Loading ...

Kimlik Bilgilerimiz Nasıl Çalındı?

Dünyanın hızla artan dijitalleşme ve bun paralel hız ihtiyacı sebebiyle tüm belge ve bilgilerimizi dijital ortamlarda aranabilir/yazılabilir hale getiriyoruz. Sabit bir adreste, klasörler dolusu evrak içinde bir cümleyi aramaktansa, o klasörleri dijital ortama aktarıp, mekandan bağımsız arama yapabilmek oldukça kolay görünüyor. Sabit bir adresteki klasörlere erişimi kısıtlamak odanın kapısını kilitlemek kadar basitken, dijitalleşme çağında bu engelleri koymak, çok sıkı güvenlik önlemleri almayı da beraberinde getiriyor.

 

Türk vatandaşlarına ait dijitalleştirilmiş, büyük bir mecraya erişime açılmış ve birden çok veritabanı var. Kimlik ve adres bilgileri, banka hesap bilgileri, tapu ve ruhsat bilgileri, sağlık kuruluşu kayıtları, adli sicil bilgileri gibi farklı kamu kuruluşları tarafından kullanılan veritabanları kontrollü erişime ve serbest sorgulamaya açıklar. Bu veritabanlarına erişmeye yetkili kurumlar gözetim olmaksızın bilgi alabiliyorlar.

 

16 Şubat 2016 tarihinde torrent dünyasına düşen 18 GB. Boyutunda bir dosya ile yaklaşık 50 milyona yakın Türk vatandaşının tüm kimlik bilgileri internet üzerinde paylaşıldı. Fakat internet dünyasını yakından takip edenler biliyor ki bu dosya aslında çok öncelerden beri dolaşımdaydı. Bu liste, 2011 yılındaki seçimlerde oy verme işlemine katılacak seçmenlerin kimlik ve adres listesiydi. Bu yüzden ilk şüpheli YSK gibi duruyor. Fakat Twitter’ daki @CthulhuSec hesabından 16 Şubat 2016’ da paylaşıldığı kadarıyla bu verinin Emniyet Genel Müdürlüğünden alındığı ortaya çıkıyor. Bir yandan da Mernis TC Kimlik sorgusu sayfasında sorgulama sonucunda gelen kimlik bilgilerinde sadece isim soyisim görünürken, sayfa kodlarında gizli olarak adres dahil tüm bilgilerin paylaşıldığı görülmüştü.

 

Bununla ilgili en eski veri ise Haziran 2010 senesine dayanıyor. Bir Linux yardımlaşma platformunda şifreli veritabanının açılmasına dair bir soru sorulmuş. Bu da dosyanın çok önceden olmaması gereken ellerde olduğunu gösteriyor.

 

 

Son yayınlanan torrent dosyasında ise bu şifreleme mantığı çözen program bulunmuş ve çeşitli bilgilerle veritabanı içinde arama yapılabilir hale getirilmiş. Peki, bu şifrelemeyi çözen programı kontrol ettiğimizde karşımıza ne çıkıyor? Veritabanı ve şifreyi çözen programın ayrı yerlerde tutulması zorunluluğunu görüyoruz. Veritabanını elinde bulunduran ilgili kurum, bu Veritabanını şifreli olarak saklıyor. Veritabanına ulaşmak isteyen kurumlara da bu şifreyi çözebilen bir program sağlıyor. Yine bu programdan alınan bilgiye göre de veritabanı özel bir firmanın sunucusunda bulunuyordu. Dosyanın internet izlerini takip edipmalwr.com adresinde sorgu.exe dosyasını arattığımızda 21 Ocak 2016 tarihinde bir çevrimiçi virüs taramasından da geçtiğini görüyoruz.

 

 

Bu izlerden anladığımız kadarıyla; 2010 yılında ele geçirilen ve şifrelenmiş durumda olan Mernis veritabanı bir şekilde çözülmüş ve anonymous tarafından sansasyon yaratması açısından “Emniyet Genel Müdürlüğünden çalındı” denilerek servis edilmiş. Daha sonra birkaç yerde daha farklı hacker grupların ismi altında yayınlanmıştır. Fakat veritabanının güncel olmaması, sadece seçmen bilgilerini östermesi ve yaklaşık olarak 2011 seçimlerine katılabilecek seçmen listesini içerdiği için açığın YSK tarafında olduğunu da düşünebiliriz.

 

Kişisel verilerin hem kamu hem özel kuruluşlar tarafından sıkıca korunması bir insan hakkı zorunluluğudur. Medula, Seçsis, Ösym gibi kişisel verileri saklayan sistemlerin güvenliği gelişen teknoloji çağında daha da önem kazanmıştır. Bilgileri toplamak ve işlemekle yükümlü kamu kurumlarında bu bilgilerin ulaşım denetimleri de yapılmalıdır.

 

LimonHost, bu bilgileri kullanarak firma ve kişileri dolandırmaya çalışabilecek insanlar konusunda uyarır ve güvenli günler diler.