Kimlik bilgilerimiz nasıl çalındı?
Bilgisayar korsanlarının 49 milyon Türk'ün kimlik bilgilerini çaldığı haberi dün gündeme bomba gibi düşmüştü. Haberleşme Bakanı Binali Yıldırım "Bu eski haber, 2010'da böyle bir iddia ortaya atılmıştı. Güncel değeri yok" dese de korsanlar boş durmadı, 'Elimizde' dedikleri bilgilerin tamamını yurt dışı çıkışlı bir internet sitesi üzerinden yayınladılar. Peki bu bilgiler nasıl çalındı, kötü amaçlı kullanılabilir mi, kendimizi yeniden nasıl güvende hissedebiliriz? Cevaplarını Hürriyet Yazarı İsmet Berkan kaleme aldı, işte yazısının özeti:
...Dünya onu konuşuyor olsun, biz de burada belki etkileri itibarıyla Panama sızıntısını hiç aratmayacak büyüklükte bir skandalın içinde yaşıyoruz zaten.
Hem de yıllardır.
Bizim, 49 milyondan fazla vatandaşımızın her türlü kimlik bilgisi çalındı. Bu yetmezmiş gibi şimdi çalınan bilgiler bir de internete yüklendi.
Ben konuyu en son 20 Şubat’ta bu köşede, “En büyük ulusal güvenlik sorunumuzu konuşmuyoruz bile” başlığıyla yazmıştım. O günden bugüne de konuyu konuşmamaya devam ettik.
O yazımda kendilerine ‘bilgisayar korsanı’ adı veren birtakım kişilerin ellerindeki bu bilgileri web’e koymaya hazırlandıklarını duyurmuştum. Bugün o da oldu; iki gün önce hepimize ait temel kimlik bilgilerini içeren 7 GB büyüklüğünde bir veri tabanı Romanya kökenli bir siteye yüklendi.
Burası Türkiye, biz böyle durumlarda ilk tepki olarak kafamızı kuma gömeriz. Bu sefer de öyle oldu; ilgili site jet hızıyla erişime kapatıldı. Ama bu satırların yazarı basit bir VPN uygulamasıyla siteye de erişti, ilgili veri tabanını da sırf indirilebilir olduğunu kanıtlamak için bilgisayarına indirdi.
Neler mi var bu veri tabanında? 2011 seçimi öncesinde seçmen sıfatı kazanmış 46 milyon 611 bin 709 vatandaşın TC kimlik numaraları, anne-baba isimleri, nüfusa kayıtlı oldukları yer, doğum tarihleri ve bugünkü MERNİS’e kayıtlı adresleri var.
ERDOĞAN’IN EV ADRESİ DE VAR
Mesela o zamanlar Başbakan olan bugünkü Cumhurbaşkanı Recep Tayyip Erdoğan hâlâ Ankara Subayevleri’nde kayıtlıymış, bugünkü Başbakan Ahmet Davutoğlu ise İstanbul Bahçelievler’de oturuyormuş.
Dosyayı bilgisayarınıza indirmenizi hiç tavsiye etmem, ben de zaten bu yazı tamamlanır tamamlanmaz dosyaları sileceğim ama veri tabanında kimi ararsanız ev adresiyle birlikte var.
Sakın küçümsemeyin, sadece nüfus kaydı ve kimlik numarası bilgilerinizle bile ciddi kimlik hırsızlığı suçları işlenebilir. Ama bildiğimiz kadarıyla bu karanlık insanların elinde olan bizlerle ilgili bilgi bu kimlik bilgilerimizden ibaret değil.
AVUKATLARA SATARKEN YAKALANDILAR
Taa 2010 yılında İstanbul polisi, kişilerin tapu ve üzerlerine kayıtlı araç bilgilerini içeren bir veri tabanını avukatlara satan bir şebekeyi yakalamıştı.
Avukatlar bu bilgilere o zaman 2.500-3 bin lira arası bir para ödüyordu; çünkü bu bilgiler sayesinde icra takibi işlerini daha kolay yapıyor, rakiplerine fark atabiliyorlardı.
O zaman bilgi veren polise göre bu şebekenin kazancı 3 milyon lira civarındaydı; yani binin üzerinde avukata veri tabanını satmışlardı.
Yani kısacası aslında bu karanlık insanların elinde temel kimlik bilgilerinin ötesinde bilgiler de var ve büyük ihtimalle bunlar da ticari değerleri sona erince web’e yüklenecek; bundan kaçış yok.
Bu bilgilerin ne zaman ve nereden çalındığına dair iki teori var: Birincisi ve daha gerçek gibi duranı, 2010 yılında bu verilerin Yüksek Seçim Kurulu’ndan çalındığı. İkinci teori ise merkezi MERNİS sistemine girildiğine ve bilgilerin oradan alındığına dair. Bu mesele özenle soruşturulmadığı ve eğer kurumların içinde bir iç soruşturma yapılmışsa bile sonuçları kamuoyundan gizlendiği için hâlâ spekülasyonların konusu.
Ama öyle de böyle de sonuç değişmiyor: Bir bu çeşit hassas kişisel verilerin çalınabilmiş olması gerçeği var; bir koca millete ait bütün kişisel veriler bunlar.
İkincisi de, bu hırsızlık yıllardır bilindiği halde hiçbir önlemin hâlâ alınmamış olması, hırsızların elindeki verinin hâlâ kullanılabilir kalması gerçeği var.
TC KİMLİK NUMARALARI DEĞİŞMELİ
Devletimizin siber suçlarla ilgilenen pek çok birimi var, eminim onlar da bir sürü şey düşünüyordur ama benim aklıma gelen maalesef tek bir çare var:
Bütün TC kimlik numaralarını sil baştan yeniden belirlemek. Ve bunu da bir algoritmayla otomatik olarak değil, sahiden sil baştan yapmak. Yani söylemek istediğim, eski TC kimlik numarasıyla yenisi arasında hiçbir bağ bulunmamalı, birinden diğerine ulaşılamamalı.
Bu yapılırsa kötü niyetli kişilerin elindeki veri tabanının hiçbir anlamı kalmaz.
Ama sadece bunu yapmak yetmez; bir de aynı verilerin yeniden çalınamayacağının garantisini almak gerekir.
Dediğim gibi bu veriye, yani TC kimlik numaralarıyla ilişkili veriye bugün ülkede yüz binlerce kişi ulaşıyor zaten. Bazıları hırsızlıkla elde edilmiş veriyi kullanıyor, bazıları ise yasal yetkilerini. Bu veriye erişim de mutlaka sınırlanmalı.
KİMLİK HIRSIZLIĞI SUÇLARI PATLAMASININ NEDENİ
Bütün Türk vatandaşlarına ait bütün bilgiler tek bir yerde durursa bunların çalınması da kolay olur.
MERNİS yani Adrese Dayalı Nüfus Kayıt Sistemi’ni bildiğim kadarıyla İçişleri Bakanlığı’na bağlı Nüfus İşleri Genel Müdürlüğü yönetiyor. Bu, bizim bütün kişisel veriler sistemimizin kalbi aslında.
Çünkü diyelim Gelirler Genel Müdürlüğü de, polis de, mahkemeler de, Sağlık Bakanlığı da bir bireyle ilgili işlem yapacağında bu kalpteki veriyi alıyor, onu işliyor. Evet sistemin kalbindeki bu emel nüfus kayıt ve adres bilgilerine pek çok kamu kurumu muhtaç. Tapu Kadastro Genel Müdürlüğü de tapu kayıtlarını bu veri tabanını merkez alarak güncelliyor, Bankacılık Denetleme Kurulu da bu veri tabanından karapara takibi yapıyor, belediyeler de bu veri tabanına bakıp emlak vergisi tahakkuklarını gerçekleştiriyor. Trafik cezanız da burada, adli siciliniz de, SGK bilgileriniz de, hastane ve doktor ziyaretleriniz de...
İşte çalınan şey bu sistemin kalbi. Ve anlaşılan bazı iç organlar da (tapu kayıtları vs) çalınmış.
Gazete haberlerini dikkatli okuyorsanız fark etmişsinizdir, telefonla insanları savcıyım polisim diye kandıranlar aradıkları kişinin hangi bankada kaç parası olduğunu da biliyorlar, telefon numarasını da, ev adresini de, başka şeylerini de... Peki bu bilgilere nasıl sahip oluyorlar sizce?
Türkiye’de son yıllarda ciddi bir kimlik hırsızlığına dayalı suç patlaması yaşanıyor. Mesela PTT, yurtdışından Türkiye’ye dikkat çekmeyecek küçük miktarlarda (1000 Euro ile 3 bin Euro arası genellikle) para gönderiyor, ya PTT aracılığıyla ya da Western Union benzeri para transfer yollarıyla. Bu paraları da birileri geliyor çekiyor. Çeken kişiler hep sahte kimlik kullanıyor, yani sizin veya benim kimlik bilgimle parayı çekiyorlar, çünkü para o kimliğe gönderiliyor. Peki PTT bu bilgilere nereden sahip sizce?