Türkiye’de hepimize hayatı eskisine göre çok daha kolay yapan bir sistem var: E Devlet.
TC kimlik numaramız ve bir şifreyle giriyoruz, pek şok işimizi burada görüyoruz, bizimle ilgili sağlıktan mal varlığımıza her türlü bilgiye buradan erişebiliyoruz.
Bu sistem herkese hayatı kolaylaştırıyor ama başından beri de sistemin güvenliği bir endişe kaynağı. Çünkü biz nasıl kendi bilgilerimize bir adımda erişebiliyorsak, kötü niyetli bilgisayar korsanları da erişebilir.
Nitekim uzun yıllar içinde defalarca bu sistemden büyük çaplı bilgi hırsızlıkları olduğuna dair haberler çıktı. Çalınan bilgilerden bir tanesi özellikle önemli: Hepimizin nüfus kayıt bilgilerine buradan erişilebiliyor. Bu bilgileri çalan hırsızların bunları terör örgütlerine ve suç şebekelerine sattığı, o sebeple Türkiye’de çok sayıda kimlik hırsızlığı vakası yaşandığı, olmadık kişilerin isimlerine terör örgütleri adına yurt dışından para transferleri yapıldığı sık sık adliyelere yansıyan olaylar.
Devlet bilgi hırsızlığını hep inkar etti
Ancak bu hırsızlıklar her zaman resmi yetkililer tarafından yalanlandı. Hatta hırsızlığı belgeleyen kimi gazeteciler aleyhine davalar açıldığı, onların tutuklandığı bile oldu. Devlet, sistemde sızıntı olduğunu hiçbir zaman resmen doğrulamadı, bazı olaylar inkar edilemez derecede ortaya çıktığında ise olan bitenin boyutunu küçük göstermeyi tercih etti.
Ancak iki hafta önce İstanbul’da Anadolu Cumhuriyet Başsavcılığı tarafından yürütülen ve Emniyet Müdürlüğü Siber Suçlarla Mücadele Dairesince yapılan bir operasyonda ortaya çıkanlar, e-devletin delik deşik olduğunu, buradaki her çeşit kişisel bilginin çalındığını, çalınmakla kalmayıp bu bilgileri derleyen birilerinin onları artık internet üzerinden reklam vererek satacak bir çeşit “e-ticaret” sitesi bile kurduklarını ortaya koydu.
İşte o ‘Panel’. Öyle bir arayüz yapmışlar ki, site içinde arama yapmak bile mümkün. Tek ekrandan her şeye erişiyorlar.
44 kişi tutuklandı
Polisin yaptığı kapsamlı operasyonlarda çok sayıda insan gözaltına alındı, bunlardan 44’ü tutuklandı. Bu, bugüne kadar ortaya çıkarılmış en geniş çaplı siber çete.
Bu çeteyle ilgili hazırlanan fezleke basına sızdı. Sabah gazetesinde yayınlanan habere göre çete, “Panel” adını verdiği bir sistemde bizlere ait ele geçirilmiş bütün bilgileri neredeyse tek bir ekranda toplamış ve bunları satıyordu. Bu “Panel”i kurup bilgilerimizi satanların bir bölümü 18 yaşından da küçüktü üstelik.
Siber Suçlarla Mücadele Daire Başkanlığına gönderilen araştırma raporlarının incelenmesi neticesinde vatandaşlara ait kişisel iletişim, adres, tapu bilgileri, eğitim bilgileri vs. gibi kişisel verilerin illegal bir şekilde ele geçirildiği ve sosyal medya platformlarında ücret karşılığı satıldığı ortaya çıkmıştı. Geçtiğimiz haftalarda yapılan operasyonda 44 şüpheli tutuklanmıştı.
Tutuklananlar bilgileri çalanlar değil satanlar
Kamu kurumlarına ait sistemlerden yasa dışı yollarla kişisel verileri ele geçirerek satışını yapan bu yapılanmayla ilgili İstanbul Anadolu Cumhuriyet Başsavcılığı, yürüttüğü soruşturma kapsamında fezleke hazırlayarak dosyayı İstanbul Cumhuriyet Başsavcılığı’na gönderdi. Fezlekenin detaylarında çarpıcı iddialar yer aldı. Panel sisteminde 76 şüphelinin tespit edildiği ve birçok yasa dışı “sorgu paneli”nin kapatıldığı bildirildi.
Savcılık fezlekesinde açıkça yazmıyor ama yakalanan 76 kişi ve tutuklanan 44 kişi bilgileri çalanlar değil, bu çalınmış ve bir süreden beri internette eleden ele dolaşan bilgileri derleyip satmaya çalışanlar.
‘Panel’de klasörler ve alt klasörler gayet düzenli.
Nasıl çalındı bilgiler?
E-devletin güvenli olduğunu öne sürenler bugüne kadar hep “Tek bir sistem yok, çok sayıda sistem var, hepsine birden sızılamaz” diyorlardı.
Aslında söyledikleri bir bakıma doğruydu, çünkü e-devlet uygulaması bir arayüz. Sizin kimliğinizi kontrol ediyor, eğer doğru bilgileri girdiyseniz sizin tek tek her kamu kurumuna erişiminizi sağlıyor. Sistemden bilgi çalmak için her Türk vatandaşının ayrı ayrı kimliğini ve şifresini bilmek gerekiyor.
Ama unuturulan bir konu var: Bu sistemin bazı “süper kullanıcı”ları var, onlar bilgilere toplu halde ulaşabilen kişiler.
