İnternette paylaştığınız kişisel bilgiler, başınızı derde sokabilir
Sanal alemde kamu kurum ve kuruluşların sitelerinde yapılacak sorgulamalar için paylaşılan kişisel kimlik bilgilerinin, Kimlik Paylaşımı Sistemi'ndeki (KPS) açıklar sebebiyle tehlikede olduğu belirtiliyor. Kontrolsüz ya da kimlik belirleyici…
Sanal alemde kamu kurum ve kuruluşların sitelerinde yapılacak sorgulamalar için paylaşılan kişisel kimlik bilgilerinin, Kimlik Paylaşımı Sistemi'ndeki (KPS) açıklar sebebiyle tehlikede olduğu belirtiliyor. Kontrolsüz ya da kimlik belirleyici ölçüt belirtmeksizin yapılan sorgulamaların bilgi güvenliği açısından beklenmedik boyutlarda sorun yaratacak açıkları bulunduğunu tespit eden uzmanlar, KPS ile alıcı kurumlara ya da tüzel kişilere TC kimlik numarası, ad ve soyad, anne ve baba adı, doğum yeri ve tarihi, medeni hli, dini ve ölüm vb. vatandaşlık bilgilerinin kolaylıkla paylaşılabildiğini söylüyor.
Taksim Gezi Parkı olaylarında sosyal medyanın tahrik ve provoke etmedeki rolü ve siber saldırıların artması, internetin güvenli ve sağlıklı bir erişim ortamı olmadığını bir kez daha gözler önüne sererken, bazı web sitelerindeki güvenlik açıkları ziyaretçileri sıkıntıya sokuyor. Kimlik paylaşımı sorgularını kendi ağları üzerinde yapan çoğu kurum ve kuruluşun web sitelerindeki güvenlik açıkları sebebiyle hastane randevuları, otobüs bilet otomasyonları veya sınav başvuru işlemlerinde yapılan sorgulamalara web üzerinde tüm internet kullanıcıları erişebiliyor.
KPS, Nüfus ve Vatandaşlık İşleri (NVİ) tarafından MERNİS ve UAVT veritabanındaki bazı sınırlandırılmış bilgileri alıcı kamu kurumları ve diğer tüzel kişiliklerin çevrimiçi paylaşılmasını sağlayan sistemde güvenlik açıkları tespit eden Samsun Web Bilgi Güvenliği Araştırmacısı Mustafa Altınkaynak, vatandaşlık bilgilerinin yanı sıra ikamet edilen yerin açık adresinize kadar erişim sağlanabileceğini söyledi. Konuyla ilgili bilgi veren Altınkaynak, 'Vatandaşlık numarasının dağılım algoritmasını yanlış uygulamanız durumunda sizden önce ve sonra doğan kişilerin kimlik numaraları veya akrabalarınızın da bilgilerine ulaşılabiliyor. Kimlik paylaşımı kapsamında sorgu kriterlerinin zayıf olduğu siteler arasında üniversiteler, hastaneler ve belediyeler bulunuyor. Bu web sitelerinin çoğunda sadece vatandaşlık numarasıyla sorguya izin veriliyor ve kimlik bilgilerinin art niyetli kişilerce ele geçirilmesine zemin sunuyor.' açıklamasında bulundu.
SİSTEMİN YENİDEN DÜZENLENMESİ GEREKİYOR
Kimlik numaralarında çok basit bir algoritma uygulandığına dikkat çeken Altınkaynak, 'Yaptığımız çalışmalar sonrası da referans olarak alınan bir kimlik numarasından diğer tüm aile bireylerinin yanı sıra tüm kan bağı olan kişilere ait TC kimlik numaralarına ulaşabildik. Bununla birlikte internet üzerinden KPS sayesinde de kimlik numaraları hakkında bilgiler bulunabiliyor. Kimlik numaralarının dağılımının belli bir düzen içinde olması vatandaş için son derece tehlikelidir. Bu bilgilerle devlet dairelerinden, bankalara, sigorta şirketlerine, sağlık kuruluşlarından, eğitim kurumlarına kadar bir vatandaşa ait her bilgiye ulaşılabilir. Bu bilgiler farklı amaçlar için kullanılabilir. TC Kimlik numaralarının bu kadar basit bir düzende verilmemesi gerekir. Sistemin yeniden düzenlenmeye ihtiyacı var.' ifadelerini kullandı.
