/ anonymous

Sızdırılan kimlik bilgilerinin perde arkası

Tarih 15 Şubat 2016, her şey Anonymous’un Twitter hesabından atılan bir tweet ile başladı.

Milyonlarca kişinin kimlik bilgilerinin bulunduğu veritabanı gün yüzüne çıkartıldı. Yıllardır el altından satılan bu veritabanı nasıl bu günlere geldi detaylı olarak anlatacağım.

2009 yılında bir hukuk forumunda açılan bu konuya bakalım. (Arşiv linki)

Screen Shot 2016-04-05 at 13.40.53
Konuyu açan avukat, kendilerine gelen şahısların bu programı satmak istediğini söylemiş.

Screen Shot 2016-04-05 at 13.42.50
Aynı programın satılmaya çalışıldığı diğer bir avukat, satıcılara bu verilerin kaynağını sormuş ve YSK’nın muhtarlıklarda astırdığı seçmen bilgilerinin tamamının program haline getirilmiş hali cevabını almış.

Bunlar sadece foruma yansıyan satışlar. Programın bu şekilde onbinlerce avukata satılmış olması büyük bir ihtimal.

Bir avukat MERNİS sisteminden bahsetmiş. Bahsedilen MERNİS’in tanımı Nüfus ve Vatandaşlık İşleri Müdürlüğü’nün web sitesinden yapılmış. Tanıma göre;

MERNIS ile; Nüfus ve Vatandaşlık İşleri Genel Müdürlüğünde bir bilgi bankası oluşturularak, nüfus kütükleri üzerinde tam anlamıyla hukuki ve teknik açıdan denetim sağlanmıştır.

MERNIS kapsamında Vatandaşlarımıza verilen T.C. Kimlik Numarası, kimliği belirleyen tek ve değiştirilemez bir numaradır. T.C. kimlik numarası uygulaması ile mükerrer kayıt yaratılmasının her alanda tamamen önüne geçilmiştir.

Yüzyılı aşkın süredir nüfus kayıtları, kayıtlı bulunulan yer nüfus müdürlüğünden temin edilmekte iken; MERNIS’in hayata geçmesiyle birlikte, bu kayıtlar kayıtlı olduğu yere bakılmaksızın herhangi bir nüfus müdürlüğünden on-line olarak anında temin edilir hale gelmiştir.

Forumdaki başka bir avukat ise satış yapan bu şahıslar hakkında suç duyurusunda bulunduğunu ve Mersin ağır ceza mahkemesi tarafından 7 sanığın yargılandığını söylemiş.

Şimdi de 2009 yılındaki bu habere bakalım. (Arşiv linki)

Haber7.com’da programın satıcısıyla röportaj yapılmış ve programın internette satışa sunulduğuna dair bir haber yapılmış. 500 TL’ye satılan bu program sayesinde 18 yaşından büyük tüm vatandaşların kimlik bilgilerine ve adresine ulaşılabildiğini söylemiş ama bu bilgilerin nasıl elde edildiğini açıklamamış. Satıcı ayrıca verilerin yasadışı olmadığını ve YSK’nın  astırdığı seçmen bilgilerin derlenmiş hali olduğunu söylemiş. Buradan forumdaki bir avukata verilen cevaptan aynı kişiler olduğunu anlayabiliyoruz.

Bu konu hakkında yazdığım diğer makalemde de belirttiğim araştırmalarımdan bahsedelim.

2010 yılında bir kişi Linux.org.tr mail listesine şöyle bir soru sormuştu;

Merhaba Arkadaşlar.
Localde delphide yazılmış mysql kullanan bir programı web üzerine taşımak istiyoruz. Program database olarak mysql kullanmış ve mysql verileri şifrelenmis durumda.
Programdan isim – soyisme göre arama yapıldığında mysqlde görülen sql query örneği:
“SELECT RND3PIFIX, RNDGG4FL3, RND7 0UWQP, RNDPOV6BQ, RNDY5YM2W, RNDU0XFY2

Yazdığı sorudaki SQL örneğinden, Anonymous’un ortaya çıkarttığı veritabanındaki tablo ve kolon isimleriyle aynı olması bunu kanıtlamıştı.

Yıl 2016.

Zaten onbinlerce kişide olan bu bilgiler, Anonymous’un tweet’i ile, artık milyonların eline düştü. 15 Şubat 2016 tarihinde Anonymous’un yayınladığı Türkiye’deki vatandaşların bilgileri makalesinde bu konu hakkında yazmıştım.

3 Nisan 2016 günü Hacker News’te açılan bu konuya rastladım. Bu sefer de Anonymous’un ortaya çıkarttığı şifreli veritabanının decrypt edilmiş olarak .sql dosyası halinde yayınlanmış.

Bu da veritabanını yayınlayan web sayfasından bir ekran görüntüsü;

Screen Shot 2016-04-05 at 14.45.54

Sayfanın alt tarafında da torrent bağlantısı bulunuyor ancak indirmenizi yasal sebeplerden tavsiye etmem. Zaten Türkiye’den erişimi engellenmiş.

Bilgilerin ortaya çıkışını araştırmalarım sonucunda bu makalede topladım. Umarım bazı sorular cevaplanmıştır. Verilerin nasıl elde edildiği hala sır ancak büyük bir ihmalin olduğu da bir gerçek.