“50 milyon kullanıcı verisinin çalınmasından itibaren, kişisel veri tabanı oluşturulduğu ve çeşitli veri sızıntıları ile bu veritabanlarının sürekli güncellendiği (zenginleştirme adı veriliyor) kaydediliyor. Olmayanların eklendiği, olanların değişen telefon ya da adres bilgilerinin güncellendiği ya da yeni bilgilerin eklendiği kaydediliyor.”
Bugüne FreeWeb Turkey sitesinde yayınlanan bir veri sızıntısı haberi ile başladık. Türkiye’de ikamet eden herkesin tüm kişisel verilerinin bir internet sitesinde açıktan yayımlandığı haberi herkesi harekete geçirdi.
e-Mail hesabı ile kayıt olunan, “Sorgu Paneli” isimli bir sitede Türkiye’de yaşayan herkesin TC kimlik bilgisi, açık adresleri, telefon numaraları, banka hesap bilgileri ve adresi ücretsiz üyelik ile, tapu ve diğer özel bilgiler ücretli üyelik karşılığında bulunabiliyor. Türkiye’de yasal olarak ikamet eden ve Devlet sistemine kayıtlı yabancı uyruklu kişilerin de kişisel bilgileri sitede yer alıyor.
Konuyu 4 farklı kaynaktan araştırdık. Görüştüğümüz bir siber istihbarat firması, bu verilerin yayınlandığı sitenin yeni olmadığını 19 Aralık 2021’den bu yana yayında olduğunu ve benzer verileri sunan 4-5 adres daha olduğunu söyledi.
Bu firmanın bir yorumu da şu oldu;
“Bugün gördüğümüz sitedeki hizmetlerde eksik var. Darkweb’de aynı verileri satan bir çok servis var. Bazıları ehliyetteki fotoğrafını dahi getiriyor. Bu eksik”
Bu arada not edelim, satış yapanların, zaman zaman gazetecileri arayarak, bu verilerin satılması, pazarlanması konusunda yol aradıkları görülüyor.
Sonuçta “hackleme” olayı gayet ilgi çekici bir haber olabiliyor. Ancak bu haberler çift taraflı bıçak gibi. Bir yandan ilgi çekici haber olsa ve uyarı işlevi bulunsa da, diğer yandan bu verileri satın alabilecek gruplar için duyuru / pazarlama niteliği oluyor.
Bu veri tabanlarının müşterisi bir çok dikey sektörde olabiliyor. Daha önce yazdık, sigorta şirketleri özellikle kişisel sağlık verilerinin peşinde. Türk Tabipleri Birliği bu nedenle e-Nabız’a itiraz etmiş ve dava açmıştı.
Ama neler yapıldığını göstermek için uç bir örnek aktaralım; Umreye kadın grubu şeklinde bir hac seyahati pazarlamak için 35-55 yaş grubunda muhafazakar zengin kadın listesi satın alan bir olaydan da bahsediliyor. Sonuçta Google’a umre reklamı verse 100 kişide 2 kişi bulacakken, bu yolla 10 kişide 8-9 kişi bulabiliyor.
Özel firmaların verilerini hackleyenlerin önce firmaya gittiği biliniyor. Kamu kurumlarında bu olmuyor. Zaten verilerin bir kısmı hackleme değil, alınma (ya da sızdırma). Dolayısıyla kamu kurumlarından gelen veriler, bu gördüğünüz usulde panellerle satılıyor. Satanların verileri eline geçiren değil, panelleri hazırlayanlar ya da hazır panelleri alıp kullananlar.
Ya da sürücü kurslarından bahsediliyor. Bugünkü verilerin içinde bu tür kişisel veriler de var.
Araba, tapu verileri, banka, kredi kart verileri gibi son derece hassas veri olarak yorumlanıyor. Sonuçta doğum tarihleri benzeri kişisel verileri ele geçirenlerin, bunları şifre kombinasyonları şeklinde deneyecekleri çok açık.
Ama bu verilerin en büyük müşterisi tabii ki telefon dolandırıcıları. Buradaki verileri, karşısındakini “polis olduğuna” inandırmak için kullanıyorlar. Bu dönemde açıkça sunulan verilerden hareketle, bugünlerde telefon dolandırıcılıklarının tetiklenmesi çok muhtemel. O nedenle herkesi uyarın.
