Bir BTK skandalı

Bilgi Teknolojileri ve İletişim Kurumu’nun (BTK) “Online Şikayet Bildirim Sistemi”ne 12 Şubat'ta Anonymous grubu tarafından siber saldırı düzenlendi. Saldırı sonucunda ele geçirilen veritabanı dosyaları grubun Twitter hesabı üzerinden paylaşıldı. Paylaşılan veritabanlarında kuruma şikayet başvurusu yapan kişilerin isimleri, TC kimlik numaraları, e-posta adresleri, telefon numaraları gibi kişisel bilgileri bulunuyor. HaberVs, veritabanı üzerinden kişisel bilgileri paylaşılan kullanıcılara ulaştı. Kullanıcılar kişisel bilgilerinin başkalarının eline geçmesinden dolayı endişe ettiklerini belirtirken bir kısım kullanıcı da BTK’ya dava açmaya hazırlanıyor.

Turgut T. (Network Uzmanı-29) devletin üst düzey kademelerinde bulunan ve tüm telekomünikasyon kurumlarını denetleyen BTK’nın bilgilerini koruyamamasının hayal kırıklığı yarattığını söylüyor. Erotik yayın yapan bir internet şirketini şikayet etmek için bilgilerini BTK ile paylaşan M.B.K. (Kurumsal Satış Uzmanı-43) ise sitenin saldırıya uğradığını internetten öğrendiğini ve normal bir vatandaşın kişisel verilerine ulaşabilmesinden rahatsız olduğunu ifade diyor. BTK’ya verdikleri bilgilerin “kurumsal içerik” taşıdığını vurgulayan K., BTK’ya şirket adına dava açacaklarını aktarıyor.

BTK uyardı

Saldırının gerçekleşmesinin ardından durumun farkına varan BTK, kayıtlı kullanıcılarına aşağıdaki bilgiyi e-posta yoluyla gönderdi.

“Kurumumuz online şikayet sistemine bir siber saldırı gerçekleştirilmiştir.  Saldırı sonunda bazı bilgilerin elde edilmiş olması nedeniyle site faaliyeti geçici olarak kapatılmıştır. Bu konudaki Kurumumuz basın açıklamasını görmek için buraya tıklayınız.  Ayrıca adli merciler nezdinde gerekli işlemler tesis edilmiştir.
Bu nedenle, Kurumumuz online şikayet sistemine üye olurken kullanmış olduğunuz şifrenizi başka internet hesaplarınızda da kullanmaktaysanız, her hangi bir olumsuzlukla karşılaşılma ihtimaline karşı bu şifrenizi değiştirmenizin faydalı olacağı değerlendirilmektedir.
Bilgilerinizi rica ederiz.

Bilgi Teknolojileri ve İletişim Kurumu
Tüketici ile İlişkiler Müdürlüğü”

Murat A. (Bankacı-34) ise devlete bağlı bir kurumun kişisel verilerini depolamasından rahatsız olduğunu söylüyor: “Bilgilerin depolamasını bir kenara bıraksak bile asıl vahim olan bunların kaybedebilmesi. Vaktim olursa savcılığa başvurarak şikayetimi dile getireceğim.”

Kendisine gelen, istenmeyen bir e-postayı BTK’ya şikayet eden Hüseyin Y. (Ticaret-53), devlet kurumuna güvenerek bilgilerini paylaştığını ancak hayal kırıklığına uğradığını belirtiyor. En kısa zamanda dava açarak kurumu şikayet edeceğini de sözlerine ekliyor.

