Türkiye’de ikamet edenlerin kişisel bilgilerinin yayınlandığı site gündemdeki yerini koruyor. “s****.live” ve “s****p****i.org” olarak iki ayrı alan adı üzerinden erişilen siteyle ilgili yeni bilgiler ortaya çıktı.
Evrensel‘den İsmail Gökhan Bayram‘ın köşesinde yer alan bilgilere göre, “.org” uzantılı alan adı 19 Nisan 2023’te, “.live” uzantılı alan adı ise 3 Haziran 2023’te açılmış. Sitede yayımlanmakta olan veriler farklı veri tabanı sızıntılarının birleştirilmesi ile oluşturulmuş gerçek veriler. Telefon numarası ve adres gibi verilerin kaynağı ise mobil operatörler, alışveriş siteleri ve/veya yemek siparişi siteleri gibi çeşitli yerler olabilir.
Bayram, aile ve akrabalık bilgileri gibi verilen normal şartlar altında ‘sadece ve sadece’ devletin ilgili birimlerinin elinin altında bulunması gereken veriler olduğunu söyledi.
VERİLER 1,5 YILLIK BİR DİLİME AİT
Aile ve kimlik verilerinin Haziran 2020 ile Mayıs 2021 arası bir tarihe ait olduğuna işaret eden Bayram’ın “” başlıklı köşe yazısından bir bölüm şöyle:
“Bugüne dek çokça kişisel veri sızıntısı yaşamış bir ülkeyiz. Ancak bu son sızıntı 2016’daki 50 milyon kişinin verilerini içeren veri tabanı sızıntısını bile gölgede bırakacak ve çok tehlikeli sonuçlar doğurabilecek cinsten. Bu yazı yazıldığı sırada site henüz aktifti ve sitenin kendi bildirimlerine göre 9 bin 787 kullanıcı sorgulama yapmak için kayıt olmuş durumdaydı. Devletin muhtemelen ilk alacağı tedbir olan erişime engellemenin verilerin korunması açısından ciddi bir sonuç üretmeyeceğini, artık derli toplu bir veri tabanı halinde olan bu verinin sitenin sunucuları kapatılsa ve sahipleri tutuklansa dahi yayılmaya devam edebileceğini öngörmek güç değil. Veri bir kez sızdıktan sonra ne yaparsanız yapın ortadan tümüyle kaybolması mümkün olmuyor.
Site aracılığı ile erişilebilir kılınan detaylı akrabalık ve kimlik bilgileri ile telefon numaralarının çeşitli sosyal mühendislik numaraları ile dolandırıcılık amaçlı kullanılacağını ve bu tip dolandırıcılıkların önümüzdeki dönemde artış göstereceğini öngörmek güç değil. Yine bütün bu veriler kullanılarak yapılabilecek kimlik sahtekarlıklarının da haddi hududu yok. Sızan veriler açısından baktığımızda önemli bir kısmı değiştirebileceğimiz veriler değil. Bu nedenle dolandırılmamak için herkes artık kendisini arayan herhangi birinin elinde bu verilerin olduğunu varsayarak davranmak zorunda. Ancak dolandırıcılıklar meselenin sadece bir ayağı. Sitede ücretli üyelikle erişilebildiği iddia edilen adres bilgisi gibi veriler ailesi, davalısı ya da eski partnerinin saldırısı gibi çeşitli riskler altında olan bu nedenle adresini gizli tutmaya çalışan kişiler için hayati bir mesele haline gelebilir.
Sızıntıda yer alan verilerden bir kısmının salt devletin elinde olması gereken veriler olması kişisel verilerimizin güvenliği açısından bazı tartışmaları yapmamızı da zorunlu kılıyor. “Bu veri ihlali devletin hangi kurumlarındaki hangi ihmaller zinciri sonucunda ve hangi yasal düzenlemelerin eksik olmasından dolayı oluşmuştur?” sorusu ilgili kurumların ilk elden kamuoyuna yanıtını vermesi gereken bir sorudur. Hatırlayanlarınız olacaktır, Eski İçişleri Bakanı Süleyman Soylu bir ay kadar önce shiftdelete.net’in Youtube kanalına konuk olmuş ve bu sırada akıllı telefonundan fotoğrafını çektiği kişinin kısa bir sürede kimliğini tespit edebilen özel bir uygulamanın da gösterimini yapmıştı. O dönemde bunun ciddi bir kişisel veri ihlali olduğu enine boyuna tartışılmıştı. Çeşitli devlet kurumlarının kişisel verilere ciddi bir yasal çerçeve olmadan çeşitli gerekçelerle ya da bahanelerle istedikleri gibi ulaşabilmesi devlet fişlemesi tartışmalarının yanı sıra verilerin daha kolayca sızması gibi sonuçlar da doğurabiliyor. Sızıntı üzerine yürütülecek soruşturma hasıraltı edilmez de sonuçları kamuoyu ile paylaşılırsa muhtemelen veriye anlamsızca ve gerçekte yetkisizce erişebilen bir ya da birkaç devlet kurumundan kötü niyetli kişilerce sızdırıldığı bir tablo ile karşılaşabiliriz. İkinci bir olasılık ise bu verilere erişebilen bir ya da birkaç kamu kurumunun sistemlerinin hacklenmiş olması.
Yukarıda andığım iki olasılık da devlet kurumlarının kişisel verilere toplu erişimini sistemik olarak yasaklayarak, tekil olarak erişimi ise izne tabi, sınırlı ve kayıt altında tutarak engellenebilir ya da sızıntının boyutu asgariye indirilebilirdi. Ancak devletin kurumlarının kişisel verilerimize erişimine dair iktidarın tutumu Eski İçişleri Bakanının akıllı telefonundan kişisel verilerimize istediği gibi erişebilmesi oldu. Mevcut veri sızıntısından çıkartılması gereken bir ders varsa o da devlet kurumlarının kişisel verilere erişimine dair yasa ve yönetmeliklerin kimsenin ve hiçbir kurumun keyfi erişimine izin vermeyecek; kişisel verilerimizin güvenliğini güvenlik paranoyalarından, yetkilerin kötüye kullanılmasından vb. öncelikli tutacak şekilde acilen güncellenmesi gerektiğidir. Bu tipte düzenlemelerin olmadığı hemen her durum devlet kurumlarından olası sızıntı ihtimalini arttıracaktır.”