Verilerimiz koruması gerekenlerden sızarsa
Görsel: Pixabay
Türkiye’de yaşayan hemen herkesin kişisel verilerinin bir web sitesi üzerinden erişime açıldığı cuma günü ortaya çıktı. “s****.live” ve “s****p****i.org” olarak iki ayrı alan adı üzerinden erişilen sitede kimlik numarası, telefon numarası, adres, e-okul’daki vesikalık fotoğraf, tapu kaydı ve kişinin akrabaları gibi verilerin bir kısmı ücretsiz olarak bir kısmı ise “ücret karşılığı” erişime açılmış durumda. “.org” uzantılı alan adı 19 Nisan 2023’te, “.live” uzantılı alan adı ise 3 Haziran 2023’te açılmış. Kendi kişisel verilerimizin sorgulanması üzerinden yaptığımız ilk incelemelere göre sitede yayımlanmakta olan veriler farklı veri tabanı sızıntılarının birleştirilmesi ile oluşturulmuş gerçek veriler. Telefon numarası ve adres gibi verilerin kaynağı mobil operatörler, alışveriş siteleri ve/veya yemek siparişi siteleri gibi çeşitli yerler olabilir. Ancak bu veri tabanlarından aile ve akrabalık bilgileri gibi bir kısmı normal şartlar altında sadece ve sadece devletin ilgili birimlerinin elinin altında bulunması gereken veriler. Yine ilk incelemelerimiz aile ve kimlik verilerinin haziran 2020 ile mayıs 2021 arası bir tarihe ait olduğuna işaret ediyor. Bu bilgi en azından bir kısım kimlik verisinin bu tarih aralığında sızmış olabileceğini gösteriyor.
Bugüne dek çokça kişisel veri sızıntısı yaşamış bir ülkeyiz. Ancak bu son sızıntı 2016’daki 50 milyon kişinin verilerini içeren veri tabanı sızıntısını bile gölgede bırakacak ve çok tehlikeli sonuçlar doğurabilecek cinsten. Bu yazı yazıldığı sırada site henüz aktifti ve sitenin kendi bildirimlerine göre 9 bin 787 kullanıcı sorgulama yapmak için kayıt olmuş durumdaydı. Devletin muhtemelen ilk alacağı tedbir olan erişime engellemenin verilerin korunması açısından ciddi bir sonuç üretmeyeceğini, artık derli toplu bir veri tabanı halinde olan bu verinin sitenin sunucuları kapatılsa ve sahipleri tutuklansa dahi yayılmaya devam edebileceğini öngörmek güç değil. Veri bir kez sızdıktan sonra ne yaparsanız yapın ortadan tümüyle kaybolması mümkün olmuyor.
Site aracılığı ile erişilebilir kılınan detaylı akrabalık ve kimlik bilgileri ile telefon numaralarının çeşitli sosyal mühendislik numaraları ile dolandırıcılık amaçlı kullanılacağını ve bu tip dolandırıcılıkların önümüzdeki dönemde artış göstereceğini öngörmek güç değil. Yine bütün bu veriler kullanılarak yapılabilecek kimlik sahtekarlıklarının da haddi hududu yok. Sızan veriler açısından baktığımızda önemli bir kısmı değiştirebileceğimiz veriler değil. Bu nedenle dolandırılmamak için herkes artık kendisini arayan herhangi birinin elinde bu verilerin olduğunu varsayarak davranmak zorunda. Ancak dolandırıcılıklar meselenin sadece bir ayağı. Sitede ücretli üyelikle erişilebildiği iddia edilen adres bilgisi gibi veriler ailesi, davalısı ya da eski partnerinin saldırısı gibi çeşitli riskler altında olan bu nedenle adresini gizli tutmaya çalışan kişiler için hayati bir mesele haline gelebilir.
