiştiremesek de, en azından bu iş nerede nasıl başlamış, buna bakabiliriz. Türkiye'deki veri sızıntılarının tarihine dair kapsamlı bir anlatım çin r/KGBT’de bir kullanıcı özetlemiş. İşte verilerimizin sanel alemin boşluğuna yayılmasının kilometretaşları:
İlk büyük sızıntı: 2009 EGM verisi
Türkiye’deki bilinen ilk büyük veri sızıntısı, 2009 yılında yaşandı. "EGM 2009 Data" olarak adlandırılan bu sızıntıda, 46.859.466 kişinin bilgileri ele geçirildi. Veriyi kimin çaldığı bilinmemekle birlikte, başlangıçta bir SQL dosyası olarak sızdırıldığı, daha sonra uygulama haline getirildiği ifade ediliyor.
2015 MERNİS Sızıntısı: 49 milyon kişi etkilendi
2015 yılında ise "MERNİS sızıntısı" adıyla anılan büyük bir sızıntı gerçekleşti. 49.661.709 kişinin kimlik bilgileri, dönemin cumhurbaşkanı ve başbakanının bilgileri de dahil olmak üzere sanal ortamda yayımlandı. Bu veriler ilk olarak bir "onion" sitesinde paylaşıldı ve zamanla bir yazılıma dönüştürüldü. 2020’de "TehLike" isimli bir kullanıcı bu yazılımı internette yayınladı.
GSM operatörlerine ait sızıntılar
2010’lu yılların sonlarına doğru GSM operatörlerine ait veri sızıntıları yaygınlaşmaya başladı:
- Avea Data (2021): 10 milyon kişinin T.C. kimlik numaraları ve GSM numaraları sızdırıldı. "Dark SQL" kullanıcı isimli bir kişi bu veriyi yayımladı.
- Türk Telekom Data (2021): 2.5 milyon kişinin bilgileri sızdırıldı. Verinin kaynağının 2011 yılına dayandığı, ancak 2021'de paylaşıldığı tahmin ediliyor.
Finans ve bankacılık verileri
2021 yılında TEB'e ait olduğu öne sürülen bir veri sızıntısı ortaya çıktı. Bu verilerde ad, soyad, T.C. kimlik numarası, adres ve telefon bilgileri yer alıyordu. "Russo" adlı bir kullanıcı tarafından yayımlanan veri seti, 8 bin satır içeriyordu.
2022 ve sonrası: dev veri sızıntıları
- 116 milyon GSM verisi: "TehLike" bu verinin bir kısmını yayımladı. Daha sonra "Hackerdede1" isimli bir kullanıcı, veriyi genişleterek yaydı.
- HSYS sızıntısı: Sağlık sistemine ait bilgiler sızdırıldı ve başlangıçta yüksek bir fiyatla satışa sunuldu. Daha sonra fiyatlar düştü ve veri kamuya açıldı.
- Yabancı uyruklu kişilere ait veriler: Türkiye’de yaşayan yabancıların kimlik ve iletişim bilgileri de sızdırıldı.
Veri sızıntılarının arka planı
Postta, veri sızıntılarının kaynağına dair çeşitli bilgiler de yer alıyor. Örneğin:
- E-Okul ve MEBBİS: Açıklar üzerinden vesika ve ehliyet bilgilerine ulaşıldığı belirtiliyor.
- E-Devlet Açıkları: Araç, şirket bilgileri ve devlete borçlar gibi veriler e-Devlet’teki açıklar sayesinde elde ediliyor.
Paneller ve veri ticareti
Verilerimizin paylaşıldığı ve satıldığı "paneller"ise , zamanla daha yaygın hale geldi. Ancak bu panellerin büyük kısmı hazır scriptler üzerinden oluşturuluyor ve güvenlik açıkları nedeniyle hackleniyor.
Bu verileri satanlara “panelci” deniyor. Bunlara ulaşmak içinse basit bir internet araması yapmak yeterli. Daha önce Freeweb’in de görüştüğü panelcilere göre yetkili kişilerin bilgisayarlarına erişim sağlayarak devlet kurumlarından elde edilen bilgilerle bu veri tabanı devamlı olarak güncelleniyor.
Peki veriler nasıl çalındı veya çalınıyor? Devam eden bir durum mu var, yoksa tek bir kerede mi çalınıyorlar) Bu sorunun detaylı ve teknik bir cevabı Siber Güvenlik Araştırmacısı Mert Sarıca’nın 2023 Haziran tarihli yazısında aktardığına göre e-devlet sistemi aslında doğrudan hack’lenmedi, ancak kişisel verilere erişim şu iki yolla sağlanıyor: 1) Halka açık verinin kötüye kullanımı: Üniversiteler, belediyeler ve Emniyet Genel Müdürlüğü (EGM) gibi devlet kurumlarının halka açık ve ücretsiz sunduğu bazı servisler kötü niyetli kişiler tarafından istismar edildi. 2) Yetkili kişilerin bilgisayar veya araçlarının hacklenmesi: Memurların veya yetkili kişilerin bilgisayarlarına siber saldırılar düzenlenerek, onların erişim hakları kullanılarak kişisel verilere ulaşıldı.
Devlet kurumları ne yapıyor?
Şimdiye kadar hiçbir devlet kurumu verilerin çalışnmış olmasına karşı atılabilecek adımlarla ilgili bir açıklama yapmadı. Hatta tam tersine, hassas verilerin sızdırılmasıyla ilgili haberleri inkar edip bunlara karşı yasal işlem başlatmakla tehdit ediyorlar.
Örneğin daha önce MLSA’nin FreeWebTurkey tarafından gündeme getirilen sorgu panelleriyle ilgili İçişleri Bakanlığı'na açılan dava, “idarenin kusuru olmadığı” gerekçesiyle reddedildi. (Ancak MLSA bu davayı AYM’ye taşıdı).
Panelleri engellemek elbette zor. Ancak her platformda kolayca bulunmaları, kapatılmaları konusunda da da devlet kurumlarının ciddiyetini sorgulatıyor.
Ekran resmi: YouTube’da basit bir "sorgu paneli" araması
Bu işi bilenlerin anlattıklarından anlaşıldığı kadarıyla artık veriler her yerde ve veriye erişimi olan devlet memurlarının bilgisayarlarına uzaktan erişimle hala sızıyor olabilirler. Peki biz ne yapabiliriz? Benim en sevdiğim yaklaşım, yine bir Reddit kullanıcısından geldi: bu tespite göre “sorun verileri değersizleştirerek çözülmüş”. Gerçekten de belki de en iyi çözüm, herkesin verilerimize sahip olduğunu artık kabullenip, rahatlamak belki de.
Bu yazıyla ilgili öneri, soru, eleştiri, şikayet ve her türlü katkınız için