Kullanıcılar ne tür tehlikelerle karşı karşıya

Kişisel verileri kullanarak internette  neredeyse her türlü işlemi yapabilmek mümkün. Alternatif Bilişim Derneği’nden Özgür Uçkan, sadece T.C. kimlik numarası kullanılarak bile bir çok resmi işlemin kişiler adına yapılabileceğini söylüyor. Türkiye’de bu konuda çok ciddi açıklar bulunduğunu belirten Uçkan, bu bilginin üzerine, doğum tarihi, ev ve iş adresleri, cep ve sabit telefon numaraları ve e-posta adresinin eklenmesi durumunda bir tür “anonim vekalet” hazırlanabileceği tehlikesine dikkat çekiyor. Çoğu kişinin internetteki bir çok platformda aynı şifreyi kullandığına dikkat çeken Uçkan, şimdiden bu kişilerin e-posta ve sosyal medya sitelerindeki hesaplarının da ele geçirilmiş olabileceğini vurguluyor.

Konuyla ilgili başka bir örnek de İstanbul Bilgi Üniversitesi Bilgisayar Bilimleri Araştırma Görevlisi Emre Başar’dan:

“Düşünün ki siz HaberVesaire’nin sistem yöneticisisiniz ve biri bu veritabanındaki bilgilerle sizin e-posta adresinize ulaşıyor. Sonrasında ‘www.habervesaire.com’ adresinin kayıt edildiği firmaya giderek ‘Şifremi Unuttum’ işlemiyle e-posta adresine yeni şifreyi göndererek oradaki hesabınıza giriş yapıyor ve HaberVesaire’ye tüm erişimi kapatıyor. Bunu başaran kişi kendini bu kadar belli etmeden sitenin yönetim alanına girerek de kayıtlı kullanıcıların bilgilerini çalabilir. BTK’dan çıkan bu bilgiler sandığımızdan çok daha değerli olabilir.”

Bu bilgiler neden şifreli değil?

Uçkan ve Başar’ın dikkati çektiği bir başka nokta da paylaşılan veritabanındaki verilerin kriptolanmamış (şifrelenmemiş) olması. Uçkan, firmalara ait şifre bilgilerinin aynı veritabanında şifrelenmiş olmasına rağmen şikayette bulunan kullanıcı bilgilerinin neden şifrelenmediğini merak ediyor. Başar ise “şifreler veritabanlarında apaçık bir şekilde tutulamaz; bu öğrencilere en başta öğretilen bir bilgidir” diyerek şaşkınlığını dile getiriyor.

Veritabanında üçüncü parti siteye ait kişisel bilgiler de yer alıyor

Oyungezer dergisinden Sinan Akkol Facebook hesabı üzerinden veritabanında BTK ile alakası olmayan üçüncü parti bir siteye (www.sikayetvar.com) ait üyelik bilgilerinin yer aldığını duyurdu. HaberVs muhabirlerinin konuyla ilgili bilgi istediği Akkol, bunu fark etmesinin ardından hem BTK hem de Şikayet Var sitesiyle iletişime geçtiğini belirtti. Akkol BTK tarafından cevap alamadığını söyledi ve ekledi: “Şikayet Var'dan Nurgül Sayhan (Kurumsal İletişim Direktörü) ile konuştum. Bir dönem BTK'ya danışmanlık vermişler, bu veriler de ortak kullandıkları sunucularda kalmış. Şifrelerin çalındığını anladıklarında şifreleri değiştirmişler. Şikayet Var'ın açıklaması mantıklı, kullanıcı adım ve şifremin orada bulunmasının sebebini açıkladılar ama bunların unencrypted (şifresiz) bir şekilde orada bulunmasının hafifletici bir sebebi yok.” Olayla ilgili hukuki bir süreç izlemeyeceğini belirten Akkol sosyal medyayı kullanacağını aktardı.

 BTK’nın tüketici hizmetini kullanan kullanıcılarının özel hayata dair hassas bilgilerini neden ve hangi yetkiyle sakladığını merak ettiğini belirten Uçkan, bu durumun bağımsız olması ve kullanıcılara öncelik vermesi gereken düzenleyici bir kurumun, kişisel veri koruması konusundaki yetki aşımını ve vahim ihmalini gözler önüne serdiğinin altını çiziyor:

“BTK, interneti sansürlemek ve internet kullanıcılarını fişlemek gibi anayasaya ve ifade özgürlüğü, özel hayatın korunması türü temel haklara aykırı bu faaliyetlerinde gösterdiği çabayı internet kullanıcılarının gerçek güvenliğini korumaya geldiğinde göstermemektedir. Devleti vatandaşlardan korumaya odaklanmış bir kurumun vatandaşları korumakla ilgilenmemesi de doğaldır.”