Sızıntıda yer alan verilerden bir kısmının salt devletin elinde olması gereken veriler olması kişisel verilerimizin güvenliği açısından bazı tartışmaları yapmamızı da zorunlu kılıyor. “Bu veri ihlali devletin hangi kurumlarındaki hangi ihmaller zinciri sonucunda ve hangi yasal düzenlemelerin eksik olmasından dolayı oluşmuştur?” sorusu ilgili kurumların ilk elden kamuoyuna yanıtını vermesi gereken bir sorudur. Hatırlayanlarınız olacaktır, Eski İçişleri Bakanı Süleyman Soylu bir ay kadar önce shiftdelete.net’in Youtube kanalına konuk olmuş ve bu sırada akıllı telefonundan fotoğrafını çektiği kişinin kısa bir sürede kimliğini tespit edebilen özel bir uygulamanın da gösterimini yapmıştı. O dönemde bunun ciddi bir kişisel veri ihlali olduğu enine boyuna tartışılmıştı. Çeşitli devlet kurumlarının kişisel verilere ciddi bir yasal çerçeve olmadan çeşitli gerekçelerle ya da bahanelerle istedikleri gibi ulaşabilmesi devlet fişlemesi tartışmalarının yanı sıra verilerin daha kolayca sızması gibi sonuçlar da doğurabiliyor. Sızıntı üzerine yürütülecek soruşturma hasıraltı edilmez de sonuçları kamuoyu ile paylaşılırsa muhtemelen veriye anlamsızca ve gerçekte yetkisizce erişebilen bir ya da birkaç devlet kurumundan kötü niyetli kişilerce sızdırıldığı bir tablo ile karşılaşabiliriz. İkinci bir olasılık ise bu verilere erişebilen bir ya da birkaç kamu kurumunun sistemlerinin hacklenmiş olması.
Yukarıda andığım iki olasılık da devlet kurumlarının kişisel verilere toplu erişimini sistemik olarak yasaklayarak, tekil olarak erişimi ise izne tabi, sınırlı ve kayıt altında tutarak engellenebilir ya da sızıntının boyutu asgariye indirilebilirdi. Ancak devletin kurumlarının kişisel verilerimize erişimine dair iktidarın tutumu Eski İçişleri Bakanının akıllı telefonundan kişisel verilerimize istediği gibi erişebilmesi oldu. Mevcut veri sızıntısından çıkartılması gereken bir ders varsa o da devlet kurumlarının kişisel verilere erişimine dair yasa ve yönetmeliklerin kimsenin ve hiçbir kurumun keyfi erişimine izin vermeyecek; kişisel verilerimizin güvenliğini güvenlik paranoyalarından, yetkilerin kötüye kullanılmasından vb. öncelikli tutacak şekilde acilen güncellenmesi gerektiğidir. Bu tipte düzenlemelerin olmadığı hemen her durum devlet kurumlarından olası sızıntı ihtimalini arttıracaktır.
- Teknoloji patronları ABD seçiminin galiplerinden 09 Kasım 2024 04:32
- Platformlar ve yayıncılar çevrim içi radikalleşmenin neresinde? 19 Ekim 2024 06:56
- Hamam böceği yuvası mutfakta değil 10 Ekim 2024 04:55
- ‘Yerli ve milli’lik siber güvenliğin neresinde? 21 Eylül 2024 06:01
- Sızan/sızmayan veri ve sonrası 14 Eylül 2024 04:54
- Modern İskenderiye Kütüphanesi yanarken 07 Eylül 2024 04:43
- Genç oyun geliştiricilere vadedilen kabus 24 Ağustos 2024 05:58
- Oyunları kim, neden hedefe koyar? 17 Ağustos 2024 05:04
- Sansür, ebeveynler ve oyunlar 10 Ağustos 2024 06:30
- Roblox sansürü çocukları koruyabilir mi? 09 Ağustos 2024 04:15
- Distopya gerçeğe dönerken… 03 Ağustos 2024 05:33
- Yapay zekada sonun başlangıcına yaklaşırken 29 Haziran 2024 04:54