Aytaç Güley’den hackleme iddialarına ilişkin detaylı açıklama: Güvenlik zafiyeti

İhtiyat Sandığı Dairesi’nin resmi internet sitesi üzerinde yer alan avans başvuru sayfasında kişisel veri güvenliği açığı bulan Aytaç Güley’in sosyal medya hesabı üzerinden bir açıklama yaptı.

Güley, “İhtiyat Sandığı Dairesi’nin resmi internet sitesi üzerinde yer alan avans başvuru sayfasında, yalnızca KKTC Kimlik Numarası girilerek kişilere ait anne adı, baba adı, sigorta sicil numarası, adı ve soyadı gibi kişisel verilerin kolaylıkla görüntülenebildiği tespit edilmiştir. Bu yapı, teknik anlamda hiçbir kimlik doğrulama, giriş kontrolü veya güvenlik katmanı içermemekte olup, sisteme dışarıdan bir müdahale veya hackleme olmadan, sadece mevcut sistemin tasarımı gereği bu veriler herkesin erişimine açık hale gelmiş durumdaydı” ifadelerini kullandı.  

Aytaç Güley, “Ayrıca kamuoyunun dikkatle sorması gereken başka önemli bir nokta daha vardır: İddia edildiği gibi sistemde bir veri tabanına sızma gerçekleşmiş olsaydı — ki aslında böyle bir zahmete gerek kalmamış, veriler zaten sistemin yapısı gereği halka açık bırakılmış durumdaydı — bu veriler veri tabanında şifrelenmemiş bir şekilde mi tutuluyordu? Kişisel verilerin, özellikle bu kadar hassas olanların, herhangi bir şifreleme (encryption) olmadan düz metin (plain text) halinde saklanıyor olması, Kişisel Verilerin Korunması Yasası’na açık bir aykırılık olduğu gibi, çok ciddi bir güvenlik zafiyetine işaret eder” dedi.

“VERİLERİN SAKLANMA YÖNTEMİNDE DE CİDDİ BİR İHMAL SÖZ KONUSU”

“Bu bağlamda, veri tabanına sızma gibi bir durumun yaşanması halinde bile, temel bir güvenlik önlemi olarak bu verilerin şifrelenmiş biçimde saklanması beklenirdi” açıklamasını yapan Güley, şöyle devam etti:

“Ancak yapılan açıklamalarda bu türden bir güvenlik önleminin dahi alınmadığı anlaşılmakta ve bu durum, ilgili yazılım firmasının temel bilgi güvenliği prensiplerine dahi uymadığını göstermektedir. Dolayısıyla güvenlik açığı yalnızca dışarıdan erişimle sınırlı kalmayıp, verilerin saklanma yönteminde de ciddi bir ihmal söz konusudur.”

Güley, “Bu durum, kamuoyunda bazı çevreler tarafından kasıtlı bir siber saldırı veya “hackleme” olarak nitelendirilmişse de, hiçbir şekilde sisteme yetkisiz erişim sağlanmamış, veri tabanına sızılmamış, herhangi bir şifre ya da güvenlik önlemi aşılmamıştır. Aksine, söz konusu açık, sistemin yapısal olarak güvensiz tasarlanmış olmasından kaynaklanmakta; kötü niyetli kişilerce istismar edilme riski yüksek olan ciddi bir veri güvenliği ihlali doğurmaktaydı” diye konuştu.

Güley, “Bu durum, ilgili kurumun teknik sorumluluğunda olan yazılım altyapısı sağlayıcısı tarafından zamanında ve usulüne uygun şekilde denetlenmemiş ve Kişisel Verilerin Korunması İlkeleri çerçevesinde gerekli güvenlik önlemleri alınmamıştır” dedi.

YASAL DEĞERLENDİRME

Konuya ilişkin yasal değerlendirmelerde de bulunan Güley, açıklamasının devamında ise şunları kaydetti:

“KKTC mevzuatında kişisel verilerin korunmasına dair açık ve temel ilkeler mevcut olup, bu tür veri ifşaları şu temel düzenlemelerle çelişmektedir: KKTC Anayasası Madde 20: Her bireyin özel hayatına ve kişisel verilerinin gizliliğine saygı gösterilmesi esastır. Kamu Görevlileri Yasası ve ilgili mevzuatlar: Kamu kurumları, ellerindeki kişisel bilgileri korumakla yükümlüdür. KVKK (TC örnek alınan model): Teknik ve idari önlemler alınmaksızın kişisel verilerin ifşa edilmesi, veri sorumlularının yükümlülüklerini ihlal anlamına gelir. Dolayısıyla burada asıl sorgulanması gereken konu, kurumun bu yapıyı herkesin erişimine neden açık bıraktığı, gerekli denetimlerin neden yapılmadığı ve kişisel bilgilerin korunmasına yönelik hangi önlemlerin alınmadığıdır.”

