Dün gece (15 Şubat 2016 günü) Anonymous tarafından yayınlanan Türkiye’deki vatandaşların büyük bölümünün kişisel bilgilerinin bulunduğu veritabanına, Ekşi Sözlük’te açılan bu başlıkla haberim oldu. Başlığı açan kişi sonradan sildiyse de gönderdiği içeriğe erişebilme şansı buldum. Anonymous’un Twitter hesabından (@YourAnonNews) gönderilen tweet’te, Emniyet Genel Müdürlüğü’ne ait verileri yayınladıklarını iddia eddikleri bir sayfaya ait link bulunuyordu. İnternette edindiğim bazı söylentilere göre bu verilerin içerisinde Türkiye’deki vatandaşların bilgilerinin bulunduğu bir veritabanı mevcuttu.

Tweet’te verilen bir sayfada bir Torrent dosyasına ait indirme linki sunulmuştu. İçerisinde ülkedeki vatandaşlara ait bilgilerin bulunduğuna dair söylentilerin doğruluğunu kontrol edebilmem ve dosyaların içeriği hakkında bilgi edinebilmem için Torrent linkini kullanarak yayınlanan dosyayı indirmekten başka çarem yoktu. Zira herkes olup biteni anlamaya çalışıyordu ve vatandaşların tüm gerçekleri bilmeleri en doğal haklarıydı.

Dosya, .7z uzantısına sahip bir arşiv dosyasıydı ve sıkıştırılmış halde 2.8 GB iken, çıkartıldığında 17.8 GB boyutlarına ulaşıyor. Arşiv içerisinde bir adet “Sorgu.exe” ve MySQL ile ilgilenen kişilerin kolaylıkla anlayabileceği .MYI, .MYD, .frm uzantılarına sahip data dosyaları bulunuyor. Dosyaların değiştirilme tarihinde de 2009 yılı olduğu görünmekte.

phpmyadmin

MySQL data dosyalarını bir veritabanına aktarıp, phpMyAdmin’den görüntülediğim zaman her şeyin encode edilmiş (şifrelenmiş) veriler olduklarını farkettim. Toplamda 46,859,466 satır veri bulunuyordu. Bu da 46.8 milyon kişinin bilgileri demek oluyor. Veritabanında “rnd” ve “rnd001"den “rnd081"e kadar olan sayıların bulunduğu tablo isimleri bulunuyor. Tahminime göre oradaki sayılar il trafik kodları ve “rnd” tablosunda ise tüm illerde bulunan vatandaşların bilgileri bulunuyor.

phpmyadmin

Encode edilmiş tablo isimlerinen biri olan “RND3PIFIX” terimini Google’da arattırdım ve aşağıdaki sonucu buldum. 2010 yılında bir kişi tarafından linux.org.tr mail listesine bir soru sormuş. Soruda şunları söylemiş:

Merhaba Arkadaşlar.

Localde delphide yazılmış mysql kullanan bir programı web üzerine taşımak istiyoruz. Program database olarak mysql kullanmış ve mysql verileri şifrelenmis durumda.

Programdan isim – soyisme göre arama yapıldığında mysqlde görülen sql query örneği:

“SELECT RND3PIFIX, RNDGG4FL3, RND7 0UWQP, RNDPOV6BQ, RNDY5YM2W, RNDU0XFY2

Durum aslında sanıldığından da kötü. Yıllardır bazıların elinde bu veritabanı, bugün on binlerce kişiye geçiyor. Soru soran bu kişinin elinde olan veritabanını web üzerine taşıma fikrine belki de yüzlerce kişi daha ortak olmuştur.

Dosyada ayrıca bir “Sorgu.exe” bulunuyordu. Windows bilgisayarım olmadığından uzak bir Windows sunucusu kullandım. “Sorgu.exe”, veritabanındaki verileri decrypt eden bir programdı. Masaüstü uygulamaları hakkında detaylı bilgim olmadığından reverse engineering yaparak inceleme şansım olmadı. Ancak programın menüsünde bulunan “Hakkında” kısmında Yiğit Dalkıran adlı yazılımcı tarafından yazıldığı anlaşılıyor.

Program “libmysql.dll” isimli kütüphane olmadan çalışmıyor. Bu kütüphaneyi bulamadığında çalıştırırken hata veriyor. Bu yüzden internetten bulup indirdim. Program MySQL’a yalnızca root@localhost üzerinden bağlanıyor ve şifresinin olmaması gerekiyor.

Programı çalıştırdığımda ilk olarak kendi adımı yazdım ve veritabanında olmadığımı gördüm. Ancak bir çok tanıdığım insanın bilgilerine yalnızca isim, soyisim ve il girerek ulaşabildim. Aşağıda bu bilgilerin görüntülendiği pencereyi görebilirsiniz:

kisisorgu

Şu anda milyonlarca insanın bilgileri başka kişilerin elinde ve televizyonlarda ne bir son dakika ne de haber sitelerinde alakalı bir haber bulunuyor. İnsanların gerçekleri görmesine rağmen tepkisiz kalmaları gerçekten tuhaf.

Not: Yazıdaki tüm içerikler kamuyu bilgilendirme amacı taşımaktadır. Hiç bir kişisel veri yasadışı amaçlar için kullanılmamıştır. Vatandaşların gerçekleri öğrenmesi sağlanmıştır.

Yazının ikinci bölümü: Sızdırılan kimlik bilgilerinin perde arkası