İstanbul Emniyet Müdürlüğü Bilişim Suçları ve Sistemleri Şube Müdürlüğü, 3 yıl önce 70 milyon kişinin kişisel bilgilerini yasa dışı yollardan elde ederek bunları depolayan ve internet üzerinden pazarlayarak kazanç elde eden 15 kişilik suç şebekesini teknik takiple çökertmişti. Suç örgütünün resmi ve yarı resmi kurumların alt yapılarına girerek, vatandaşların kimlik bilgisi, telefon ve adres bilgilerine ulaştığı, 'Mozaik' adı verdikleri program üzerinden 'Adres ve telefon sorgulama' imkanına ulaşmıştı. Ayrıca vatandaşlara ait bilgileri çeşitli hukuk bürolarına ve ticari şirketlere para karşılığında satmış, 3 milyon TL tutarında haksız kazanç elde ettikleri belirlenmişti.
Taksim Gezi Parkı olaylarında sosyal medyanın tahrik ve provoke etmedeki rolü ve siber saldırıların artması, internetin güvenli ve sağlıklı bir erişim ortamı olmadığını bir kez daha gözler önüne sererken, bazı web sitelerindeki güvenlik açıkları ziyaretçileri sıkıntıya sokuyor. Kimlik paylaşımı sorgularını kendi ağları üzerinde yapan çoğu kurum ve kuruluşun web sitelerindeki güvenlik açıkları sebebiyle hastane randevuları, otobüs bilet otomasyonları veya sınav başvuru işlemlerinde yapılan sorgulamalara web üzerinde tüm internet kullanıcıları erişebiliyor.
KPS, Nüfus ve Vatandaşlık İşleri (NVİ) tarafından MERNİS ve UAVT veritabanındaki bazı sınırlandırılmış bilgileri alıcı kamu kurumları ve diğer tüzel kişiliklerin çevrimiçi paylaşılmasını sağlayan sistemde güvenlik açıkları tespit eden Samsun Web Bilgi Güvenliği Araştırmacısı Mustafa Altınkaynak, vatandaşlık bilgilerinin yanı sıra ikamet edilen yerin açık adresinize kadar erişim sağlanabileceğini söyledi. Konuyla ilgili bilgi veren Altınkaynak, 'Vatandaşlık numarasının dağılım algoritmasını yanlış uygulamanız durumunda sizden önce ve sonra doğan kişilerin kimlik numaraları veya akrabalarınızın da bilgilerine ulaşılabiliyor. Kimlik paylaşımı kapsamında sorgu kriterlerinin zayıf olduğu siteler arasında üniversiteler, hastaneler ve belediyeler bulunuyor. Bu web sitelerinin çoğunda sadece vatandaşlık numarasıyla sorguya izin veriliyor ve kimlik bilgilerinin art niyetli kişilerce ele geçirilmesine zemin sunuyor.' açıklamasında bulundu.
SİSTEMİN YENİDEN DÜZENLENMESİ GEREKİYOR
Kimlik numaralarında çok basit bir algoritma uygulandığına dikkat çeken Altınkaynak, 'Yaptığımız çalışmalar sonrası da referans olarak alınan bir kimlik numarasından diğer tüm aile bireylerinin yanı sıra tüm kan bağı olan kişilere ait TC kimlik numaralarına ulaşabildik. Bununla birlikte internet üzerinden KPS sayesinde de kimlik numaraları hakkında bilgiler bulunabiliyor. Kimlik numaralarının dağılımının belli bir düzen içinde olması vatandaş için son derece tehlikelidir. Bu bilgilerle devlet dairelerinden, bankalara, sigorta şirketlerine, sağlık kuruluşlarından, eğitim kurumlarına kadar bir vatandaşa ait her bilgiye ulaşılabilir. Bu bilgiler farklı amaçlar için kullanılabilir. TC Kimlik numaralarının bu kadar basit bir düzende verilmemesi gerekir. Sistemin yeniden düzenlenmeye ihtiyacı var.' ifadelerini kullandı.
İstanbul Emniyet Müdürlüğü Bilişim Suçları ve Sistemleri Şube Müdürlüğü, 3 yıl önce 70 milyon kişinin kişisel bilgilerini yasa dışı yollardan elde ederek bunları depolayan ve internet üzerinden pazarlayarak kazanç elde eden 15 kişilik suç şebekesini teknik takiple çökertmişti. Suç örgütünün resmi ve yarı resmi kurumların alt yapılarına girerek, vatandaşların kimlik bilgisi, telefon ve adres bilgilerine ulaştığı, 'Mozaik' adı verdikleri program üzerinden 'Adres ve telefon sorgulama' imkanına ulaşmıştı. Ayrıca vatandaşlara ait bilgileri çeşitli hukuk bürolarına ve ticari şirketlere para karşılığında satmış, 3 milyon TL tutarında haksız kazanç elde ettikleri belirlenmişti.