108 milyon yurttaşın tüm kişisel verileri çalındı, BTK verileri koruyamadığını kabul ederek Google’dan yardım istedi

Resmi kurumlarda kaydı olan 108 milyon yurttaşın kimlik numaralarından ev adreslerine kadar tüm şahsî dataları çalındı. Çalınan datalar arasında 82 milyon kişinin ikamet adresi ve 134 milyon da GSM numarası yer aldı. Verileri korumakla yükümlü olan BTK, dataları koruyamadığını kabul ederek Google’dan yardım istedi.

Free Web Turkey’den Ali Safa Korkut’un haberine göre, resmi kurumlarda kaydı olan 108 milyon yurttaşın isim, soyad, tc kimlik numarası, aile sıra numarası, birey sıra numarası, doğum tarihi, doğum yeri; nüfusa kayıtlı oldukları il, ilçe ve köy, uygar durum, vefat tarihi, ikamet adresi ve cep telefonu numarasından oluşan ferdî bilgileri çalındı.

Verileri çalan bilgisayar korsanları, bunları “Yenilenmiş TC”, “Adres”, “GSM”, “101m” ve “GSM” (ikinci bir dosya) isimli beş farklı Google Drive evrakında topladı.

Verilerin çalındığını fark eden Ulusal Siber Olaylara Müdahale Merkezi (USOM), Google ile irtibata geçti ve “Kanunen yurttaşları kimlik avı akınları, kullanıcı hesaplarının ele geçirilmesi ve data sızıntıları benzeri her türlü siber atağa karşı korumakla yükümlüyüz” diyerek yardım talep etti.

Bilgi Teknolojileri ve İletişim Kurumu (BTK) bünyesinde fliyet gösteren USOM, “Bu doğrultuda, kritik kıymete sahip olduğu iddia edilen kimi dataların sisteminize muvaffakiyetle yüklendiğini kıymetle dikkatinize sunarız” ifadesiyle Google’a ilgili Drive belgelerinin temaslarını iletti ve “acil” koduyla “derhal” kaldırılmalarını istedi.

108 milyon TC kimlik numarası, 82 milyon kişinin ikamet adresi, 134 milyon GSM numarası

Türkiye Cumhuriyeti vatandaşı olup olmadığı fark etmeksizin, Türkiye’deki herhangi bir resmi makamda kaydı bulunan tüm yurttaşların bilgilerinin yer aldığı beş evrakın toplam boyutu 42,18 GB.

Çalınan bilgiler arasında 108 milyon 571 bin 832 bireye ait TC kimlik numarası, 82 milyon 322 bin 190 kişinin ikamet adresi ve 134 milyon 817 bin 279 cep telefonu numarası yer aldı.

İçinde milyonlarca şahsa ait ferdî bilgilerin bulunduğu belgelerin formatıysa data kaydı için tercih edilen ilk format olan XLS (Microsoft Excel) ya da CSV değil. Dataları çalan bilgisayar korsanları, belgelerin boyutunun büyük olması sebebiyle onları bir veritabanı yönetim sistemi olan MySQL’in MYD ve MYI formatlarında kaydetmiş.

MySQL, buna benzer büyük boyutlu bilgi setlerini kaldırabilecek veritabanı yönetim programlarından biri. Bu ve gibi programlar, veritabanına aynı anda yüzbinlerce istek gönderebilme kapasitesine sahip olduğu için bu dataları işlemek isteyenler buna benzer programları kullanıyor. 

BTK’dan Google’a: İşbirliğinizi rica ediyoruz

Google’dan işbirliği yapmasını “rica eden” USOM, aynı vakitte ilgili evrakları Drive’a yükleyen kişi ya da şahısların kullanıcı hesap kimlikleri, IP adresleri ve port numaralarını da istedi. 

Şirkete gönderilen 29 Temmuz ve 3 Eylül tarihli iki başka yazıda USOM, “Bu mevzudaki süratli cevabınız, etkilenen kullanıcıların bütünlüğünü ve güvenliğini korumak açısından büyük değer taşımaktadır” dedi.

MLSA suç duyurusunda bulunmuştu

Free Web Turkey, şahsî bilgilerin çalındığını 2023 yılında da ortaya çıkarmış ve bunun üzerine İçişleri Bakanlığına dava açmıştı. Açılan davanın reddedilmesi üzerine mevzuyu Anayasa Mahkemesi’ne taşıyan MLSA Hukuk Ünitesi, dataları korumakta ihmal gösteren yönetimin özel hayatın kapalılığını, ifade özgürlüğünü ve adil yargılanma hakkını ihlal ettiğini savundu. MLSA’ya göre ferdî bilgilerin açıkça yayınlanması bilgileri açıklanan milyonlarca kişi için büyük bir tehdit oluşturuyor.