Kimlik verileri “bu sefer” çalınmadı ama…
Görsel: Mohamed Hhassan/Pixabay
Türkiye’de bir süredir rutin vakaya dönmüş olan “Kimlik verileri sızdı” iddialarına dün yeni bir halka eklendi. Dün akşam saatlerinde Yayıncılar İbrahim Haskoloğlu ve Mesut Çevik tarafından çeşitli platformlarda yayımlanan içeriklerde e-devlet verilerinin çalındığı iddia edildi. Haskoloğlu verileri çalan kişilerin kendisine ulaşarak ilettiği çeşitli görselleri de paylaştı. Paylaşılan görseller arasında Recep Tayyip Erdoğan, Hakan Fidan ve Haskoloğlu’nun kendisinin T.C. kimlik kartlarının ön ve arka yüzleri, sigorta bilgilerini içerir bir ekran görüntüsü, sağlık sisteminden büyük olasılıkla hekimlerin erişimine açık bir arayüzden ekran görüntüsü ve çok sayıda farklı kimlik ve bilgi sorgulaması yapılabilecekmiş gibi görünen bir sistemin görüntüleri de mevcuttu. İddiaların ortaya atılmasından kısa bir süre sonra, gece saatlerinde Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü (NVİGM) bir açıklama yayımlayarak iddiaları yalanladı. Bağımsız firmalarca düzenli olarak sistemlere sızma testleri yapıldığının hatırlatıldığı açıklamada çipli kimlik kartı görsellerinin NVİGM veritabanlarında tutulmadığı vurgulandı.
Meselenin detaylarına girmeden önce birkaç not düşmek gerekiyor. Türkiye’de irili ufaklı veri sızıntıları gerek özel sektörde gerekse de kamuda yaşandı, yaşanıyor. Webin daha karanlık ara sokaklarında bu veriler çeşitli şekillerde paketlenerek satılıyor. Bugüne dek çok sayıda veri sızıntısı yaşanmış olması bu karanlık ara sokaklarda Türkiye vatandaşlarına ait verilerin satış fiyatlarının düşük olmasındaki temel etmenlerden de biri. Ancak her veri sızması iddiası da doğru olmayabiliyor. Satılan gerçek verilerden katbekat fazla dolandırıcı satıcılar mevcut. Küçük bir veri örneği paketi ile “avını” oltaya takan bu dolandırıcılar gerçekte var olmayan veri paketlerinin satışı üzerinden para kazanıyor. Bu dolandırıcılar “avlarını” veri setinin gerçekliğine ikna etmek için farklı sistemlerden çeşitli şekillerde ele geçirilmiş tekil, “ava” ait verileri de kullanıyorlar. Gazetecilerin, yayıncıların ve satılmakta olan paketin bilmeden reklamını yapma olasılığı olan herhangi birinin de dolandırıcılar tarafından “av” olarak görülmesi sıklıkla karşılaşılan bir durum.
Mevcut iddialarla gündeme gelen veri paketi 150 dolara satışa çıkartılmış bir paket. Veri paketinin gerçekliğini kanıtlamak üzere yayımlanan dosyalar ise ortada bir veri seti olmadığına ya da en azından veri setinin iddia edildiği nitelikte olmadığına dair bolca emare içeriyor. Yayımlanan T.C. kimlik kartlarına ait görseller dijital olarak oluşturulmuş. Bunu görsellerin işlenen kısımlarındaki yazı tiplerindeki tutarsızlıklardan ve kimlik kartı üzerindeki diğer hatalardan kolayca söyleyebiliyoruz. Yani kimlik kartı görselleri ya etkileyiciliği arttırma ya da “avı” kandırma amaçlı hazırlanmış. Sigorta bilgilerini içeren panel açısından en olası senaryo ise e-devlet değil, özel sigorta şirketleri ve buralardan çalınan veriler ya da bunların panellerine giriş bilgileri. Sağlık bilgileri paneli için de salt bu iş için oluşturulmuş başka hiçbir fonksiyonu olmayan bir panel değil ise en olası senaryo bu tipte bir paneli kullanan bir sağlıkçıdan giriş bilgilerinin çalınmış olması. İkna için kullanılan tekil veriler de paketin içeriğini kanıtlar nitelikte değil. Tüm bu verileri farklı kaynaklardan çeşitli şekillerde daha önce tekil ya da toplu olarak sızdırılmış ve derlenmiş olabilir. Eski devasa veri sızıntılarını bir yana bırakacak olursak, bugün tartışılmakta olan güncel veri setinin gerçekten var olduğunu kanıtlar güçlülükte bir veri henüz paylaşılmış değil.
