Veri sızıntısı yalanlanmıştı: Google'dan aylar önce yardım istendiği belgelendi

Milyonlarca yurttaşın verilerinin çalındığına dair haberlerin yalanlanmasının ardından BTK'nin çalınan verilere ilişkin dosyaların kaldırılması için Google'a yaptığı başvurunun belgesi ortaya çıktı.

Haber Merkezi

Geçtiğimiz günlerde, resmi kurumlarda kaydı olan milyonlarca yurttaşın kimlik numaralarından ev adreslerine kadar tüm kişisel verilerinin çalındığı ve Bilgi Teknolojileri ve İletişim Kurumu'nun sızıntı nedeniyle Google'dan yardım talep ettiği gündeme geldi.

Ulaştırma ve Altyapı Bakanı Abdulkadir Uraloğlu pandemi sürecinde verilerin çalındığını ancak güncel bir bilgi sızıntısı yaşanmadığını söylerken, Dezenformasyonla Mücadele Merkezi ise "halihazırda" sızdırılmış bir veri olmadığını öne sürdü.

Söz konusu veri sızıntısını gündeme taşıyan Free Web Turkey'den Ali Safa Korkut, BTK'nin çalınan verilere ilişkin dosyaların kaldırılması için Google'a yaptığı başvurunun belgesini paylaştı.

Milyonlarca kişinin verisi çalındı, Google'dan yardım istendi

Geçtiğimiz günlerde Free Web Turkey'de yayımlanan haberde, resmi kurumlarda kaydı olan 108 milyon kişinin ad, soyad, TC kimlik numarası, aile sıra numarası, birey sıra numarası, doğum tarihi, doğum yeri, nüfusa kayıtlı oldukları il, ilçe ve köy, medeni durum, ölüm tarihi, ikamet adresi ve cep telefonu numarasından oluşan kişisel verilerinin çalındığı belirtildi.

Haberde, verilerin çalındığını fark eden Ulusal Siber Olaylara Müdahale Merkezi'nin (USOM), Google ile iletişime geçtiği ve “Kanunen yurttaşları kimlik avı saldırıları, kullanıcı hesaplarının ele geçirilmesi ve veri sızıntıları gibi her türlü siber saldırıya karşı korumakla yükümlüyüz” diyerek yardım talep ettiği ifade edildi.

BTK bünyesinde faaliyet gösteren USOM'un, “Bu doğrultuda, kritik öneme sahip olduğu iddia edilen bazı verilerin sisteminize başarıyla yüklendiğini önemle dikkatinize sunarız” ifadesiyle Google’a ilgili bağlantıları ilettiği ve “acil” koduyla “derhal” kaldırılmalarını istediği aktarıldı.

Uraloğlu önce kabul etti, yalanlamalardan sonra reddetti

Söz konusu haberin ardından devlet yetkilileri ve kurumları tarafından çeşitli açıklamalar yapıldı. Yapılan açıklamalarda, veri sızıntısı yalanlandı.

İlk açıklama, bahse konu haberin de yayımlandığı 9 Eylül tarihinde Ulaştırma ve Altyapı Bakanı Abdulkadir Uraloğlu'ndan geldi. Güncel bir veri sızıntısı olmadığını söyleyen Uraloğlu, "Pandemi sürecinde bazı bilgilerin maalesef belli şekliyle elde edilmiş olduğu doğru. O süreçte maalesef o önlenemedi ama şu anda güncel bir bilgi sızdırılması yok" dedi.

Ancak Ulaştırma Bakanı verilerin çalındığını kabul ederken Cumhurbaşkanlığı İletişim Başkanlığı Dezenformasyonla Mücadele Merkezi (DMM) herhangi bir sızıntı olmadığını belirterek iddiaları reddetti. DMM tarafından yapılan açıklamada Google’dan yardım istendiği iddialarının da gerçek dışı olduğu belirtilerek “Asılsız iddialara itibar etmeyiniz” ifadeleri kullanıldı.

İletişim Başkanlığının ardından bir açıklama da Adalet Bakanı Yılmaz Tunç’tan geldi. Tunç, “Kişisel veriler ele geçirilmişse bu konuda gerekli başvuru yapılır. Kişisel verilerin korunmasıyla ilgili kanun var. İsteyen dava açabilir” dedi.

Kişisel Verileri Koruma Kurumu (KVKK) da yaptığı açıklamada, 108 milyon yurttaşın verilerinin çalındığına ilişkin kendilerine yapılan herhangi bir ihlal bildirimi olmadığını söyledi.

9 Eylül’de sızıntıyı doğrulayan Uraloğlu da sonrasında veri sızıntısı iddialarını yalanladı. Uraloğlu, şunları söyledi:

“Şu anda Türkiye’nin gündeminde verilerin çalınması gündemi yoktur çünkü böyle bir çalınma olayı olmamıştır. Bu geçmiş dönemde sadece konuşulan bir bilgi vardı, oydu. Şu anda Türkiye’nin gündeminde yok. Çok net söylüyorum. Kimse ortalığı bulandırmasın. Söylenilen bir lafı cımbızla çekip sanki Türkiye’de insanların güvenliğiyle ve verileriyle ilgili çalınmış güncel şeyler vardır diye kimse haber yapmasın. Şu anda böyle gündem yoktur. Bu şekilde yapılmış olan haberlere de cımbızla çekilip arkasına önüne yorum ekleyerek yapılan hiçbir haberin bizim nezdimizde kıymeti yoktur. Böyle bir açıklamamız olmamıştır.”

