15 Şubat 2016 tarihinde Anonymous’un Twitter hesabından atılan bir tweet ile başladı. Milyonlarca kişinin kimlik bilgilerinin bulunduğu veritabanı gün yüzüne çıkartıldı. Yıllardır el altından satılan bu veritabanı bu günlere nasıl geldi? Yaptığım bu küçük araştırmanın sonuçlarını sizlerle paylaşacağım.

İlk olarak 2009 yılında bir hukuk forumunda açılan bu konuya bakalım.

hukuk forumu 1

Konuyu açan bir avukat yanına gelen şahısların önceki yazıda incelediğimiz bu programı kendisine satmak istediğini söylemiş ve suç olduğunu düşünüp satın almamış.

hukuk forumu 1

Aynı programın satılmaya çalışıldığı diğer bir avukat ise satıcılara bu verilerin kaynağını sormuş ve “YSK’nın muhtarlıklarda astırdığı seçmen bilgilerinin tamamının program haline getirilmiş hali” cevabını almış.

Tabi bunlar sadece foruma yansıyan satışlar. Programın bu şekilde kaç kişiye satıldığı konusunda bir bilgi yok.

Bir avukat MERNİS sisteminden bahsetmiş. Bahsedilen MERNİS’in tanımı Nüfus ve Vatandaşlık İşleri Müdürlüğü’nün web sitesinden yapılmış. Tanıma göre;

MERNIS ile; Nüfus ve Vatandaşlık İşleri Genel Müdürlüğünde bir bilgi bankası oluşturularak, nüfus kütükleri üzerinde tam anlamıyla hukuki ve teknik açıdan denetim sağlanmıştır. MERNIS kapsamında Vatandaşlarımıza verilen T.C. Kimlik Numarası, kimliği belirleyen tek ve değiştirilemez bir numaradır. T.C. kimlik numarası uygulaması ile mükerrer kayıt yaratılmasının her alanda tamamen önüne geçilmiştir. Yüzyılı aşkın süredir nüfus kayıtları, kayıtlı bulunulan yer nüfus müdürlüğünden temin edilmekte iken; MERNIS’in hayata geçmesiyle birlikte, bu kayıtlar kayıtlı olduğu yere bakılmaksızın herhangi bir nüfus müdürlüğünden on-line olarak anında temin edilir hale gelmiştir.

Forumdaki başka bir avukat ise satış yapan bu şahıslar hakkında suç duyurusunda bulunduğunu ve Mersin Ağır Ceza Mahkemesi tarafından 7 sanığın yargılandığını söylemiş.

Şimdi, 2009 yılında yayınlanan bu habere bakalım. Haber7.com’da vatandaşlara ait bilgilerin bulunduğu programın satıcısıyla röportaj yapılmış ve programın internette satışa sunulduğuna dair bir haber yapılmış. 1500 TL’ye satılan bu program sayesinde 18 yaşından büyük tüm vatandaşların kimlik bilgilerine ve adresine ulaşılabildiğini söylemiş fakat bu bilgilerin nasıl elde edildiğini açıklamamış. Satıcı ayrıca verilerin yasadışı olmadığını ve YSK’nin astırdığı seçmen bilgilerinin derlenmiş hali olduğunu söylemiş. Buradan forumdaki bir avukata verilen cevaptan aynı kişiler olduğunu anlayabiliyoruz.

2010 yılında yine bir kişi linux.org.tr mail listesine şöyle bir (arşiv) soru sormuştu:

Merhaba Arkadaşlar. Localde delphide yazılmış mysql kullanan bir programı web üzerine taşımak istiyoruz. Program database olarak mysql kullanmış ve mysql verileri şifrelenmis durumda. Programdan isim – soyisme göre arama yapıldığında mysqlde görülen sql query örneği: “SELECT RND3PIFIX, RNDGG4FL3, RND7 0UWQP, RNDPOV6BQ, RNDY5YM2W, RNDU0XFY2

Yazdığı sorudaki SQL örneğinden, Anonymous’un ortaya çıkarttığı veritabanındaki tablo ve kolon isimleriyle aynı olması bunu kanıtlamıştı.

Yıl 2016.

Zaten onbinlerce kişide olan bu bilgiler, Anonymous’un tweet’i ile artık milyonların eline düştü. 15 Şubat 2016 tarihinde Anonymous’un yayınladığı Türkiye’deki vatandaşların bilgileri makalesinde bu konu hakkında detayları bulabilirsiniz.

3 Nisan 2016 günü Hacker News’ta açılan bu konuya rastladım. Bu sefer de Anonymous’un ortaya çıkarttığı şifrelenmiş veritabanının decode edilmiş versiyonu, birileri tarafından SQL formatı halinde getirilmiş ve bir not eklenerek paylaşılmış.

Veritabanının yayınlandığı web sayfasından bir ekran görüntüsü: leak web page

Sayfanın en altında veritabanının bulunduğu bir arşiv dosyasına ait Torrent linki bulunuyordu ve o sırada bu web sayfasına Türkiye’den erişim engellenmiş durumdaydı.

Vatandaşlara ait bilgilerin ortaya çıkışını araştırmalarım sonucunda bu makalede topladım. Umarım bazı sorular cevaplanmıştır. Verilerin nasıl elde edildiği hala sır ancak büyük bir ihmalin olduğu da bir gerçek.