“GERÇEKLERDEN UZAK VE YANILTICI…”

Sistemdeki bu açığın ilgili kurumun müdürüne aynı gün bildirildiğini belirten Güley, “Kurumla iş birliği yapan yazılım firması ve destek aldığı bazı yapıların bu bildirimi "sistemi hacklemek" gibi çarpıtılmış bir ifadeyle yargıya taşıma girişimi, gerçeklerden uzak ve yanıltıcıdır” açıklamasını yaptı, şöyle devam etti:

“Eğer bu yaklaşım benimsenecekse, ilgili web sitesinde yer alan avans başvuru bölümüne girerek yalnızca kimlik numarası yazarak kişisel bilgilerin sayfada görünmesini sağlayan her birey, aynı mantıkla İhtiyat Sandığı Dairesi'nin kamuya açık resmi sitesini hacklemiş gibi mi değerlendirilecektir?

Bu, teknik, hukuki ve mantıksal açıdan tamamen hatalı bir tutumdur. Bu tür açıklamalar, hem güvenlik açığının ciddiyetini örtmeye çalışmakta hem de sistemsel sorumluluğun vatandaşlara yüklenmesi gibi sakıncalı ve tehlikeli bir bakış açısını yansıtmaktadır.

Veri Güvenlik İhlalinin ve bu yanlış tasarımın kötü niyetli kişiler tarafından fark edilmesi durumunda olası saldırı senaryo ve detayları:

Brute Force Tabanlı Veri Toplama (Kimlik Taraması)

Açıklama: Saldırgan, KKTC Kimlik Numaralarının algoritmik olarak üretilebilir olmasından faydalanarak geçerli aralıkta numaralarla sistematik sorgular gönderir.

Teknik Yöntem: Python veya benzeri bir script dili ile döngü kurularak, binlerce KKTC kimlik numarası denenebilir.

Etkisi: Kurum sisteminden on binlerce kişinin kimlik numarası, ihtiyat sandığı numarası, sosyal sigorta numarası, adı, soyadı, anne adı, baba, doğum tarihi gibi verileri elde edilebilir.

Risk: Bu bilgiler diğer veri tabanları ile eşleştirilerek daha geniş profilleme yapılabilir.

Kimlik Avı (Phishing) Hazırlığı

Açıklama: Ele geçirilen kişisel bilgiler, hedef kişilere kurumsal görünümlü ve kişiselleştirilmiş e-postalar göndermek için kullanılabilir.

Senaryo: "E-devlet şifreniz sıfırlanmıştır" veya "vergi borcunuz bulunuyor" temalı e-postalar, kişi bilgileriyle desteklenerek güven verici hale getirilebilir.

Etkisi: Hedef kişi şifrelerini, banka bilgilerini veya doğrulama kodlarını paylaşabilir.

Sosyal Mühendislik Saldırıları

Açıklama: Kişisel bilgilere dayalı olarak kurban telefonla aranır veya mesaj alır.

Senaryo: Saldırgan kendisini resmi kurum çalışanı gibi tanıtarak, "kimlik bilgileriniz başka biri tarafından kullanıldı" diyerek vatandaşları yönlendirebilir.

Etkisi: Kimlik hırsızlığı, para transferi, hassas bilgi paylaşımı gibi sonuçlar doğabilir.

Kurumsal İtibarı Zedeleyen Veri Yayılımı

Açıklama: Elde edilen veriler deep web ya da açık kaynak platformlarda yayımlanabilir.

Senaryo: "X Kurumuna ait sistemden 50 bin kişinin bilgisi sızdırıldı" şeklinde haberler medyaya yansıyabilir.

Etkisi: Kamuoyunda güven kaybı, kamu personelinin istifası veya görevden alınması gibi sonuçlara neden olabilir.

Hizmet Dışı Bırakma (DoS) Etkisi

Tanım: DoS (Denial of Service) saldırısı, bir sistemin, servis veya ağı aşırı trafik ile doldurarak erişilemez hale getirilmesini hedefleyen bir saldırı türüdür. Hizmeti aksatma amacı güder.

Açıklama: Sürekli sorgular sonucunda sistem kaynakları tükenebilir. Bu sorgular kasıtlı olarak sistem performansını düşürmeye veya tamamen hizmet dışı bırakmaya yöneliktir.

Senaryo: Aynı anda binlerce istek gönderilerek hizmet erişilemez hale getirilir. Özellikle sabit token kullanımı ve rate limiting eksikliği nedeniyle, bu saldırı başarılı olabilir.

Teknik Etki (Donanım): Sunucu CPU, RAM ve disk kaynaklarının tüketilmesine neden olarak sistemin çökmesine yol açabilir. Donanım kaynaklı ısınma ve donma problemleri yaşanabilir.

Hizmetsel Etki: Web uygulamaları erişilemez hale gelir. Kurum içi sistemlerde kesinti yaşanır. Vatandaşlar hizmet alamaz, resmi süreçler sekteye uğrayabilir.

Uzun Vadeli Etki: Sistemin zayıf olduğu anlaşılırsa, daha gelişmiş DDoS (Distributed Denial of Service) saldırılarına davetiye çıkarır.”