Daha önceki siber güvenlik yazılarımızda da hep belirttik; 50 milyon kullanıcı verisinin çalınmasından itibaren, veri tabanı oluşturulduğu ve çeşitli veri sızıntıları ile bu veritabanlarının sürekli güncellendiği (zenginleştirme adı veriliyor) kaydediliyor. Olmayanların eklendiği, olanların değişen telefon ya da adres bilgilerinin güncellendiği ya da yeni bilgilerin eklendiği kaydediliyor.
Bugün sunulan verinin de ağırlıklı olarak e-Nabız’dan geldiği yorumu yapılıyor. Yeni bir veri midir, siber istihbaratçılar henüz bakıyor, aynı etapta bir başka olay olduğunu da belirtelim. Dediğimiz gibi bir de ehliyet/trafik türü verilerden bahsediliyor. İkisi aynı olay mı, farklı mı, biz de yeni bir bilgi alınca yeniden haber yapacağız.
Bu arada şunu belirtelim. Bugünkü bahsedilen “Sorgu paneli” sitesindeki verilerin hackleyen ya da sızdıranlar olsa da, şu anda gördüğünüz siteleri sunanlar aynı kişiler değil. Bir siber güvenlik uzmanı bu arkadaşların görüşmelerini takip etti.
Kendisine şunları sorduk;
Yayın yaptıkları mecrada edindiğim izlenimlerden karşımızda bir hackerdan ziyade bilgisayar ile arası iyi olan genç çocuklar var. Ortada herhangi bir hackleme vs olayı da yok.
Ortada yeni bir hackleme olayı yok. Yıllardır devletin hizmetlerinden çalınan veriler derlenip toplanmış bir tane “panel sitesi” üzerinden yayına açılmış. Buna benzer yöntemler yıllardır yabancı sitelerde yapılıyordu ama biraz farklı yöntemler ile. Verileri çalan kişiler önden biraz örnek data paylaşıyordu, tüm veriye ulaşmak için para ile satın alabiliyordunuz. Bugün karşılaştığımız olayda ise tüm veriler herkese açık bir şekilde yayınlanmış, VIP hizmet diye sunduğu bazı özellikleri telegram üzerinden satıyor. Karşımızda bir hacker değil de bilgisayar bilen gençler var diyebiliriz.
Farklı zamanlarda kamu kurumları sitelerinden sızdırılan verileri toplayıp yayına açmışlar. Biraz güncel verileri kontrol ettiğimizde yeni verilere ulaşamıyoruz. Yayına gelen insanlar ile yaptığı sohbette tüm datayı 5 Bin Tl’ye verebileceğini söylüyor üstelik, ödeme için telegramdan iletişime geçip bilgi alabiliyoruz.
18 yaşından küçük olma ihtimali var arkadaşın, o yüzden adını tam olarak yazamıyoruz, kendisinin beyanına göre Almanya’da yaşadığını söylüyor.
Teknik konulara dair bazı soruları yapay zekaya soruyorlar, yayına katılan bazı kişiler de teknik konularda akıl vererek bu suça ortak oluyorlar. Yazılım bildiğini bilen birinden hemen destek isteyip 1-2 tane kod yazdırmaya çalışıyor.
Gün içinde 5-6 tane domain açıp kapattılar, en son açtıkları domainden tüm veriler başkaları tarafından çekilmeye çalışıldığı için siteyi yine kapattılar. O yüzden teknik olarak çok yetkin birisi değil. Yazılımcı değil de “kod operatörü” diyeceğimiz seviyede bir arkadaş ile karşı karşıyayız.
Kısa bir süre önce, Kişisel Verileri Koruma Kurulu’nun ilk 3 ayda yayınladığı ihlallere bakmıştık. Bunların içinde nedense hiç devlet kurumu yoktu. Halbuki burada da gördüğünüz gibi, zaman zaman devletten sızan bilgiler görülüyor.
Abdullah Gül’ün Cumhurbaşkanlığı sırasında yapılan bir Devlet Denetleme Kurulu (DDK) denetlemesinde, kişisel verilerin nasıl dikkatsizce 3. parti yazılım firmalarının yetkisiz çalışanları ile paylaşıldığına dair uyarılar vardı. Şu anda yeni bir denetleme yapan olmadığından, durum nedir, bilemiyoruz.
