BİLİŞİM İNTERNET * 108 milyon kişinin kişisel verileri çalındı, BTK Google’dan yardım istedi

Türkiye’de resmi kurumlarda kaydı olan 108 milyon kişinin tüm kişisel verileri çalındı. Verileri korumakla yükümlü olan Bilgi Teknolojileri ve İletişim Kurumu (BTK) ilgili verilerin silinmesi ve sorumluların yakalanması için Google’dan yardım istedi.

108 milyon kişinin kişisel verileri çalındı, BTK Google’dan yardım istedi

Yazar: YetkinReport / 10 Eylül 2024

Türkiye’de resmi kurumlarda kaydı olan 108 milyon kişinin tüm kişisel verilerinin çalınmasının ardından verileri korumakla yükümlü olan Bilgi Teknolojileri ve İletişim Kurumu (BTK) ilgili verilerin silinmesi ve sorumluların yakalanması için Google’dan yardım istedi.
Free Web Turkey’den Ali Safa Korkut’un haberine göre TC vatandaşı olup olmadığı fark etmeksizin Türkiyede herhangi bir resmi kurumda kaydı olan 108 milyon kişinin ad, soyad, tc kimlik numarası, nüfus bilgileri, ikamet adresi ve cep telefonu numarasından oluşan kişisel verileri çalındı.
2023 yılında ortaya çıkan sızıntının ardından verilerin güvenliğini sağlayamadığını belirten Ulusal Siber Olaylara Müdahale Merkezi (USOM) Google ile iletişime geçti ve yardım talep etti.
108 milyon kişinin kişisel verileri çalındı
BTK bünyesinde faaliyet gösteren USOM, Google’a gönderdiği 29 Temmuz ve 3 Eylül tarihli iki ayrı yazıda “kritik öneme sahip olduğu iddia edilen bazı verilerin sisteminize başarıyla yüklendiğini önemle dikkatinize sunarız” ifadesiyle Google’a ilgili Drive dosyalarının bağlantılarını iletti ve “acil” koduyla “derhal” kaldırılmalarını istedi.
Çalınan bilgiler arasında 108 milyon kişinin TC kimlik numarası, 82 milyon kişinin ikamet adresi, 134 milyon kişinin GSM numarası yer alıyor. Dosyalarda kimlikte yer alan aile sıra numarası, birey sıra numarası, doğum tarihi, doğum yeri, nüfusa kayıtlı oldukları il ilçe köy, medeni durum gibi bilgiler de bulunuyor.
Google dosyasında topladı
Korkut’un haberine göre korsanlar elde ettikleri verileri “Yenilenmiş TC”, “Adres”, “GSM”, “101m” ve “GSM” (ikinci bir dosya) isimli beş farklı Google Drive dosyasında topladı. Tüm yurttaşların verilerinin yer aldığı beş dosyanın toplam boyutu 42,18 GB.
Verilerin çalındığını fark eden USOM, 29 Temmuz ve 3 Eylül tarihli iki ayrı yazıyla Google ile iletişime geçti ve yardım talep etti. BTK bünyesinde faaliyet gösteren USOM, Google’a ilgili Drive dosyalarının bağlantılarını iletti ve kaldırılmalarını istedi.
Google’dan işbirliği yapmasını “rica eden” USOM, aynı zamanda ilgili dosyaları Drive’a yükleyen kişi veya kişilerin kullanıcı hesap kimlikleri, IP adresleri ve port numaralarını da istedi.
MLSA suç duyurusunda bulunmuştu
“Free Web Turkey, kişisel verilerin çalındığını 2023 yılında da ortaya çıkarmış ve bunun üzerine İçişleri Bakanlığına dava açmıştı. Açılan davanın reddedilmesi üzerine konuyu Anayasa Mahkemesi’ne taşıyan MLSA Hukuk Birimi, verileri korumakta ihmal gösteren idarenin özel hayatın gizliliğini, ifade özgürlüğünü ve adil yargılanma hakkını ihlal ettiğini savundu. MLSA’ya göre kişisel verilerin açıkça yayınlanması bilgileri açıklanan milyonlarca kişi için büyük bir tehdit oluşturuyor.”
Kişisel Veriler
“50 milyon kullanıcı verisinin çalınmasından itibaren, kişisel veri tabanı oluşturulduğu ve çeşitli veri sızıntıları ile bu veritabanlarının sürekli güncellendiği (zenginleştirme adı veriliyor) kaydediliyor. Olmayanların eklendiği, olanların değişen telefon ya da adres bilgilerinin güncellendiği ya da yeni bilgilerin eklendiği kaydediliyor.”

