Bugüne FreeWeb Turkey sitesinde yayınlanan bir veri sızıntısı haberi ile başladık. Türkiye’de ikamet eden herkesin tüm kişisel verilerinin bir internet sitesinde açıktan yayımlandığı haberi herkesi harekete geçirdi.
e-Mail hesabı ile kayıt olunan, “Sorgu Paneli” isimli bir sitede Türkiye’de yaşayan herkesin TC kimlik bilgisi, açık adresleri, telefon numaraları, banka hesap bilgileri ve adresi ücretsiz üyelik ile, tapu ve diğer özel bilgiler ücretli üyelik karşılığında bulunabiliyor. Türkiye’de yasal olarak ikamet eden ve Devlet sistemine kayıtlı yabancı uyruklu kişilerin de kişisel bilgileri sitede yer alıyor.
4-5 farklı adreste benzer paneller var
Konuyu 4 farklı kaynaktan araştırdık. Görüştüğümüz bir siber istihbarat firması, bu verilerin yayınlandığı sitenin yeni olmadığını 19 Aralık 2021’den bu yana yayında olduğunu ve benzer verileri sunan 4-5 adres daha olduğunu söyledi.
Bu firmanın bir yorumu da şu oldu;
“Bugün gördüğümüz sitedeki hizmetlerde eksik var. Darkweb’de aynı verileri satan bir çok servis var. Bazıları ehliyetteki fotoğrafını dahi getiriyor. Bu eksik”
Reklam için bu haberleri kendileri veriyor
Bu arada not edelim, satış yapanların, zaman zaman gazetecileri arayarak, bu verilerin satılması, pazarlanması konusunda yol aradıkları görülüyor.
Sonuçta “hackleme” olayı gayet ilgi çekici bir haber olabiliyor. Ancak bu haberler çift taraflı bıçak gibi. Bir yandan ilgi çekici haber olsa ve uyarı işlevi bulunsa da, diğer yandan bu verileri satın alabilecek gruplar için duyuru / pazarlama niteliği oluyor.
Müşterisi kim?
Bu veri tabanlarının müşterisi bir çok dikey sektörde olabiliyor. Daha önce yazdık, sigorta şirketleri özellikle kişisel sağlık verilerinin peşinde. Türk Tabipleri Birliği bu nedenle e-Nabız’a itiraz etmiş ve dava açmıştı.
Ama neler yapıldığını göstermek için uç bir örnek aktaralım; Umreye kadın grubu şeklinde bir hac seyahati pazarlamak için 35-55 yaş grubunda muhafazakar zengin kadın listesi satın alan bir olaydan da bahsediliyor. Sonuçta Google’a umre reklamı verse 100 kişide 2 kişi bulacakken, bu yolla 10 kişide 8-9 kişi bulabiliyor.
Özel firmaların verilerini hackleyenlerin önce firmaya gittiği biliniyor. Kamu kurumlarında bu olmuyor. Zaten verilerin bir kısmı hackleme değil, alınma (ya da sızdırma). Dolayısıyla kamu kurumlarından gelen veriler, bu gördüğünüz usulde panellerle satılıyor. Satanların verileri eline geçiren değil, panelleri hazırlayanlar ya da hazır panelleri alıp kullananlar.
Ya da sürücü kurslarından bahsediliyor. Bugünkü verilerin içinde bu tür kişisel veriler de var.
Araba, tapu verileri, banka, kredi kart verileri gibi son derece hassas veri olarak yorumlanıyor. Sonuçta doğum tarihleri benzeri kişisel verileri ele geçirenlerin, bunları şifre kombinasyonları şeklinde deneyecekleri çok açık.
Ama bu verilerin en büyük müşterisi tabii ki telefon dolandırıcıları. Buradaki verileri, karşısındakini “polis olduğuna” inandırmak için kullanıyorlar. Bu dönemde açıkça sunulan verilerden hareketle, bugünlerde telefon dolandırıcılıklarının tetiklenmesi çok muhtemel. O nedenle herkesi uyarın.
Veri tabanı neye benziyor?
Daha önceki siber güvenlik yazılarımızda da hep belirttik; 50 milyon kullanıcı verisinin çalınmasından itibaren, veri tabanı oluşturulduğu ve çeşitli veri sızıntıları ile bu veritabanlarının sürekli güncellendiği (zenginleştirme adı veriliyor) kaydediliyor. Olmayanların eklendiği, olanların değişen telefon ya da adres bilgilerinin güncellendiği ya da yeni bilgilerin eklendiği kaydediliyor.