Diğer yandan bu veri sızıntılarını kaçıncı defa duyuyoruz ve siber istihbaratçıların belirttiği gibi DarkWeb’de bu konuda satış yapanlar var. Devlet bu konuya yine “o eski çalıntı” diyerek mi yaklaşacak ve halkı uyutacak?
Böylece bu hataları yapan ve/veya suçları işleyenler yine paçayı kurtaracak mı? Hatırlatalım, 50 milyon kullanıcı hesabını çalan ya da sızdıranlar değil, satmaya çalışan 2 kişi suçlandı ve tutuklandı. Ama olayın devamı yok. Bu sızdırmayı ya da çalmayı acaba kim/kimler yaptı?
Bu nedenle de, Medya ve Hukuk Derneği, bu listelerde ismi olan herkesi dava açmaya davet ediyor ve çok doğru yapıyorlar. Bunun sona ermesi için hukuk yolu kullanılmalı.
Biz de bu kişisel zarar konusunu ve diğerlerini Kişisel Verileri Koruma Kurulu’na sorduk, henüz cevap alamadık. Sorularımız şöyle:
Olayın duyulması ile birlikte, Medya ve Hukuk Derneği, Twitter’dan dava açılması gerektiğini yazdı.
Konuyu bir de kişisel veriler konusunda çalışan bir hukukçuya danışalım dedik.
Mehmet Ali Köksal şöyle cevapladı:
Bu veri sızıntıları için, öncelikle 6698 kapsamında 72 saat içinde ilgili kamu kurumu tarafından Kişisel Verileri Koruma Kuruluna ve ilgili kişilere bildirilmesi gerekir. Sızıntının boyutu ve kapsamına ilişkin söylenenler dikkate alındığında KVKK’nın da mutlaka sızıntı ile halka açık bir duyuru yapması gerekir.
Ayrıca sızıntı Türk idari hukuku açısından kamu hizmet kusurudur. Bu hizmet kusuru nedeniyle zarara uğrayan herhangi bir kişi olması durumunda, bu zararın sızıntıya sebebiyet veren kamu kurumu tarafından idari yargılama usulleri çerçevesinde gidierilmesi gerekir. Medeni bir ülkede bu boyutta bir sızıntı –artık kaçıncı oldu bilemiyorum–, sonrasında sorumlunun ve o kurumun başındaki kişinin istifa etmesini gerekir.
Son olarak, bugünkü kişisel verilerin sızması olayı ile ilgili olarak, “Ocak 2023’de Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü’nün (NVİGM) yazılım işlerini yapan firmanın değişmiş olmasını” dikkate getirmiş ve sormuştuk. Yazılım firmasını devir alan Global IT konusunda Turkcell’in gönderdiği açıklama şu şekilde:
E-Devlet veri sızıntısı hakkında açıklama 09.06.2023
Bugün e-devlet platformundaki veri sızıntısı iddialarıyla ilgili olarak kurumumuzun adının geçtiği bazı yorumlar gündeme gelmiştir.
Yazı ve yorumlarda bahsi geçen şirketin Turkcell ile ilgisi bulunmamaktadır.
Konuyla ilgili bilginizi ve düzeltmenizi rica ederiz.
Turkcell Kurumsal İletişim
Kaynak: https://turk-internet.com/bugun-haber-olan-kisisel-veriler-telefon-dolandiriciliklarini-yeniden-tetikler-mi/
MHP lideri Bahçeli’nin Öcalan açılımıyla başlayan gelişme ve tartışmaların hem MHP hem de CHP’de oy…
President Tayyip Erdoğan welcomed Donald Trump's return to the US presidency. During Trump's previous tenure,…
Türkiye’yi hedef alan iki vekil gücün liderlerine ilişkin Ekim ayında, ardı ardına önemli gelişmeler yaşandı.…
Cumhurbaşkanı Tayyip Erdoğan, Donald Trump’ın yeniden ABD Başkanı seçilmesine memnun oldu. Bir sorun çıktığında doğrudan…
Ankara Cumhuriyet Başsavcılığının 13 Kasım’da Ankara Büyükşehir Belediyesine usulsüz harcama soruşturma başlatmasından saatler sonra İstanbul…
Türkiye’de ana siyasi gelişmelerin birçoğunda belirleyici olan Milliyetçi Hareket Partisi (MHP) genel başkanı Devlet Bahçeli;…