108 milyon yurttaşın tüm ferdî dataları çalındı, BTK bilgileri koruyamadığını kabul ederek Google’dan yardım istedi
Resmi kurumlarda kaydı olan 108 milyon yurttaşın kimlik numaralarından ev adreslerine kadar tüm şahsî dataları çalındı. Çalınan bilgiler arasında 82 milyon kişinin ikamet adresi ve 134 milyon da GSM numarası yer aldı. Verileri korumakla yükümlü olan BTK, bilgileri koruyamadığını kabul ederek Google’dan yardım istedi.
Free Web Turkey’den Ali Safa Korkut’un haberine göre, resmi kurumlarda kaydı olan 108 milyon yurttaşın isim, soyad, tc kimlik numarası, aile sıra numarası, birey sıra numarası, doğum tarihi, doğum yeri; nüfusa kayıtlı oldukları il, ilçe ve köy, uygar durum, mevt tarihi, ikamet adresi ve cep telefonu numarasından oluşan ferdî dataları çalındı.
Verileri çalan bilgisayar korsanları, bunları “Yenilenmiş TC”, “Adres”, “GSM”, “101m” ve “GSM” (ikinci bir dosya) isimli beş farklı Google Drive belgesinde topladı.
Verilerin çalındığını fark eden Ulusal Siber Olaylara Müdahale Merkezi (USOM), Google ile irtibata geçti ve “Kanunen yurttaşları kimlik avı taarruzları, kullanıcı hesaplarının ele geçirilmesi ve bilgi sızıntıları gibi her türlü siber akına karşı korumakla yükümlüyüz” diyerek yardım talep etti.
Bilgi Teknolojileri ve İletişim Kurumu (BTK) bünyesinde fliyet gösteren USOM, “Bu doğrultuda, kritik kıymete sahip olduğu iddia edilen kimi bilgilerin sisteminize muvaffakiyetle yüklendiğini değerle dikkatinize sunarız” ifadesiyle Google’a ilgili Drive evraklarının kontaklarını iletti ve “acil” koduyla “derhal” kaldırılmalarını istedi.
108 milyon TC kimlik numarası, 82 milyon kişinin ikamet adresi, 134 milyon GSM numarası
Türkiye Cumhuriyeti vatandaşı olup olmadığı fark etmeksizin, Türkiye’deki herhangi bir resmi makamda kaydı bulunan tüm yurttaşların datalarının yer aldığı beş evrakın toplam boyutu 42,18 GB.
Çalınan datalar arasında 108 milyon 571 bin 832 bireye ait TC kimlik numarası, 82 milyon 322 bin 190 kişinin ikamet adresi ve 134 milyon 817 bin 279 cep telefonu numarası yer aldı.
İçinde milyonlarca şahsa ait şahsî bilgilerin bulunduğu evrakların formatıysa data kaydı için tercih edilen ilk format olan XLS (Microsoft Excel) ya da CSV değil. Dataları çalan bilgisayar korsanları, evrakların boyutunun büyük olması sebebiyle onları bir veritabanı yönetim sistemi olan MySQL’in MYD ve MYI formatlarında kaydetmiş.
MySQL, buna büyük boyutlu data setlerini kaldırabilecek veritabanı yönetim programlarından biri. Bu ve programlar, veritabanına aynı anda yüzbinlerce istek gönderebilme kapasitesine sahip olduğu için bu dataları işlemek isteyenler buna programları kullanıyor.
BTK’dan Google’a: İşbirliğinizi rica ediyoruz
Google’dan işbirliği yapmasını “rica eden” USOM, vakitte ilgili belgeleri Drive’a yükleyen kişi ya da şahısların kullanıcı hesap kimlikleri, IP adresleri ve port numaralarını da istedi.
Şirkete gönderilen 29 Temmuz ve 3 Eylül tarihli iki başka yazıda USOM, “Bu bahisteki süratli cevabınız, etkilenen kullanıcıların bütünlüğünü ve güvenliğini korumak açısından büyük değer taşımaktadır” dedi.
MLSA suç duyurusunda bulunmuştu
Free Web Turkey, ferdî bilgilerin çalındığını 2023 yılında da ortaya çıkarmış ve bunun üzerine İçişleri Bakanlığına dava açmıştı. Açılan davanın reddedilmesi üzerine mevzuyu Anayasa Mahkemesi’ne taşıyan MLSA Hukuk Ünitesi, dataları korumakta ihmal gösteren yönetimin özel hayatın kapalılığını, ifade özgürlüğünü ve adil yargılanma hakkını ihlal ettiğini savundu. MLSA’ya göre ferdî bilgilerin açıkça yayınlanması bilgileri açıklanan milyonlarca kişi için büyük bir tehdit oluşturuyor.