Bu vakanın gerçekliği olmasa da kişisel verilerin güvenliği üzerine devletin genel olarak üzerine düşeni yapıp yapmadığını da tartışmamız gerek. Şirketlerdeki veri sızıntıları açısından verilen cezaların çoğunlukla bir caydırıcılığı olmadığını söylemek mümkün. Hatırlayın, 21 milyon kullanıcıyı etkileyen yemek sepeti sızıntısında etkilenen kullanıcı başına düşen ceza miktarı sadece 9 kuruştu. Şirketlerin yanı sıra kamu kurum ve kuruluşlarındaki bilgilerimizin güvenliği de ciddi bir endişe kaynağı. NVİGM açıklaması farklı ve bağımsız firmalarca düzenli yapılan sızma testlerinden bahsediyor. Bu sızma testleri veri güvenliği açısından oldukça önemli olmakla birlikte ne kamudaki verilerimiz sadece NVİGM ile sınırlı ne de bu testlerin detaylı sonuçlarını biliyoruz. Verilerimize o ya da bu şekilde erişebilen tüm kamu kurum ve kuruluşları için düzenli olarak bağımsız sızma testlerinin yapılması ve sızma testi raporlarının kamuya açık olarak yayımlanması bu konuda öncelikli olarak yapılması gereken işlerden biri. Yine kamuoyunun, kamu kurumlarındaki verilerinin gerçekten güvende olduğuna inanabilmesinin ön koşulu bu düzeyde bir titizlik ve şeffaflıktır.
YAZARIN DİĞER YAZILARI
- Yapay Zekanın arkasındaki görünmez maliyet 04 Ocak 2025 04:26
- Geniş dil modellerinde yeni rakip: DeepSeek V3 28 Aralık 2024 04:26
- Çocukları çevrimiçi tehlikelerden kim koruyacak? 14 Aralık 2024 04:24
- Sosyal medyaya yaş sınırlaması çocukları koruyabilir mi? 30 Kasım 2024 04:50
- Medyanın arama tekeli ile imtihanı 23 Kasım 2024 05:01
- Teknoloji patronları ABD seçiminin galiplerinden 09 Kasım 2024 04:32
- Platformlar ve yayıncılar çevrim içi radikalleşmenin neresinde? 19 Ekim 2024 06:56
- Hamam böceği yuvası mutfakta değil 10 Ekim 2024 04:55
- ‘Yerli ve milli’lik siber güvenliğin neresinde? 21 Eylül 2024 06:01
- Sızan/sızmayan veri ve sonrası 14 Eylül 2024 04:54
- Modern İskenderiye Kütüphanesi yanarken 07 Eylül 2024 04:43
- Genç oyun geliştiricilere vadedilen kabus 24 Ağustos 2024 05:58
YAZARLAR
Kansu Yıldırım
Denetimsizlik ve ihmal buz dağının sadece görünen yüzü: Cinayetin sınıfsallığı
Nuray Sancar
Trump'ın tanrısı buyurdu: İlhak, işgal ve gasp
Yücel Özdemir
Avrupa Trump’a karşı durabilecek mi?
Şebnem Korur Fincancı
Kolektif irade
Erkan Aydoğanoğlu
24 Ocak kararları ve Erdoğan-Şimşek programı
Arif Nacaroğlu
Tan ile Bulu
Mehmet Özyazanlar
Galatasaray yerinde sayıyor
Hediye Levent
Lazkiye’de neler oluyor? Aleviler ne istiyor?
