Milyonlarca vatandaşın e-Devlet’te olması gereken kişisel verilerinin yine çalındığı ortaya çıktı. Çalınan kişisel bilgilere yayınlayan internet sitesine VPN ile bağlantı kurup rastgele bir e-posta üye olan kullanıcılar İçişleri Bakanlığı kayıtlarındaki güncel adres ve telefon numaralarına ücretsiz olarak ulaşılabilirken banka, tapu, sağlık, işyeri ve araç bilgileri ise 10 dolara satın alabiliyor.
BirGün’den İsmail Arı’nın haberine göre, milyonlarca vatandaşın kişisel bilgilerini çalan internet sitesinde güncel veriler bir kez daha paylaşıldı.
Kişisel verilerin yayımlandığı bu internet sitesinde, İçişleri Bakanlığı’nın Merkezi Nüfus İdaresi Sistemi’ndeki (MERNİS) “Ad-soyad, T.C. kimlik numarası, aile, soy, adres, hastane bilileri ile cep telefonu numaraları” paylaşıldı. Üstelik tüm bu bilgilerin yer aldığı siteye VPN dahi kullanmadan ulaşılabiliyor.
VIP sorgu bölümünde ise ücretli üyelik ile daha fazla bilgiye erişilebiliyor. Haftalık 10, aylık 20 ve yıllık 90 dolar üyelik ücreti ile “Evlilik, soyağacı, tapu, işyeri, meslek, ehliyet, araç, plaka, okul ve üniversite, ilaç ve İBAN” bilgilerine ulaşılabiliyor. Sitenin 13 bin 328 kullanıcısı olduğu ve herhangi bir kayıt tutulmadığı da açıklanıyor.
TMMOB Bilgisayar Mühendisleri Odası Başkanı Cem Nuri Aldaş ise daha önce de benzer skandallar yaşandığını, oda olarak Bilgi Teknolojileri ve İletişim Kurumu (BTK) ile Cumhurbaşkanlığı Dijital Dönüşüm Ofisi’ne gönderdikleri yazılara bir yanıt verilmediğini ifade etti.
Aldaş şunları aktardı: “Sadece e-Devlet yöneticisi olan Türksat ‘e-Devlet’te veri tutulmuyor’ diye yanıt verdi. Bu kadar verinin e-Devlet dışındaki yerlere, yani ayrı ayrı 20-30 yere sızılarak elde edilmesi mümkün değil diye düşünüyorum. Geçmişte farklı dönemlerde farklı durumlarla karşılaştık. 2019’da kredi kartı bilgileri çalındı. Başka bir dönem seçmen kütükleri çalındığı bilgisi yayıldı. Sorularımıza hiç yanıt alamadık. Şimdi de bazı verilerin satıldığı anlaşılıyor. İnsanların adreslerine bu şekilde kolayca ulaşılabilmesi cinayete dahi yol açılabilir. İnsanların adreslerinin öğrenilmesi, çalıştığı yerin öğrenilmesi tehlikeli bir durum. Bu tür sızmalara karşı kolaylıkla önlemler alınabilir. Uygulamaların güvenlik testlerinin yapılması gerekiyor.”
Bilgisayar Mühendisleri Odası’nın bu sürece aktif olarak katılması gerektiğini belirten Aldaş, “Mesleki denetim olmalı. Şimdi son skandalda, bir açık olduğu ve hâlâ güncellenen yeni bilgilere erişildiği, mekanizmanın hâlâ işlediği ve veri akışının sürdüğü anlaşılıyor. Yani veri sızıntısı olan açık hâlâ kapatılmamış. Deprem gibi durumlar dahi internet yavaşlatılırken ama kişisel verilerin yayınladığı siteye hâlâ müdahale edilmediğini görüyoruz. Hızlıca tedbir alınmalı ve kamuoyuna bir açıklama yapılmalı” dedi.
TESPİT EDİLEBİLİR
Skandalı BirGün’e değerlendiren İstanbul Barosu Bilişim Hukuku Merkezi kurucusu avukat Gökhan Ahi ise “Kişisel verileri çalmanın, yaymanın ve satmanın cezasına” değinerek, “Kişisel veriler ile ilgili suçlar, Türk Ceza Kanunu’nun 135 ve 136’ncı maddelerinde tanımlanmıştır. Kişisel verileri hukuka aykırı olarak kaydeden kişilere, bir yıldan üç yıla kadar hapis cezası verilirken, bu verilerin özel nitelikli kişisel veriler olması halinde verilecek ceza yarı oranında artırılır. Kişisel verileri hukuka aykırı olarak paylaşan, yayan veya ele geçiren kişilere ise iki yıldan dört yıla kadar hapis cezası öngörülmektedir. Ayrıca kişisel verileri ile ilgili suçların, kamu görevlilerince ve belli mesleklere sahip kişilerce İşlenmesi halinde verilecek cezalar yarı oranında artırılmaktadır” ifadelerini kullandı.
“Kişisel verileri yayımlayıp satanlar kadar, bu verilerin kasten ya da ihmalen ele geçmesini sağlayanlar, gerekli idari, hukuki ve teknik tedbirleri almayanlar da zincirleme olarak sorumludur” diyen Ahi sözlerini şöyle sürdürdü: “Aslında yapılması gereken en uç noktadan ilk noktaya kadar etkin ve derin bir soruşturma yapılmasıdır. Açık noktası, İçişleri Bakanlığı olduğu kadar diğer kamu kurumları, bankalar, sigorta şirketleri, sağlık kurumları ve siyasi partiler dahi olabilir. Etkin bir soruşturma ve derinlemesine analiz ile kişisel verilerin ortalığa saçılmasını sağlayanlar tespit edilebilir.”