Uçkan, BTK tarafından depolanan kişisel bilgilerle kurumun ne yaptığı üzerine ciddiyetle durulması gerektiğini de savunuyor. Bilgileri yetkisi dışında toplayarak güvensiz biçimde saklayan BTK’nın veritabanlarının internete yayılmasından ve bundan doğacak tüm mağduriyetlerden sorumlu olduğunu belirten Uçkan’a göre bilgileri elde edenler Türk Ceza Kanunu’ndaki “izinsiz girme, sistemin bütünlüğünü bozma ve ele geçirme” suçlarını işlemiş durumda. Uçkan, BTK’nın hem görevi ihmal hem de yetkisiz biçimde davranmaktan birinci derecede sorumlu olduğunu düşünüyor:

“BTK’nın hangi yetkiyle bu kadar kritik kişisel verileri sisteminde tuttuğu, bunları hangi amaçlar için kullandığı ve neden bu verilerin güvenliğini sağlamadığı sorgulanmalıdır.”

Uçkan’a göre kişisel şikayetler beklenmeden, acilen bir kamu davası açılmalı ve devletin kişisel verilerin korunması konusunda gösterdiği gayrimeşru tutumu aydınlatacak örnek bir davaya dönüştürülmeli. Davanın uluslararası standartlarda bir “Kişisel Verileri Koruma Kanunu” uyarınca açılamayacağına dikkat çeken Uçkan, “on küsur senedir Meclis’e gidip gelmesine ve tasarıda ciddi açıkların bulunmasına rağmen, Kişisel Verileri Koruma Kanunu’nun henüz yasalaşmadığına” dikkat çekiyor:

Anonymous

2003 yılında 4Chan sitesi üzerinden yayılmaya başlayan dünyaca ünlü siber saldırı grubu Anonymous, ırk, dil, din, ülke ve cinsiyet farkı gözetmeksizin yeryüzünde yapılan haksızlıklara sanal dünyanın sınırları çerçevesinde karşılık veriyor. Grup 2008’den sonra internet özgürlüklerine karşı  protesto ve duruşları ile uluslararası hackerlıkla bağdaştırılıyor.

  “Sansür yasası çıkartırken jet hızıyla çalışan Meclis, sıra kişisel verilerin korunmasına geldiğinde ayak sürümektedir. Bu davranışın asıl nedeni, hükümetin ve devlet kurumlarının paradigmasının hala vatandaşı devlete karşı tehdit olarak algılamak olmasıdır. Oysa vatandaşların devlete karşı korunduğu rejimlere demokrasi diyoruz. Bu durum da demokrasimizin ne kadar demokratik olduğunu gösteren çok sayıda örnekten biridir.”

Kişisel verilerin korunmasına yönelik olarak işletilebilecek belli sayıda düzenleme olduğunu söyleyen Uçkan, acilen BTK’ya karşı bir soruşturma başlatılması gerektiğini ve bir kamu davası açılması gerektiğinin özellikle altını çiziyor. Uçkan’a göre bu hukuksal süreç BTK gibi kurumların yetkilerini aşarak hukuka aykırı biçimde elde ettikleri kişisel veriler ve onların korunması konusunu yeniden gündeme taşıyabilecek örnek bir süreç olabilir.

“BTK'ya saldırının fiyakası büyük oluyor”
Ulaştırma, Denizcilik ve Haberleşme Bakanı Binali Yıldırım, BTK'ya yapılan siber saldırıyla ilgili bilgi verirken BTK'nın sistemine bir zarar gelmediğini. Sistemden vatandaşlara ait verilerin alındığını büyük bir rahatlıkla ifade etmişti. (15 Şubat 2012 TRT)