Bugün sunulan verinin de ağırlıklı olarak e-Nabız’dan geldiği yorumu yapılıyor. Yeni bir veri midir, siber istihbaratçılar henüz bakıyor, aynı etapta bir başka olay olduğunu da belirtelim. Dediğimiz gibi bir de ehliyet/trafik türü verilerden bahsediliyor. İkisi aynı olay mı, farklı mı, biz de yeni bir bilgi alınca yeniden haber yapacağız.
Satış yapanlar kim?
Bu arada şunu belirtelim. Bugünkü bahsedilen “Sorgu paneli” sitesindeki verilerin hackleyen ya da sızdıranlar olsa da, şu anda gördüğünüz siteleri sunanlar aynı kişiler değil. Bir siber güvenlik uzmanı bu arkadaşların görüşmelerini takip etti.
Kendisine şunları sorduk;
- Siz bu olayı yarattığını söyleyen insanlarla karşılaştınız. Bunlar kim? Önemli hackerlar mıdır?
Yayın yaptıkları mecrada edindiğim izlenimlerden karşımızda bir hackerdan ziyade bilgisayar ile arası iyi olan genç çocuklar var. Ortada herhangi bir hackleme vs olayı da yok.
- Bunlar hackleyen kişiler mi, ya da veri sızdıranlar mı, ya da sadece satanlar mıdır?
Ortada yeni bir hackleme olayı yok. Yıllardır devletin hizmetlerinden çalınan veriler derlenip toplanmış bir tane “panel sitesi” üzerinden yayına açılmış. Buna benzer yöntemler yıllardır yabancı sitelerde yapılıyordu ama biraz farklı yöntemler ile. Verileri çalan kişiler önden biraz örnek data paylaşıyordu, tüm veriye ulaşmak için para ile satın alabiliyordunuz. Bugün karşılaştığımız olayda ise tüm veriler herkese açık bir şekilde yayınlanmış, VIP hizmet diye sunduğu bazı özellikleri telegram üzerinden satıyor. Karşımızda bir hacker değil de bilgisayar bilen gençler var diyebiliriz.
- Bu veriler nerden geliyor gibi gözüküyor (devletten mi)?
Farklı zamanlarda kamu kurumları sitelerinden sızdırılan verileri toplayıp yayına açmışlar. Biraz güncel verileri kontrol ettiğimizde yeni verilere ulaşamıyoruz. Yayına gelen insanlar ile yaptığı sohbette tüm datayı 5 Bin Tl’ye verebileceğini söylüyor üstelik, ödeme için telegramdan iletişime geçip bilgi alabiliyoruz.
18 yaşından küçük olma ihtimali var arkadaşın, o yüzden adını tam olarak yazamıyoruz, kendisinin beyanına göre Almanya’da yaşadığını söylüyor.
Teknik konulara dair bazı soruları yapay zekaya soruyorlar, yayına katılan bazı kişiler de teknik konularda akıl vererek bu suça ortak oluyorlar. Yazılım bildiğini bilen birinden hemen destek isteyip 1-2 tane kod yazdırmaya çalışıyor.
Gün içinde 5-6 tane domain açıp kapattılar, en son açtıkları domainden tüm veriler başkaları tarafından çekilmeye çalışıldığı için siteyi yine kapattılar. O yüzden teknik olarak çok yetkin birisi değil. Yazılımcı değil de “kod operatörü” diyeceğimiz seviyede bir arkadaş ile karşı karşıyayız.
Kişisel Verileri Koruma Kurulu neden var?
Kısa bir süre önce, Kişisel Verileri Koruma Kurulu’nun ilk 3 ayda yayınladığı ihlallere bakmıştık. Bunların içinde nedense hiç devlet kurumu yoktu. Halbuki burada da gördüğünüz gibi, zaman zaman devletten sızan bilgiler görülüyor.
Abdullah Gül’ün Cumhurbaşkanlığı sırasında yapılan bir Devlet Denetleme Kurulu (DDK) denetlemesinde, kişisel verilerin nasıl dikkatsizce 3. parti yazılım firmalarının yetkisiz çalışanları ile paylaşıldığına dair uyarılar vardı. Şu anda yeni bir denetleme yapan olmadığından, durum nedir, bilemiyoruz.
Diğer yandan bu veri sızıntılarını kaçıncı defa duyuyoruz ve siber istihbaratçıların belirttiği gibi DarkWeb’de bu konuda satış yapanlar var. Devlet bu konuya yine “o eski çalıntı” diyerek mi yaklaşacak ve halkı uyutacak?
