Türkiye’de son birkaç yıldır kişisel verilerin sızması ya da çalınması vakaları zaman zaman gündeme geliyor. Geçen yıl Free Web Turkey “Sorgu Paneli” isimli bir sitede Türkiye’de yaşayan herkesin kimlik bilgileri, adresleri, telefon numaraları ve banka hesap bilgileri gibi kişisel verilerin paylaşıldığını ortaya çıkarmıştı. Paylaşma denen de bedava değil. E-mail ile kayıt olunabilen sitede bazı kişisel verilere ücretsiz, tapu vb. bazı finansal bilgilere ise ücretli olarak ulaşılabiliyordu. Yani korsanlar kişisel bilgileri parayla satıyordu.
Bununla ilgili İçişleri Bakanlığına dava açıldı, ama dava reddedildi. Medya ve Hukuk Çalışmaları Derneği (MLSA) kesinleşen ret kararını Anayasa Mahkemesine taşıdı.
Gelelim güncel tartışmaya…
İfade ve internet özgürlüğü alanında yayın yapan Free Web Turkey sitesi 9 Eylül’de yayımladığı bir haberde Türkiye’deki resmi kurumlarda kaydı olan 108 milyon kişinin kişisel verilerinin çalındığını iddia etmişti. Buna göre 108 milyon kişiye ait verinin içinde vefat etmiş yurttaşların, ülkeye turistik ya da iş gezisi amacıyla yasal olarak giriş yapmış yabancıların ve kayıtlı göçmenlerin kişisel verileri de bulunuyordu.
İletişim Başkanlığı Dezenformasyonla Mücadele Merkezi haberi yalanlayarak veri sızıntısı olmadığını duyurdu. Başkanlığın açıklamasında bazı vatandaşların şifrelerinin çalınması yoluyla sistemde kayıtlı bulunan beyana dayalı adres bilgilerinin elde edildiği bulguları üzerine Ankara Cumhuriyet Başsavcılığınca gerekli hukuki işlemlerin yürütüldüğü belirtildi.
Basın mensupları 11 Eylül Çarşamba günü Beştepe’deki kabine toplantısının ardından Bakan Uraloğlu’na 85 milyon vatandaşın kişisel verilerinin çalınıp çalınmadığını sormuştu.
Uraloğlu ise pandemi döneminde Sağlık Bakanlığı sisteminden kaynaklı bir sızıntı yaşandığını söylemişti:
“Bu pandemi sürecindeki hatırlarsınız, sağlık sisteminden bir sızıntıdır. Onun haricinde yok. İnsanların güncel verilerinin çalındığıyla ilgili bir veri yok. Pandemi sürecinde bazı bilgilerin maalesef belli şekliyle elde edilmiş olduğu doğru. O süreçte o maalesef önlenemedi.”
Bütün bu yalanlamalara rağmen Free Web Turkey’den Ali Safa Korkut’un haberine göre bilgisayar korsanları çaldıkları verileri beş farklı Google Drive dosyasında topladı. Haberde BTK bünyesinde faaliyet gösteren Ulusal Siber Olaylara Müdahale Merkezi’nin (USOM) verilerin çalındığını fark ettikten sonra Google ile iletişime geçtiği iddia edildi.
Buna göre şirkete gönderilen 29 Temmuz ve 3 Eylül tarihli iki ayrı yazıda USOM ilgili drive dosyalarının bağlantılarını iletti ve “acil” koduyla “derhal” kaldırılmalarını istedi.
Sızıntı iddiası yüksek sesle tartışılmaya başlayınca yalanlama açıklamaları art arda geldi. Uraloğlu “Pandemi döneminde sızıntı oldu” açıklamasının ardından 16 Eylül’de “Böyle bir çalınma olayı olmamıştır” dedi.
Kişisel Verileri Koruma Kurumu (KVKK) da 13 Eylül Cuma günü yaptığı açıklamada 108 milyon kişinin verilerinin çalındığına ilişkin kendilerine yapılan bir ihlal bildirimi olmadığını söyledi. Adalet Bakanı Yılmaz Tunç 12 Eylül’de “Kişisel veriler ele geçirilmişse bu konuda gerekli başvuru yapılır. Kişisel verilerin korunmasıyla ilgili kanun var. İsteyen dava açabilir” dedi.
Açıklama yapmayan tek kurum çalınan kişisel verilerin tutulduğu Google Drive dosyalarını yayımdan kaldırması için Google’a 29 Temmuz, 3 Eylül tarihlerinde olmak üzere yazılar yazdığı iddia edilen Bilgi Teknolojileri ve İletişim Kurumu (BTK) oldu.
Tartışma sürerken Free Web Turkey 21 milyon işçi ve bir milyon işverenin SGK verilerinin çalındığına dair yeni bir haber yaptı.
Ali Safa Korkut imzalı haberde 20 milyon 191 bin 517 çalışana ait SGK kayıtlı bilgiler ile 1 milyon 140 bin 133 işverenin kişisel ve yetkili bilgilerinin çalındığı ve bu verilerin bir yeraltı platformunda paylaşıldığı aktarıldı. Sızıntının boyutunu “İşçi verileri 807 bin 661 sayfa, işveren verileri 152 bin sayfa” diye anlattı. Haberde sızan verilerle ilgili ekran görüntüleri de yer aldı.
6 Mart 2024’te T24’te yayımlanan “T24 ‘alıcı’ olarak araştırdı: Veri hırsızlığı skandalında son perde; siyasi liderler dahil Türkiye’de herkesin kişisel bilgileri 150 liraya satışta!” başlıklı haberde tüm kişisel verilerin 150 TL karşılığında satıldığı ortaya kondu.
Cengiz Anıl Bölükbaş haberinde kendi ikâmet adresini arattığını ve çalınan veriler arasında o tarihte henüz iki ay önce değiştirdiği güncel adresini de bulduğunu kaydetti. Bölükbaş haberde çalınıp da satılan verilerin içinde yurttaşların hastane randevuları ve reçete edilen ilaç bilgilerinin de yer aldığını belirtti. Buna dair bir ekran görüntüsü de sunan Bölükbaş 8 Şubat 2024’te Ankara 29 Mayıs Devlet Hastanesi Kulak Burun Boğaz Polikliniğinde olduğu muayene kaydıyla kendisine sunulan reçeteye kadar ulaştığını belgeledi.
Free Web Turkey bugün beş farklı yetkilinin yalanladığı “Veriler çalınmadı, Google’dan yardım istenmedi” iddiasıyla ilgili bir belge paylaştı. Belge Google’ın BTK bünyesindeki Ulusal Siber Olaylara Müdahale Merkezinden (USOM) bir içerik kaldırma talebi aldığını ve bunun üzerine Google tarafından oluşturulan içerik kaldırma kaydını gösteriyor.
Haberde paylaşılan bir başka ekran görüntüsünde kaldırılması istenen linklere artık erişilemediği görülüyor.