E-DEVLET VERİLERİ SIZDIRILDI İDDİASI NASIL ÇIKTI?
Dün gece Mesut Çevik’in Twitter üzerinden “E-devlet 2022 verileri sızmış deniyor. Kimlik fotoğraflarına ve güncel adreslere kadar her şey var. Bilgisi olan bana ulaşsın.” paylaşımı sonrası gündeme gelen E-devlet veri sızıntısı tartışması, gazeteci İbrahim Haskoloğlu’nun Cumhurbaşkanı Recep Tayyip Erdoğan, Millî İstihbarat Teşkilatı Başkanı Hakan Fidan ve kendisinin kimlik bilgilerinin sızdırıldığına yönelik paylaştığı ekran görüntüleriyle büyümüştü.
DEVLET KURUMLARINDAN E-DEVLET AÇIKLAMASI
Tüm bu paylaşımların ardından Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı ve USOM’dan açıklamalar geldi.
Nüfus Genel Müdürlüğü’nün yaptığı açıklamada; “12.04.2022 tarihinde bazı Sosyal Medya hesapları üzerinde yapılan paylaşımlarda “e-devlet verilerinin sızmış olduğu, sızan verile arasında kimlik fotoğraflarının ve güncel adreslerinin var olduğu” ifadeleri nedeniyle açıklama yapılması gerekliliği hasıl olmuştur.
Emniyet teşkilatımızın siber ve istihbarat birimlerince 3 ay önce yapılan operasyonların değerlendirilmesinde; bu tür paylaşımların bir oltalama ve dolandırıcılık yöntemi olduğu, aynı konuların yeniden gündeme getirilerek devlet büyüklerimize ait fotoğraf ve kişisel bilgilerin görüntü düzenleyici programlar vasıtasıyla çipli kimlik kartına yerleştirilip paylaşılmak suretiyle bir sızıntı olduğu görüntüsü verilmeye çalışıldığı görülmektedir.
Merkezi Nüfus İdaresi Sistemi (MERNİS) intranet (kapalı devre) çalışan, internet ortamına kapalı bir sistemdir. Nüfus ve Vatandaşlık İşleri Genel Müdürlüğünce yürütülmekte olan MERNİS’in de içinde bulunduğu tüm sistemler için her yıl sürekli ve düzenli olarak bağımsız farklı firmalara sızma testi yaptırılmaktadır. Yapılan testler sonucunda NVİGM’in güvenlik sistemlerinin çok iyi olduğu raporlanmış, ayrıca verilerin sızdırılmasına yönelik herhangi bir zaafiyetin olmadığı tespit edilmiştir. Ayrıca NVİGM veri tabanlarında fotoğraflı çipli kimlik kartı görselleri de yer almamaktadır.
Devletin kurumlarına karşı güveni zedelemeye yönelik ve vatandaşlarımızı paniğe sevk eden bu tür asılsız haberleri yayın kişi/kişiler hakkında Bakanlığımız Hukuk Hizmetleri Genel Müdürlüğü tarafından suç duyurusunda bulunacaktır.” denildi.
Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı’nın yaptığı açıklamada;
“Siber güvenliğin ana öznesi bireye yönelik alınabilecek tedbirler, ulusal siber güvenliğimizin temelini oluşturmaktadır. Dijital mecraları kullanırken veri mahremiyeti ile parola ve cihaz güvenliği konularında bireyler tarafından alınacak önlemler en etkin koruma yöntemidir.” ifadeleri kullanıldı.
Konuyla ilgili Ulusal Siber Olaylara Müdahale Merkezi (USOM) tarafından yapılan açıklamadaysa, “Sahte kimlik kartı üreten web siteleri USOM ekiplerimiz tarafından daha önce tespit edilerek bu ve benzeri zararlı faaliyet gösteren onlarca web sitesine erişim engellenmektedir. Bunun dışında, münferit biçimde kişilerin web sitelerine ait giriş bilgilerinin ele geçirilmesi amacıyla kullanılan sahte web siteleri ve zararlı yazılımlara karşı kullanıcıların her zaman teyakkuzda olması önerilmektedir.” ifadeleri yer aldı.
KİŞİSEL VERİLERİMİZİ NASIL BULUYORLAR?
Sızıntı haberlerinde dikkati çeken nokta, kişisel bilgilerimizin aleni bir şekilde ortalıkta dolaşıyor olması. Her ne kadar İbrahim Haskoloğlu’nun paylaştığı kimlik kartı fotoğrafları “photoshop” üzerinden düzenlenmiş gibi görünse de kimlik bilgileri, adres ve bazı sağlık bilgilerinin bir şekilde siber tehdit aktörlerinin eline geçmiş olması endişe verici olarak nitelendiriliyor.
Kişisel verilerin nasıl ele geçirildiği sorusunun cevabı öncelikle daha önceki yıllarda sızdırılan MERNİS veritabanında yatıyor. MERNİS, İçişleri Bakanlığı’na bağlı Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü’nce yürütülen ve 2002 yılından itibaren hizmette olan merkezi nüfus bilgilerimizi düzenliyor. Önceki yıllarda MERNİS veritabanının sızdırılması, Türkiye’de en az 20 milyon kişinin kişisel bilgilerinin sızdığı anlamına geliyor. Üstüne üstlük MERNİS veritabanına internet üzerinden ulaşmak da hâlâ mümkün.
Bununla birlikte MERNİS gibi devlet kurumlarının çeşitli devlet kurumlarına API erişimi vermesi, API erişimi verilen kurumların “güvenliksiz” bir şekilde çoğu verimizi tutması ve bu sitelerin ihlali veya bu sitelerde MERNİS’teki TC kimlik numarası bilgilerimizle sorguya açık olan kişisel bilgilerimiz de bu sorunu ikiye katlıyor.
Bunun yanı sıra Yemeksepeti gibi binlerce kişinin adres bilgilerini tutan veritabanlarının sızdırılması da güncel adres bilgilerimizin rahatlıkla bulunabilmesine yol açıyor.
Bu noktada ilginç bir veri de internete düşen TC kimlik numaralarının “Torrent” üzerinden en fazla indirilenler grafiği. Grafikte Türkiye ilk sıradayken ardından Rusya ve ABD geliyor.
Tabii ki kişisel verilerimiz salt MERNİS’ten elde edilmiyor. Kişisel bilgilerimizi paylaştığımız birçok sitenin ihlal edilmesi de bunun bir parçası olmaya devam ediyor. Kişisel bilgilerin satılabilir bir meta hâline gelmesiyle büyüyen pazarlar da bu bilgilere ulaşımı çok daha kolay hâle getiriyor.