Böylece bu hataları yapan ve/veya suçları işleyenler yine paçayı kurtaracak mı? Hatırlatalım, 50 milyon kullanıcı hesabını çalan ya da sızdıranlar değil, satmaya çalışan 2 kişi suçlandı ve tutuklandı. Ama olayın devamı yok. Bu sızdırmayı ya da çalmayı acaba kim/kimler yaptı?
Bu nedenle de, Medya ve Hukuk Derneği, bu listelerde ismi olan herkesi dava açmaya davet ediyor ve çok doğru yapıyorlar. Bunun sona ermesi için hukuk yolu kullanılmalı.
Biz de bu kişisel zarar konusunu ve diğerlerini Kişisel Verileri Koruma Kurulu’na sorduk, henüz cevap alamadık. Sorularımız şöyle:
- Ortada hackerların çeşitli devlet kurumlarından sızdırdığı (ki siber güvenlikçiler sonuncusunu e-nabız olarak yorumladı) ve bu bilgilerle güncellediği bir veri tabanı olduğu görülüyor. KVKK olarak siz bu verilerin nasıl sızdığı konusunda bir inceleme başlattınız mı?
- 6698 kapsamında, bu verilerin sızdığı kamu servislerinin raporlanması lazım. İlgili kamu kurumu bu konuda bir raporlama yaptı mı?
- Verileri sızan kamu kurumları eğer raporlama yapıyorsa, siz özel sektör firmalarında olduğu gibi –halkın kendi önlemlerini alması açısından– aynı şekilde ihlal sayfanızda bu sızıntıları yayınlayacak mısınız?
- Bu verilerin sızması ile ilgili olarak halka açık bir uyarı yayınlayacak mısınız?
- Sızmış bu verilerin engellenmesi (sadece Turkiye değil, dünya çapında) herhangi bir çalışmanız olacak mı?
- Bağımsız bir kurum olarak, bu verilerin sızması nedeniyle zarara uğrayacak olan bireylerin zararının tazmini için bir çalışmanız olacak mı?
Kamu kurumundan sızıntı kamu hizmet kusurudur
Olayın duyulması ile birlikte, Medya ve Hukuk Derneği, Twitter’dan dava açılması gerektiğini yazdı.
https://twitter.com/mlsaturkey/status/1667167230830813186
Konuyu bir de kişisel veriler konusunda çalışan bir hukukçuya danışalım dedik.
Mehmet Ali Köksal şöyle cevapladı:
Bu veri sızıntıları için, öncelikle 6698 kapsamında 72 saat içinde ilgili kamu kurumu tarafından Kişisel Verileri Koruma Kuruluna ve ilgili kişilere bildirilmesi gerekir. Sızıntının boyutu ve kapsamına ilişkin söylenenler dikkate alındığında KVKK’nın da mutlaka sızıntı ile halka açık bir duyuru yapması gerekir.
Ayrıca sızıntı Türk idari hukuku açısından kamu hizmet kusurudur. Bu hizmet kusuru nedeniyle zarara uğrayan herhangi bir kişi olması durumunda, bu zararın sızıntıya sebebiyet veren kamu kurumu tarafından idari yargılama usulleri çerçevesinde gidierilmesi gerekir. Medeni bir ülkede bu boyutta bir sızıntı –artık kaçıncı oldu bilemiyorum–, sonrasında sorumlunun ve o kurumun başındaki kişinin istifa etmesini gerekir.
Turkcell’den açıklama: “Global IT ile ilişkimiz yok”
Son olarak, bugünkü kişisel verilerin sızması olayı ile ilgili olarak, “Ocak 2023’de Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü’nün (NVİGM) yazılım işlerini yapan firmanın değişmiş olmasını” dikkate getirmiş ve sormuştuk. Yazılım firmasını devir alan Global IT konusunda Turkcell’in gönderdiği açıklama şu şekilde:
E-Devlet veri sızıntısı hakkında açıklama 09.06.2023
Bugün e-devlet platformundaki veri sızıntısı iddialarıyla ilgili olarak kurumumuzun adının geçtiği bazı yorumlar gündeme gelmiştir.
Yazı ve yorumlarda bahsi geçen şirketin Turkcell ile ilgisi bulunmamaktadır.
Konuyla ilgili bilginizi ve düzeltmenizi rica ederiz.
Turkcell Kurumsal İletişim
Kaynak: https://turk-internet.com/bugun-haber-olan-kisisel-veriler-telefon-dolandiriciliklarini-yeniden-tetikler-mi/