Çalınan kişisel veriler:
5 adreste benzer paneller var

Füsun Sarp Nebil / 10 Haziran 2023

Bugüne FreeWeb Turkey sitesinde yayınlanan bir veri sızıntısı haberi ile başladık. Türkiye’de ikamet eden herkesin tüm kişisel verilerinin bir internet sitesinde açıktan yayımlandığı haberi herkesi harekete geçirdi.
e-Mail hesabı ile kayıt olunan, “Sorgu Paneli” isimli bir sitede Türkiye’de yaşayan herkesin TC kimlik bilgisi, açık adresleri, telefon numaraları, banka hesap bilgileri ve adresi ücretsiz üyelik ile, tapu ve diğer özel bilgiler ücretli üyelik karşılığında bulunabiliyor. Türkiye’de yasal olarak ikamet eden ve Devlet sistemine kayıtlı yabancı uyruklu kişilerin de kişisel bilgileri sitede yer alıyor.
4-5 farklı adreste benzer paneller var
Konuyu 4 farklı kaynaktan araştırdık. Görüştüğümüz bir siber istihbarat firması, bu verilerin yayınlandığı sitenin yeni olmadığını 19 Aralık 2021’den bu yana yayında olduğunu ve benzer verileri sunan 4-5 adres daha olduğunu söyledi.
Bu firmanın bir yorumu da şu oldu;
“Bugün gördüğümüz sitedeki hizmetlerde eksik var. Darkweb’de aynı verileri satan bir çok servis var. Bazıları ehliyetteki fotoğrafını dahi getiriyor. Bu eksik”
Reklam için bu haberleri kendileri veriyor
Bu arada not edelim, satış yapanların, zaman zaman gazetecileri arayarak, bu verilerin satılması, pazarlanması konusunda yol aradıkları görülüyor.
Sonuçta “hackleme” olayı gayet ilgi çekici bir haber olabiliyor. Ancak bu haberler çift taraflı bıçak gibi. Bir yandan ilgi çekici haber olsa ve uyarı işlevi bulunsa da, diğer yandan bu verileri satın alabilecek gruplar için duyuru / pazarlama niteliği oluyor.
Müşterisi kim?
Bu veri tabanlarının müşterisi bir çok dikey sektörde olabiliyor. Daha önce yazdık, sigorta şirketleri özellikle kişisel sağlık verilerinin peşinde. Türk Tabipleri Birliği bu nedenle e-Nabız’a itiraz etmiş ve dava açmıştı.
Ama neler yapıldığını göstermek için uç bir örnek aktaralım; Umreye kadın grubu şeklinde bir hac seyahati pazarlamak için 35-55 yaş grubunda muhafazakar zengin kadın listesi satın alan bir olaydan da bahsediliyor. Sonuçta Google’a umre reklamı verse 100 kişide 2 kişi bulacakken, bu yolla 10 kişide 8-9 kişi bulabiliyor.
Özel firmaların verilerini hackleyenlerin önce firmaya gittiği biliniyor. Kamu kurumlarında bu olmuyor. Zaten verilerin bir kısmı hackleme değil, alınma (ya da sızdırma). Dolayısıyla kamu kurumlarından gelen veriler, bu gördüğünüz usulde panellerle satılıyor. Satanların verileri eline geçiren değil, panelleri hazırlayanlar ya da hazır panelleri alıp kullananlar.
Ya da sürücü kurslarından bahsediliyor. Bugünkü verilerin içinde bu tür kişisel veriler de var.
Araba, tapu verileri, banka, kredi kart verileri gibi son derece hassas veri olarak yorumlanıyor. Sonuçta doğum tarihleri benzeri kişisel verileri ele geçirenlerin, bunları şifre kombinasyonları şeklinde deneyecekleri çok açık.
Ama bu verilerin en büyük müşterisi tabii ki telefon dolandırıcıları. Buradaki verileri, karşısındakini “polis olduğuna” inandırmak için kullanıyorlar. Bu dönemde açıkça sunulan verilerden hareketle, bugünlerde telefon dolandırıcılıklarının tetiklenmesi çok muhtemel. O nedenle herkesi uyarın.
Veri tabanı neye benziyor?
