Ankara Cumhuriyet Başsavcılığı, milyonlarca vatandaşın, üst düzey yöneticinin, bürokratın, kişisel bilgilerini hukuka aykırı olarak ele geçirerek bir web sitesinde sattıkları, paylaştıkları tespit edilen, 9’u tutuklu 17 şüpheli hakkında Ankara 33. Ağır Ceza Mahkemesi’nde dava açtı. Bu 13 martta TBMM’de onaylanan “Siber Güvenlik Kanunu“nun ilk uygulaması olarak gözüküyor. Tutuklanan kişilerin kimlikleri açıklanmadı ama “üst düzey yönetici” ya da “bürokrat” gibi tanımlananlar da var.
Ankara 33. Ağır Ceza Mahkemesi’nde görülen davaya göre, “illegalplatform.com/org” isimli bir site üzerinden milyonlarca vatandaşa ait kişisel verileri yasa dışı yollarla ele geçirme ve satma iddiasıyla 17 şüpheliye dava açtı. 9 şüpheli tutuklu. Suçlamalar: “Kişisel verileri hukuka aykırı ele geçirme”, “yasak cihaz ve program bulundurma”, “Siber Güvenlik Kanunu’na muhalefet” şeklinde sıralanıyor ve sanıklar için 15 yıla kadar hapis isteniyor. Ayrıca şüphelilerin kamu kurumlarına yetkisiz erişim için oltalama (phishing) siteleri kullanmaları, zararlı yazılım bağlantıları sunmaları da ek suçlama olarak veriliyor.
Sanıkların elinde yaklaşık 101 milyon veri seti bulunduğu belirtiliyor. Bu verilerin içeriğinde T.C. kimlik numarası, ad-soyad, doğum tarihi, anne baba adı, adres, GSM numarası, tapu bilgileri, SGK kayıtları, banka hesap numaraları, araç ruhsatı, vergi kimlik numarası, e-posta adresleri, eğitim ve meslek bilgileri gibi sağlık / özel bilgilerin de bulunuyor.
Tam ayrıntılar olmasa da, soruşturma kapsamında, şüpheli web sitesinin barındırıldığı sunucular üzerinde yapılan teknik incelemelerden bahsediliyor. Bu sunucularda, “illegalplatform.com/org” gibi siteye ilişkin kayıtların tespiti, kullanıcı hesapları, erişim / sorgu logları gibi teknik veriler değerlendirilmiş ve IP’lerle, hangi zamanda sisteme giriş yapıldığı tespit edilmiş.
Şüphelilerin, Sosyal Güvenlik Kurumu’nun işveren sistemi gibi resmi devlet kurumlarının sistemlerine anlık sorgu (query) yaparak verileri elde ettikleri tespit edilmiş. Bu sistemlerde “işveren sistemi uygulaması üzerinden vergi numarası, MERSİS numarası, adres, unvan” gibi kişisel veriler elde edilmiş olması, şüphelilerin bu tür resmi sistemlere erişim yolları, yetki / yöntemleri, sistem kayıtları üzerinden belirlenmiş olabilir. Aynı yöntemle bir sigorta şirketine ait verilerin de ele geçirildiği belirtiliyor.
Verilerin ele geçirilmesi sadece erişimle kalmamış, şüphelilerin bu verileri “Avatar/Adalet” uygulaması gibi yöntemlerle üçüncü şahıslara satma/paylaşma yoluyla maddi çıkar temin ettikleri iddia ediliyor. Bu tür işlemler genelde dijital para akışları, banka hesap hareketleri, ödeme izleri gibi izlerle takip edilebiliyor.
Kaynak : 