Örneğin doktorlar, herkesle ilgili e-nabız bilgilerine, yani geçmişteki bütün sağlık kayıtlarınıza, bunlara röntgen filmleri, MR taramaları vs de dahil ulaşabiliyorlar.
Veya kargo şirketleri sizin adres bilgilerinize, avukatlar adli sicil bilgilerine vs erişebiliyorlar.
Ayrıca kamu kurumlarında çalışan bazı “süper kullanıcı”lar da var. Onlar da kendi kurumlarında bütün bilgileri görebiliyor. Trafik çevirmesinde sizi durduran polis memuru elindeki tabletten sizinle ilgili suç kayıtları dahil her türlü polisiye bilgiye ulaşabiliyor.
İşte hırsızlık da temelde bu “süper kullanıcı”lara erişerek yapılıyor.
Olta atıp ‘süper kullanıcı’ yakalamak
Fezlekede, şüphelilerin çeşitli oltalama (phishing) yöntemleriyle kamu kurumlarındaki yetkili kullanıcı hesaplarını, kimlik numaralarını, tapu kayıtlarını, adli sicil kayıtlarını, adres ve GSM bilgilerini, sağlık, seyahat vb. birçok kişisel bilgileri ele geçirdiği ve bu hesaplar üzerinden vatandaşlara ait kritik bilgilere erişim sağladıklarının altı çizildi. Elde edilen bu verilerin de “checker paneli” adı verilen illegal sorgulama sistemlerine dönüştürülerek internet üzerinden satışına sunulduğu vurgulandı.
Savcılık hazırladığı fezlekesinde, soruşturmada yalnızca vatandaşların değil, devlet büyükleri, milletvekilleri, polisler, savcılar ve askerlerin de kişisel bilgilerinin ele geçirildiğini, ayrıca bu bilgilerin tehdit ve şantaj amacıyla kullanıldığını belirtti.
Dark Web’de ilan da vermişler kişisel bilgilerimizi satmak için.
Sosyal medyada satıyorlardı
Bu yasa dışı panellerin birçoğunun Telegram grupları, Dark Web platformları ve çeşitli internet siteleri aracılığıyla faaliyet gösterdikleri kaydedilirken larschecker.com.tr, illegaltoplum.org, jaguarclani.com, wlozinoyun.online” gibi internet sitelerinin de bu sistemin bir parçası olduğu ifade edildi.
Fezlekede savcılık tarafından tespit edilen şüphelilerin bazılarının aktif olarak illegal sitelerin yöneticiliğini yaptıkları, bazılarının ise aktif rol oynadıkları açıklandı. “Tavşancık, mamix, wlozin, artunx” gibi takma adlar kullanan şüphelilerin sistemdeki rollerine göre panel kurucuları ve yöneticileri ile panel kullanıcıları ve veri sorgulayıcılar olarak ikiye ayrıldıkları belirlendi.
‘Dolandırıcı Tavşancık’ın marifetleri
Panel kurucu ve yöneticilerinin sistemin ana omurgasını oluşturdukları, illegal siteleri kurarak bu siteleri işlettikleri anlatıldı. Panelleri VPN sistemiyle ulaşılabilir kılan şüphelilerin kurdukları sitelerde Mernis, sicil, telefon, eğitim, tapu gibi kişisel veri sorgulamalarının yapılmasını sağladıkları kaydedildi.
Fezlekede birtakım şüphelilerin YSK verileri, GSM bilgileri ve çalıntı kredi kartı verilerinin satıldığı bir sistem oluşturduklarının altı çizilirken şüphelilerden “Dolandırıcı Tavşancık” takma adına sahip Mustafa B.’nin ise E-Okul, Ehliyet, Röntgen, Tapu, GSM gibi bilgileri satan sorgu panelleriyle bağlantısının ortaya çıktığı bildirildi. Ayrıca şüphelilerin yakalanmamak için farklı kişilere sanal sunucu kiraladığı da belirtildi.
‘Merak edip baktık’ dediler
Şüphelilerin savcılık ifadelerinin de yer aldığı fezlekede, şüphelilerden çoğunun suçlamaları reddettiği, bazılarının ise arkadaşlarının bilgilerini merak ettikleri için bu işe kalkıştıklarını söyledikleri anlatıldı. Şüpheliler her ne kadar illegal siteleri oyun oynama amaçlı açtıklarını iddia etse de dosyaya giren bilirkişi raporları sitelerin yasa dışı sorgulamalar için kullanıldığını doğruladı.
Sadece ad, soyad, TC kimlik numarasının değil, kişinin ekonomik, sosyal, fiziki bilgileri, IP adresi, ses kaydı, hobileri, tercihleri, görüştüğü kişiler, verdiği aidat tutarı, gibi bilgilerin de kişisel veri olduğu anlatılan fezlekede, öğrenildiği takdirde kişiyi mağdur edecek veya ayrımcılığa uğrayacak verinin ise özel nitelikte kişisel veri olduğu vurgulandı.
Bu verilerin ise kişinin açık rızası dahilinde, beden bütünlüğünün korunması için zorunlu olması, kamu sağlığının korunması gibi nedenlerle işlenebileceği anlatılan fezlekede, bunların da faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla işlenebileceğine vurgu yapıldı.
Fezlekede, günümüzde küresel çapta görülen kişisel ve kurumsal her türlü verinin açığa çıkartılması, sadece vatandaşlar açısından güven sorunu değil, ulusal ve küresel güvenliği tehdit edebilecek sorunlara da yol açabildiği anlatıldı.