Daha önceki siber güvenlik yazılarımızda da hep belirttik; 50 milyon kullanıcı verisinin çalınmasından itibaren, veri tabanı oluşturulduğu ve çeşitli veri sızıntıları ile bu veritabanlarının sürekli güncellendiği (zenginleştirme adı veriliyor) kaydediliyor. Olmayanların eklendiği, olanların değişen telefon ya da adres bilgilerinin güncellendiği ya da yeni bilgilerin eklendiği kaydediliyor.
Bugün sunulan verinin de ağırlıklı olarak e-Nabız’dan geldiği yorumu yapılıyor. Yeni bir veri midir, siber istihbaratçılar henüz bakıyor, aynı etapta bir başka olay olduğunu da belirtelim. Dediğimiz gibi bir de ehliyet/trafik türü verilerden bahsediliyor. İkisi aynı olay mı, farklı mı, biz de yeni bir bilgi alınca yeniden haber yapacağız.
Satış yapanlar kim?
Bu arada şunu belirtelim. Bugünkü bahsedilen “Sorgu paneli” sitesindeki verilerin hackleyen ya da sızdıranlar olsa da, şu anda gördüğünüz siteleri sunanlar aynı kişiler değil. Bir siber güvenlik uzmanı bu arkadaşların görüşmelerini takip etti.
Kendisine şunları sorduk;
Siz bu olayı yarattığını söyleyen insanlarla karşılaştınız. Bunlar kim? Önemli hackerlar mıdır?
Yayın yaptıkları mecrada edindiğim izlenimlerden karşımızda bir hackerdan ziyade bilgisayar ile arası iyi olan genç çocuklar var. Ortada herhangi bir hackleme vs olayı da yok.
Bunlar hackleyen kişiler mi, ya da veri sızdıranlar mı, ya da sadece satanlar mıdır?
Ortada yeni bir hackleme olayı yok. Yıllardır devletin hizmetlerinden çalınan veriler derlenip toplanmış bir tane “panel sitesi” üzerinden yayına açılmış. Buna benzer yöntemler yıllardır yabancı sitelerde yapılıyordu ama biraz farklı yöntemler ile. Verileri çalan kişiler önden biraz örnek data paylaşıyordu, tüm veriye ulaşmak için para ile satın alabiliyordunuz. Bugün karşılaştığımız olayda ise tüm veriler herkese açık bir şekilde yayınlanmış, VIP hizmet diye sunduğu bazı özellikleri telegram üzerinden satıyor. Karşımızda bir hacker değil de bilgisayar bilen gençler var diyebiliriz.
Farklı zamanlarda kamu kurumları sitelerinden sızdırılan verileri toplayıp yayına açmışlar. Biraz güncel verileri kontrol ettiğimizde yeni verilere ulaşamıyoruz. Yayına gelen insanlar ile yaptığı sohbette tüm datayı 5 Bin Tl’ye verebileceğini söylüyor üstelik, ödeme için telegramdan iletişime geçip bilgi alabiliyoruz.
18 yaşından küçük olma ihtimali var arkadaşın, o yüzden adını tam olarak yazamıyoruz, kendisinin beyanına göre Almanya’da yaşadığını söylüyor.
Teknik konulara dair bazı soruları yapay zekaya soruyorlar, yayına katılan bazı kişiler de teknik konularda akıl vererek bu suça ortak oluyorlar. Yazılım bildiğini bilen birinden hemen destek isteyip 1-2 tane kod yazdırmaya çalışıyor.
Gün içinde 5-6 tane domain açıp kapattılar, en son açtıkları domainden tüm veriler başkaları tarafından çekilmeye çalışıldığı için siteyi yine kapattılar. O yüzden teknik olarak çok yetkin birisi değil. Yazılımcı değil de “kod operatörü” diyeceğimiz seviyede bir arkadaş ile karşı karşıyayız.
Kişisel Verileri Koruma Kurulu neden var?
Kısa bir süre önce, Kişisel Verileri Koruma Kurulu’nun ilk 3 ayda yayınladığı ihlallere bakmıştık. Bunların içinde nedense hiç devlet kurumu yoktu. Halbuki burada da gördüğünüz gibi, zaman zaman devletten sızan bilgiler görülüyor.
