108 milyon yurttaşın tüm kişisel verileri çalındı, BTK verileri koruyamadığını kabul ederek Google’dan yardım istedi

Resmi kurumlarda kaydı olan 108 milyon yurttaşın kimlik numaralarından ev adreslerine kadar tüm ferdî dataları çalındı. Çalınan datalar arasında 82 milyon kişinin ikamet adresi ve 134 milyon da GSM numarası yer aldı. Verileri korumakla yükümlü olan BTK, dataları koruyamadığını kabul ederek Google’dan yardım istedi.

Free Web Turkey’den Ali Safa Korkut’un haberine göre, resmi kurumlarda kaydı olan 108 milyon yurttaşın isim, soyad, tc kimlik numarası, aile sıra numarası, birey sıra numarası, doğum tarihi, doğum yeri; nüfusa kayıtlı oldukları il, ilçe ve köy, uygar durum, mevt tarihi, ikamet adresi ve cep telefonu numarasından oluşan şahsî dataları çalındı.

Verileri çalan bilgisayar korsanları, bunları “Yenilenmiş TC”, “Adres”, “GSM”, “101m” ve “GSM” (ikinci bir dosya) isimli beş farklı Google Drive belgesinde topladı.

Verilerin çalındığını fark eden Ulusal Siber Olaylara Müdahale Merkezi (USOM), Google ile irtibata geçti ve “Kanunen yurttaşları kimlik avı hücumları, kullanıcı hesaplarının ele geçirilmesi ve data sızıntıları gibi her türlü siber hücuma karşı korumakla yükümlüyüz” diyerek yardım talep etti.

Bilgi Teknolojileri ve İletişim Kurumu (BTK) bünyesinde faaliyet gösteren USOM, “Bu doğrultuda, kritik kıymete sahip olduğu iddia edilen birtakım dataların sisteminize muvaffakiyetle yüklendiğini kıymetle dikkatinize sunarız” ifadesiyle Google’a ilgili Drive evraklarının temaslarını iletti ve “acil” koduyla “derhal” kaldırılmalarını istedi.

108 milyon TC kimlik numarası, 82 milyon kişinin ikamet adresi, 134 milyon GSM numarası

Türkiye Cumhuriyeti vatandaşı olup olmadığı fark etmeksizin, Türkiye’deki herhangi bir resmi makamda kaydı bulunan tüm yurttaşların bilgilerinin yer aldığı beş evrakın toplam boyutu 42,18 GB.

Çalınan bilgiler arasında 108 milyon 571 bin 832 bireye ait TC kimlik numarası, 82 milyon 322 bin 190 kişinin ikamet adresi ve 134 milyon 817 bin 279 cep telefonu numarası yer aldı.

İçinde milyonlarca şahsa ait şahsî dataların bulunduğu evrakların formatıysa data kaydı için tercih edilen ilk format olan XLS (Microsoft Excel) ya da CSV değil. Bilgileri çalan bilgisayar korsanları, belgelerin boyutunun büyük olması sebebiyle onları bir veritabanı yönetim sistemi olan MySQL’in MYD ve MYI formatlarında kaydetmiş.

MySQL, buna benzer büyük boyutlu bilgi setlerini kaldırabilecek veritabanı yönetim programlarından biri. Bu ve aynıi programlar, veritabanına anda yüzbinlerce istek gönderebilme kapasitesine sahip olduğu için bu bilgileri işlemek isteyenler buna aynı programları kullanıyor. 

BTK’dan Google’a: İşbirliğinizi rica ediyoruz

Google’dan işbirliği yapmasını “rica eden” USOM, vakitte ilgili belgeleri Drive’a yükleyen kişi ya da şahısların kullanıcı hesap kimlikleri, IP adresleri ve port numaralarını da istedi. 

Şirkete gönderilen 29 Temmuz ve 3 Eylül tarihli iki farklı yazıda USOM, “Bu bahisteki süratli cevabınız, etkilenen kullanıcıların bütünlüğünü ve güvenliğini korumak açısından büyük kıymet taşımaktadır” dedi.

MLSA suç duyurusunda bulunmuştu

Free Web Turkey, ferdî bilgilerin çalındığını 2023 yılında da ortaya çıkarmış ve bunun üzerine İçişleri Bakanlığına dava açmıştı. Açılan davanın reddedilmesi üzerine mevzuyu Anayasa Mahkemesi’ne taşıyan MLSA Hukuk Ünitesi, bilgileri korumakta ihmal gösteren yönetimin özel hayatın kapalılığını, ifade özgürlüğünü ve adil yargılanma hakkını ihlal ettiğini savundu. MLSA’ya göre şahsî bilgilerin açıkça yayınlanması bilgileri açıklanan milyonlarca kişi için büyük bir tehdit oluşturuyor.