Verileri korumakla yükümlü olan Bilgi Teknolojileri ve İletişim Kurumu (BTK) verileri koruyamadığını kabul ederek Google’dan yardım istedi.
Free Web Turkey’den Ali Safa Korkut‘un aktardığına göre, 108 milyon yurttaşın çalınan verileri arasında ad soyad, tc kimlik numarası, aile sıra numarası, birey sıra numarası, doğum tarihi, doğum yeri; nüfusa kayıtlı oldukları il, ilçe ve köy, medeni durum, ölüm tarihi, ikamet adresi ve cep telefonu numarasından oluşan kişisel verileri bulunuyor.
BTK: Yükümlülük bizim, acil yardım rica ederiz
Verileri çalan bilgisayar korsanları, bunları “Yenilenmiş TC”, “Adres”, “GSM”, “101m” ve “GSM” (ikinci bir dosya) isimli beş farklı Google Drive dosyasında topladı.
Verilerin çalındığını fark eden BTK bünyesinde faaliyet gösteren Ulusal Siber Olaylara Müdahale Merkezi (USOM), Google ile iletişime geçti ve “Kanunen yurttaşları kimlik avı saldırıları, kullanıcı hesaplarının ele geçirilmesi ve veri sızıntıları gibi her türlü siber saldırıya karşı korumakla yükümlüyüz” diyerek yardım talep etti.
“Bu doğrultuda, kritik öneme sahip olduğu iddia edilen bazı verilerin sisteminize başarıyla yüklendiğini önemle dikkatinize sunarız” diyen USOM, Google’dan ilgili Drive dosyalarının bağlantılarını iletti ve “acil” koduyla “derhal” kaldırılmalarını istedi.
108 milyon kimlik numarası, 82 milyon ikamet adresi, 134 milyon GSM numarası
Türkiye Cumhuriyeti vatandaşı olup olmadığı fark etmeksizin, Türkiye’deki herhangi bir resmi makamda kaydı bulunan tüm yurttaşların verilerinin yer aldığı beş dosyanın toplam boyutu 42,18 GB.
Çalınan veriler arasında 108 milyon 571 bin 832 kişiye ait TC kimlik numarası, 82 milyon 322 bin 190 kişinin ikamet adresi ve 134 milyon 817 bin 279 cep telefonu numarası yer alıyor.
İçinde milyonlarca kişiye ait kişisel verilerin bulunduğu dosyaların formatıysa veri kaydı için tercih edilen ilk format olan XLS (Microsoft Excel) veya CSV değil. Verileri çalan bilgisayar korsanları, dosyaların boyutunun büyük olması sebebiyle onları bir veritabanı yönetim sistemi olan MySQL’in MYD ve MYI formatlarında kaydetmiş.
MySQL, bu tür büyük boyutlu veri setlerini kaldırabilecek veritabanı yönetim programlarından biri. Bu ve benzeri programlar, veritabanına aynı anda yüzbinlerce istek gönderebilme kapasitesine sahip olduğu için bu verileri işlemek isteyenler bu tür programları kullanıyor.
Korsanların bilgileri de istendi
Google’dan işbirliği yapmasını “rica eden” USOM, aynı zamanda ilgili dosyaları Drive’a yükleyen kişi veya kişilerin kullanıcı hesap kimlikleri, IP adresleri ve port numaralarını da istedi.
Şirkete gönderilen 29 Temmuz ve 3 Eylül tarihli iki ayrı yazıda USOM, “Bu konudaki hızlı yanıtınız, etkilenen kullanıcıların bütünlüğünü ve güvenliğini korumak açısından büyük önem taşımaktadır” dedi.
MLSA suç duyurusunda bulunmuştu
Free Web Turkey, kişisel verilerin çalındığını 2023 yılında da ortaya çıkarmış ve bunun üzerine İçişleri Bakanlığına dava açmıştı.
Bu iddialar Ulaştırma ve Alt Yapı Bakanı Abdulkadir Uraloğlu’na soruldu
Sağlık Bakanlığı’nın sisteminde bir veri sızıntısı yaşandığını kabul eden Uraloğlu, “Bu pandemi sürecindeki hatırlarsınız, sağlık sisteminden bir sızıntıdır. Pandemi sürecinde bazı bilgilerin maalesef belli şekliyle elde edilmiş olduğu doğru. O süreçte o maalesef önlenemedi” dedi.
65 BİN TL’YE SATILMIŞ
CHP'li Zeliha Aksaz Şahbaz, “2016 yılında SGK tarafından vatandaşların sağlık ve kişisel verilerinin toplamda 65 bin TL karşılığında bir takım şirketlere satıldığı bilgisi Sayıştay raporlarına yansımıştır. Bugün 85 milyon insanımızın en mahrem bilgilerinin Sağlık Bakanlığı’ndan sızdırıldığı itiraf ediliyor” dedi. İktidarın herkesin güvenliğini ve hayatını riske attığının ortada olduğunu belirten Şahbaz, “Daha önce parayla sattıkları mahrem kişisel verileri, bu defa gerekli önlemleri almayıp, sızdırıldı bahanesi ile kim olduğu belli olmayan şirketlere peşkeş çekmektedir. Savcılarını göreve davet ediyoruz” ifadelerini kullandı.