Abdullah Gül’ün Cumhurbaşkanlığı sırasında yapılan bir Devlet Denetleme Kurulu (DDK) denetlemesinde, kişisel verilerin nasıl dikkatsizce 3. parti yazılım firmalarının yetkisiz çalışanları ile paylaşıldığına dair uyarılar vardı. Şu anda yeni bir denetleme yapan olmadığından, durum nedir, bilemiyoruz.
Diğer yandan bu veri sızıntılarını kaçıncı defa duyuyoruz ve siber istihbaratçıların belirttiği gibi DarkWeb’de bu konuda satış yapanlar var. Devlet bu konuya yine “o eski çalıntı” diyerek mi yaklaşacak ve halkı uyutacak?
Böylece bu hataları yapan ve/veya suçları işleyenler yine paçayı kurtaracak mı? Hatırlatalım, 50 milyon kullanıcı hesabını çalan ya da sızdıranlar değil, satmaya çalışan 2 kişi suçlandı ve tutuklandı. Ama olayın devamı yok. Bu sızdırmayı ya da çalmayı acaba kim/kimler yaptı?
Bu nedenle de, Medya ve Hukuk Derneği, bu listelerde ismi olan herkesi dava açmaya davet ediyor ve çok doğru yapıyorlar. Bunun sona ermesi için hukuk yolu kullanılmalı.
Biz de bu kişisel zarar konusunu ve diğerlerini Kişisel Verileri Koruma Kurulu’na sorduk, henüz cevap alamadık. Sorularımız şöyle:
Ortada hackerların çeşitli devlet kurumlarından sızdırdığı (ki siber güvenlikçiler sonuncusunu e-nabız olarak yorumladı) ve bu bilgilerle güncellediği bir veri tabanı olduğu görülüyor. KVKK olarak siz bu verilerin nasıl sızdığı konusunda bir inceleme başlattınız mı?
6698 kapsamında, bu verilerin sızdığı kamu servislerinin raporlanması lazım. İlgili kamu kurumu bu konuda bir raporlama yaptı mı?
Verileri sızan kamu kurumları eğer raporlama yapıyorsa, siz özel sektör firmalarında olduğu gibi –halkın kendi önlemlerini alması açısından– aynı şekilde ihlal sayfanızda bu sızıntıları yayınlayacak mısınız?
Bu verilerin sızması ile ilgili olarak halka açık bir uyarı yayınlayacak mısınız?
Sızmış bu verilerin engellenmesi (sadece Turkiye değil, dünya çapında) herhangi bir çalışmanız olacak mı?Bağımsız bir kurum olarak, bu verilerin sızması nedeniyle zarara uğrayacak olan bireylerin zararının tazmini için bir çalışmanız olacak mı?
Kamu kurumundan sızıntı kamu hizmet kusurudur
Olayın duyulması ile birlikte, Medya ve Hukuk Derneği, Twitter’dan dava açılması gerektiğini yazdı. Konuyu bir de kişisel veriler konusunda çalışan bir hukukçuya danışalım dedik.
Mehmet Ali Köksal şöyle cevapladı:
Bu veri sızıntıları için, öncelikle 6698 kapsamında 72 saat içinde ilgili kamu kurumu tarafından Kişisel Verileri Koruma Kuruluna ve ilgili kişilere bildirilmesi gerekir. Sızıntının boyutu ve kapsamına ilişkin söylenenler dikkate alındığında KVKK’nın da mutlaka sızıntı ile halka açık bir duyuru yapması gerekir.
Ayrıca sızıntı Türk idari hukuku açısından kamu hizmet kusurudur. Bu hizmet kusuru nedeniyle zarara uğrayan herhangi bir kişi olması durumunda, bu zararın sızıntıya sebebiyet veren kamu kurumu tarafından idari yargılama usulleri çerçevesinde gidierilmesi gerekir. Medeni bir ülkede bu boyutta bir sızıntı –artık kaçıncı oldu bilemiyorum–, sonrasında sorumlunun ve o kurumun başındaki kişinin istifa etmesini gerekir.
This entry was posted in BİLİŞİM - İNTERNET -. Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *