50 milyon vatandaşın kimlik bilgileri çalındı mı?

Bir süredir internetleri meşgul eden “50 milyon vatandaşın kimlik bilgileri çalındı!” haberleri ile ilgili kapsamlı ve açıklayıcı bir yazı yazma gereği duydum. Vatandaş gazeteciliğinin hayatımızın bir gerçeği olduğu bu günlerde nasıl ki gazetecilerin yaptığı haberlerin doğruluğundan %100 emin olamıyorsak vatandaşın yaydığı bilgiyi de sorgusuz sualsiz doğru kabul edip yaymadan önce bir kere daha düşünmeliyiz. Bu haberlerin bize ulaşmasında büyük payı olan Facebook, Google, Ekşisözlük vb. siteleri sadece biraz daha dikkatli inceleyerek ve aramaya inanarak pek çoğunun doğruluğunu kontrol etmek mümkün. Bu konuda M. Atakan Foça’nın 13 Mart Ankara saldırısından sonra yazdığı “İnternette yanlış bilgiyle başa çıkmanın 10 yolu”başlıklı yazıyı okumanızı tavsiye ediyorum.

Böyle bir dünya yok.

Şimdi dilerseniz basındaki haberlerle ilgili önemli noktaları ve soruları gözden geçirelim.

Tüm Türkiye’nin kimlik bilgilerine ulaşılabiliyor mu?

Hayır. 78 milyonluk nufüsa karşın bugün açık bir şekilde internetten ulaşılabilen bilgilerin sayısı yaklaşık 50 milyon (49,611,709) kişi olarak açıklandı.

50 milyon vatandaşın kimlik bilgileri çalındı mı?

Evet. Fakat çalmak yerine toplamak burada daha doğru terim olabilir (neden olduğunu ilerleyen kısımlarda anlatacağım).

Bu bilgileri kim çaldı?

Haber sitelerindeki başlıklar ve içeriklere bakacak olursanız anonymous ve çeşitli hacker gruplarının adını görebilirsiniz. İddiaya göre bu gruplar bir süredir Emniyet Genel Müdürlüğü’nün sistemine sızmışlardı ve uzun çabalar sonucu ele geçirilen bu belgeler internette yayınlandı. Bu haberin kaynağı 15 Şubat tarihinde @CthulhuSec adlı Twitter hesabında paylaştığı tweet ile websitesinde download linkini yayınlayan kişi.

Websitesinde ve ilgili tweette bu şekilde lanse edildiği için tüm kaynaklar haberi bu şekilde geçti. Aslında eski bir mevzu olan haber bu yeni link ve paylaşım ile yeni bir habermiş gibi tekrar servis edildi. Hatta bazı haber kaynakları bilgilerin “paralel yapı” tarafından servis edildiğini açıklayan paylaşımlarda bulundu. Bildiğimiz kadarıyla bu bilgileri bir araya getirenler Türk fakat internette yayınlanan veritabanınının şifresini kırarak bir websitesine yükleyen kullanıcılar yabancı.

Haber ne kadar eski, neden tekrar gündeme geldi?

Aslında hikaye 2009 yılına kadar dayanıyor. Habertürk’ün 6 Ağustos 2010 tarihli haberinde 70 milyonun kimlik bilgilerinin çalınıp satılmasına dair haberin ayrıntılarını okuyabilirsiniz. Daha önce kısa sürede unutulması ve büyük çapta haber olmamasının sebebi yayınlanan dosyaların yazılım bilgisi olmayan kullanıcıların okuması için çok uygun olmaması ve şifrelenmiş olmasıydı. Bugün tüm bilgileri şifrelenmemiş bir şekilde bilgisayarınıza indirebiliyorsunuz. Yine de yazılımcı olmayan birinin bir arayüz kullanmadan kendi bilgisayarında bu dosyayı açması ve arama yapması kolay değil. Tekrar gündeme düşmesinin asıl sebebi 5 Nisan tarihinde yabancı bir yazılımcının geliştirdiği basit bir arayüz ve aracı bir websitesi sayesinde açık bir şekilde erişime açılması.

Bilgiler nasıl ele geçirildi?

2009 seçimlerinde seçmen bilgilerinin kontrolü için açılan bir arayüzden tc kimlik numarası girilerek seçmen bilgilerine ulaşılabiliyordu. YSK’nın websitesi dahil bir çok parti de bu altyapıyı kullanarak aynı uygulamayı sundu. O tarihteki bir arşiv kaydına bu linkten ulaşabilirsiniz. Tc kimlik numarası girilerek sorgulama yapılan bu websitesinde güvenlik önlemi olarak ise sadece görsel bir güvenlik kodu bulunuyordu. Bu güvenlik önlemini aşmak doğru teknik kullanılmamış ise -700 binden fazla sonuç veren bu Google aramasından da görebileceğiniz gibi- çok da zor değil. Hangi websitesinden olduğu kesin olmasa da bu sistemi kullanarak Türk bir yazılımcının 50 milyona yakın vatandaşın bilgisini aldığı tahmin ediliyor. Hatta bu bilgiler şifrelenerek bir dvdye atılıyor ve bir program kullanarak arama yapılabilecek bir şekilde hukuk büroları vb. kurumlara satılmaya başlanıyor. Bu tarihteki eski haberlere bakarsanız bu dvdyi satan kişilerin bilgilerle birlikte yakalandığını görebilirsiniz. Bu tarihten sonra kullanılmaya devam eden ve elden ele dolaşan bu dvdnin içeriği @CthulhuSec tarafından 15 Şubat’ta tekrar yayınlanıyor. Bilgiyi toplayan yazılımcıların yaptığı basit şifrelemenin kırılması ve açık bir şekilde paylaşılması çok zaman almıyor ve 3 Nisan tarihinde şifresiz bir şekilde veritabanı paylaşıma açılıyor. 5 Nisan tarihinde ise kasthack nickli reddit kullanıcısı hazırladığı basit arayüzle bu veritabanını kullanarak tüm bilgileri halkın erişimine sınırsız bir şekilde açıyor.

Bir kişi tüm ülkenin bilgilerini nasıl toplayabilir?

Makine arayüzünü işe karıştırmadan bu yazılımcının yaptığını elle yaptığınızı düşünün. 2009'da yayındaki sistemle kafanızdan attığınız tc kimlik numaraları ile başka birinin bilgilerine ulaşmanız mümkün. Aynı işlemi yeterince tekrarlarsanız tüm seçmenlerin bilgilerini toplayabilirsiniz. Buradaki önemli nokta şu, zamanında yetkililer tarafından açıklanmamış ve inkar edilmiş olsa da tc kimlik numaralarının bir algoritması var. Oldukça da basit bir algoritma. NVİ’nin websitesinden de artık bu konuda bir açıklamaya ulaşabiliyorsunuz. Bu algoritma 2009 tarihinde veyahut daha önce açığa çıktığı için kafanızdan numara atmanıza ya da 0'dan başlayıp 1 trilyon muhtemel tc kimlik numarasını teker teker denemenize gerek yok. Hazırladığı yazılımın içine bu algoritmayı gömen yazılımcı 1 trilyon deneme yerine milyonlar seviyesinde ihtimale indirgeyerek çok daha hızlı ve sorunsuz bir şekilde veriyi toplama imkanı buldu. Tc kimlik algoritmasının nasıl işlediğini öğrenmek isterseniz bu yazıyı inceleyebilir ya da tc kimlik algoritma aramasıyla binlerce sonuca erişebilirsiniz.

Güvenlik ihmali var mı?

Yukarıda bahsettiğim yöntem daha önce defalarca farklı verilerin ele geçirilmesinde kullanılmış ve başarılı olmuş bir yöntem. Güvenlik ihmali tabi ki de var. Sorumluları da bu bilgileri yeterli güvenlik önlemini almadan halka açık bir arayüze aktaranlar.

Neler yapılabilirdi?

Şu an YSK ve benzeri sitelere girdiğinizde tc kimlik numarasının yanı sıra “baba adı” bilgisi olmadan arama yapılamadığını görüyorsunuz. Bilgiler toplandıktan sonra alınan bu önlem ile basit bir şekilde bir nebze daha güvenlik arttırılmış oldu. 2009'da açılan sistemlerde bu ayrıntı olsaydı, daha gelişmiş bir güvenlik doğrulaması kullanılsaydı, basit bir sorgulama yerine güvenli bir giriş ardına bu ekran yerleştirilseydi, bir kişinin milyonlarca sorgulamayı kısa sürede gerçekleştirmesi ve tüm verileri toplamasının önüne geçilebilirdi.

Şu an güvende miyiz?

Devlet benzeri sistemleri yeterli olmayan güvenlik uygulamaları ile sunduğu ve merkezi bir yapıya bağlamadıkça güvenlikten bahsetmek çok mümkün değil. Zaten nüfusun büyük bir kısmının bilgileri yayında ve adres dışında değişmesi muhtemel olmayan bilgileriniz de yayında kalmaya devam edecek (tc kimlik, doğum tarihi, anne baba adı).

Neden belirli bir yaşın altındaki vatandaşlar sistemde yok?

Veritabanındaki veriler 2009 seçimlerinde toplandığı için bu tarihteki seçmen sayısıyla örtüşen (48,049,446 seçmen) bir sayıda kişinin verilerine ulaşılabiliyor. 18 yaşını doldurup oy kullanmaya hak kazanmış kişiler listede mevcut.

Sistemdeki veriler ne kadar güncel?

2009 tarihinden sonra güncellenmediğini göz önüne alırsak adres bilgileri 7 yıl kadar eski ve bu süre zarfında değişmiş olabilir, bunun dışındaki bilgiler zaten güncellik gerektirmiyor.

Oy kullandım ama adım sistemde çıkmıyor?

Veriler her ne kadar otomatik bir biçimde toplanmış olsa da direk kaynaktan toplu bir şekilde ele geçirilmediği için hata olmuş olması muhtemel. Burada 2 seçenek var. Ya YSK’nın altyapısındaki bir problemden ötürü ya da bu bilgileri toplayan yazılımcının sistemindeki bir hatadan ötürü bilgileriniz kaydedilememiş. Seçmen sayısıyla karşılaştırıldığında 1.5 milyon kişilik fazla bir verinin de olduğunu görüyoruz. Bu sebeple de 50 milyonun tamamını incelemeden her satırın dolu ve hatasız olduğunu söyleyemeyiz. Fakat geri bildirimlere göre sistem %90 üzerinde doğrulukla çalışıyor.

Hangi bilgilerime ulaşılabilir?

Veritabanından “TC kimlik numarası, Ad, Soyad, Anne Adı, Baba Adı, Cinsiyet, Doğum Yılı, Doğduğu Şehir, Nüfus Kayıt Yeri, Açık Adres” gibi verilerinize ulaşılabilir.

Bu bilgilerimle neler yapılabilir?

Bilgilerinizin sahte kimlik oluşturmak için kullanılması yönünde bir şüpheniz varsa daha önce bu konudaki haberleri araştırabilirsiniz. Bu yönde çeşitli hikayeler ve spekülasyonlar mevcut.

https://www.google.com.tr/#q=sahte+kimlik+hayatı+karardı

Ne yapmalıyım?

Başlı başına bir yazı konusu olan bu sorularla ilgili ayrıntılara girmeden sizleri bilgi edinebileceğiniz kaynaklara yönlendireyim.


Yanlış bilinenler:

Tüm bu yazıyı yazmamın sebebi aslında bu kısım o yüzden bir özet gibi de düşünebileceğiniz bu kısımda yanlış bilinenleri aktarmaya çalışacağım.

  • Veriler büyük ihtimalle 2009 seçimlerinde çalındı.
  • Tüm ülkenin değil yaklaşık 50 milyon kişinin verileri mevcut.
  • Verileri yabancı hackerlar değil muhtemelen bir vatandaşımız çaldı.
  • Aynı veriler yeni açılan bir websitesiyle 5 Nisan tarihinde yabancı kullanıcılar tarafından kullanıma sunuldu.
  • “Nufüs Genel Müdürlüğü’nden sızma yoktur.” açıklaması büyük ihtimalle doğru.
  • “Yeni bir mevzu değil, bilgimiz var. 2010 yılında böyle bir iddia ortaya atıldı.” açıklamasındaki gibi iddia değil, gerçektir.
  • 2010 yılından beri bu konuda resmi bir açıklama ve düzenleme yapılmamış olması da başka bir gerçek.
  • “Verilerin güncelliği yoktur.” açıklaması doğrudur. Veriler 2009 yılındaki hali ile yayınlandı fakat adını, soyadını, adresini değiştirenler, evlenenler/boşananlar ve hayatta olmayanlar dışında büyük bir kısmı güncelliğini korumaktadır.
  • Devletin verilerin güvenliğini sağlayamadığı doğru fakat basit bir şifreleme kullandığı yanlıştır. İlk paylaşılan dosyada yer alan sorgu.exe programı ve verilerin şifrelemesi verileri ele geçiren/dağıtan kişiler tarafından ticari amaçlarla geliştirilmiştir.
  • Verileri satan kişi veya kişilerin yakalandığı doğrudur. Fakat verileri toplayan kişi veya kişilerin yakalandığına veyahut bu güvenlik açığının oluşmasında payı bulunan kişilere dair bir açıklama yok.

Her ne kadar basit anlatmaya çalışsam da süreç uzun ve konu çetrefilli olduğu için epey uzun bir yazı oldu. Okuduğunuz için teşekkür ederim. Lütfen hatalı bilgilerin ve spekülasyonların önüne geçmek için paylaşın.

Bu yazı sadece araştırmalarım ve yorumlarımı içermektedir. Olabildiğince kaynak göstermeye çalıştım fakat tüm konular kesinlik içermiyor. Hatalı olduğunu düşündüğünüz kısımları ve aklınıza takılanlar iletmekten lütfen çekinmeyin.

@ibrahimuzunj