Kişisel bilgileriniz devlet eliyle verilir

ONUR EREM

Ölçme, Seçme ve Yerleştirme Merkezi'nin (ÖSYM) internet sitesinde yer alan bir güvenlik açığı sayesinde çok sayıda kişinin kişisel bilgileri ifşa oldu. ÖSYM'nin sitesinde yer alan personelalim.osym.gov.tr sayfasına, herhangi bir kişinin TC kimlik numarasıyla girildiğinde o kişinin fotoğrafı, adı, soyadı, anne adı, baba adı, doğum yeri, doğum tarihi, cinsiyeti, yaşadığı adres, e-posta adresi, ev telefonu ve cep telefonu bilgisi görüntelebiliyor. Uzmanlara göre bu bilgiler adınızın her türlü dolandırıcılığa karışmasına yol açabilir. Dahası, bunun için ÖSYM sınavlarına da girmenize gerek yok. Örneğin Mustafa Kemal Atatürk'ün kimlik numarası olan 10000000146 sisteme girildiğinde kişisel bilgileri görüntülenebiliyor. Aynı şekilde Başbakan Recep Tayyip Erdoğan'ın kişisel bilgilerine de ulaşılabiliyor.
Kişisel bilgilerimizi korumakla yükümlü devletin bütün bilgilerimizi, TC kimlik numaramızı öğrenen insanlara servis etmesini uzmanlar BirGün'e değerlendirdi:

Sabri Kuşkonmaz (Avukat):
»Böyle bir açık, yurttaş olarak bütün haklarımızı çiğniyor. En temel yaşam hakkını bile çiğniyor. Bu bilgiler bizim yaşama koşullarımızı ortadan kaldırabilir. Mağdurlar çırılçıplak ortada bırakılmış. Kamusal veya kişisel bütün saldırıların doğrudan odağı olma ihtimali var. Kamunun ağır bir ihmali var. Burada bir hizmet kusurundan söz edebiliriz.

Bu açığın sonuçlarına gelince, ev adresimizin açıklanması, saldırı ve hırsızlığa maruz kalma ihtimalimizi katlayarak arttırır. Cep telefonunuz ve e-posta adresinizden istemediğiniz reklamlara maruz kalabilirsiniz. Bütün kişisel bilgileriniz, bunları alıcı gözetmeksizin satan ticari kuruluşların eline geçebilir. Sayısız dolandırıcılıkla karşı karşıya kalabilirsiniz. Dolandırıcılıkta en inandırıcı şey, adınız, adresiniz, kimlik numaranız, anne adınız gibi kişisel bilgilerdir ve burada bunların hepsi mevcut. Yine bu bilgilerle sizin adınıza senet veya karşılıksız çekler uygulanabilir. İnsanlar beklemedikleri bir anda karşılıksız çek faili olarak arandığını fark edebilir.

Tapu ve benzeri dolandırıcılıklara maruz kalabilir. Tapuda çok karışık uygulamalar var. Usta dolandırıcılar, sahte vekaletnamelerle tapu devri yapabilir. Bunlar için burada verilen veriler yeterli. Bununla sahte kimlikler yapılabilir. Sahte satış, sahte devir, hileli satış, şirket ortağı haline getirme gibi sayısız örnekle çoğaltabiliriz bunu.
Bu bahsettiklerim size çok uç örnekler gibi gelmesin, bir avukat olarak sık sık böyle olaylarla karşılaşıyoruz. Kişisel veriler bu kadar açık değilken bile çok sayıda uygulama gördük, şimdi çok daha fazlası karşımıza çıkabilir.

Ali Rıza Keleş (Alternatif Bilişim Derneği):
»Buna nasıl izin verirler anlamıyorum. Yurttaşlarımız açısından düşününce çok tehlikeli bir uygulama. Büyük bir sorumsuzluk örneği. Türkiye'nin en önemli kurumlarından birinin bunu yapması Türkiye'nin gerçek fotoğrafını gösteriyor.
Türkiye'de kişisel bilgilerin korunmasına dair bir yasa olmaması çok büyük bir sorun. Bu yüzden mahkemelerin kişisel bilgilerin ifşasına nasıl ceza vereceği net değil. Bu konuda hazırlanan (ve bizce yeterli güvenlik sağlamayan) taslak yaklaşık 10 yıldır Meclis’te bekletiliyor.

Birkan Sarıfakıoğlu (Bilgisayar Mühendisleri Odası):
»ÖSYM'nin veri güvenliği konusundaki geçmişi zaten kabarıktı. Daha önce sınav soruları ele geçirilmiş, yanlış algoritmalar yüzünden sınava girecek insanlar yanlış bölgelere atanmıştı. Bu ne ilk oldu, bu gidişle ne de son olacak. Bugün bir sayfada böyle bir açığın olması, yarın daha büyük bir projede de böyle bir açığın olabileceğinin göstergesi. Bu bilgiler, yeterli güvenlik önlemi almamış internet sitelerinde hesabı olan kullanıcıların hesaplarının ve kişisel bilgilerinin çalınmasına neden olabilir.
Bir internet sitesinde kişisel bilgileri sergilemeden önce kimlik doğrulama yapılması şart. Yani TC kimlik numarasının yanında bir de şifre veya benzeri bir doğrulama kodu sorulmalı. Bu, internet sitesi yazmanın en temel kurallarından biridir. Anlaşılan o ki, ÖSYM çalışanları yeterli teknik bilgiye sahip değil.

***

‘Kısmen’ düzeltti

ÖSYM haberi hazırladığımız saatlerde bu açığın farkına vardı ve açığı kısmen kapattı. Yapılan değişiklikten sonra TC kimlik numarası girilen kullanıcının adresi, telefon numarası ve e-posta adresi açıklanmasa da fotoğrafı, anne adı, baba adı, doğum tarihi, doğum yeri ve cinsiyetine hâlâ ulaşılabiliyor. Alternatif Bilişim Derneği ve Bilgisayar Mühendisleri Odası temsilcileri bu bilgilerin paylaşılmasının da kişisel verilerin korunmasına aykırı olduğunu belirttiler.