Öte yandan bu süreçte dosyaların yayından kaldırması için Google'a 29 Temmuz, 3 Eylül ve 6 Eylül tarihlerinde olmak üzere üç yazı yazan Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından herhangi bir açıklama yapılmadı.

Sadece pandemide yaşanmadı

İlk açıklamasında veri sızıntısını doğrulayan Uraloğlu, bunun sadece pandemide yaşandığını ve Sağlık Bakanlığı'nın sisteminden kaynaklandığını belirtti. Ancak sızıntı sadece pandemide değil, ondan sonra da yaşandı. Aynı zamanda Sağlık Bakanlığı'nın yanı sıra Çalışma Bakanlığı ile İçişleri Bakanlığı'ndan da veri çalındı.

20 milyona yakın yurttaşın Sosyal Güvenlik Kurumu'nda (SGK) kayıtlı çalışan bilgileri ile 1 milyonu aşkın işverenin SGK sisteminde kayıtlı kişisel ve yetkili bilgilerinin çalındığı gündeme gelmişti. Çalınan veriler incelendiğinde, Çalışma ve Sosyal Güvenlik Bakanlığı'na bağlı SGK kayıtları arasında 28 Aralık 2023 Perşembe gününe ilişkin giriş bilgilerinin yer aldığı görülüyor. Bu da verilerin bu tarihte çalınmış olma ihtimalini güçlendiriyor.

Uraloğlu’nun söylediğinin aksine sızıntının sadece pandemi döneminde gerçekleşmediğini gösteren bir diğer örnek ise 6 Mart 2024’te T24’ten Cengiz Anıl Bölükbaş'ın kişisel verilerin 150 TL karşılığında satıldığına ilişkin haber.  Bölükbaş, haberinde kendi ikâmet adresini arattığını ve çalınan veriler arasında o tarihte henüz iki ay önce değiştirdiği güncel adresini de bulduğunu kaydetti. Bölükbaş, haberde, çalınıp da satılan verilerin içinde yurttaşların hastane randevuları ve reçete edilen ilaç bilgilerinin de yer aldığını belirtti. Buna dair bir ekran görüntüsü de sunan Bölükbaş, 8 Şubat 2024’te Ankara 29 Mayıs Devlet Hastanesi Kulak Burun Boğaz Polikliniğinde olduğu muayene kaydı ile kendisine sunulan reçeteye kadar ulaştığını belgeledi.

Uraloğlu’nun söylediğinin aksine, sızıntının sadece Sağlık Bakanlığı'ndan kaynaklanmadığını gösteren bir başka olay da Temmuz ayında gündeme geldi. Kayseri'de göçmenlere yönelik saldırılar sırasında Türkiye’de kayıtlı 3 milyon 300 bin sığınmacıya ait kişisel verilerin yanı sıra pasaport kopyalarının sızdırıldığı ortaya çıktı. Sadece İçişleri Bakanlığı Göç İdaresi Başkanlığı'nda bulunan bu bilgilerin nasıl sızdığı tespit edilemedi. Ancak Göç İdaresi Başkanlığı sızıntıyı doğruladı. Başkanlık, buna karşın sızan bilgilerin güncel verilerle uyuşmadığını iddia etti.

Başvuru belgeleri ortaya çıktı

Söz konusu veri sızıntısını gündeme taşıyan Free Web Turkey'den Ali Safa Korkut, BTK'nin çalınan verilere ilişkin dosyaların kaldırılması için Google'a yaptığı başvurunun belgesini paylaştı.

Haberde şu ifadelere yer verdi: "Drive dosyalarının kaldırılması için 29 Temmuz, 3 Eylül ve 6 Eylül tarihlerinde Google’a yazı yazan BTK’nin 29 Temmuz tarihli başvurusunun belgesini paylaşıyorum. Bu belge, Google'ın BTK bünyesindeki Ulusal Siber Olaylara Müdahale Merkezinden (USOM) bir içerik kaldırma talebi aldığını ve bunun üzerine Google tarafından oluşturulan içerik kaldırma kaydını gösteriyor."

Ayrıca kurumun 29 Temmuz’da yazdığı yazıyla kaldırılmasını istediği dosyalar, durum haberleştirilinceye dek kaldırılmadı.

Şimdi ise ilgili dosyalar ziyaret edilmek istendiğinde Google, “Hizmet Şartlarımızı ihlal ettiği için maalesef bu öğeye erişemezsiniz” uyarısı veriyor.

BİST içinde Google'la iletişime geçildi

Bunların yanı sıra BTK'ya bağlı USOM, 17 Mayıs 2024'te de bu kez Borsa İstanbul (BİST) için Google ile iletişime geçti.

Google'a yapılan başvuruda, BİST'i hedef alan bir "kimlik avı saldırısı"nın gerçekleştirildiği ve kişilerin bilgilerinin çalınmasına yönelik bir bir bağlantının varlığından söz edildi.

USOM, başvuru yazısında "Bu gelişmeler ışığında, içeriğin sisteminizden derhal kaldırılmasını acilen talep ediyoruz" ifadesiyle Google'ın internet sitesi oluşturulmasına olanak sağlayan "Google Sites" aracı kullanılarak oluşturulmuş bir internet sitesinin yayımdan kaldırılmasını istedi.

Ancak Google bu internet sitesini yayımdan kaldırdığı için söz konusu sitenin içeriğinde ne olduğuna ulaşılamadı.