Milli Eğitim Bakanlığının, İstanbul’da ‘Kendini Geliştir Geleceği Değiştir’ adlı proje kapsamında ‘Strateji Üsküdar’ programına katılan öğretmenlerin kişisel verileri hack’lendi. Bu bilgilerin bir yeraltı internet sitesinde yayınladığı kaydediliyor. Gazetelere yanlış bir ifade ile “Zoom”dan denilse de, hack olayının eğitim programına kayıt alınan “www.stratejiuskudar.com” ismini taşıyan siteden olduğu sanılıyor. Milli Eğitim Bakanlığı (MEB) da hacklemenin Zoom’dan kaynaklanmadığını açıklamış durumda.
4.552 öğretmenin hacklenen bilgileri arasında, ad/soyad, kimlik numarası, e-posta adresleri bulunuyor. Bu bilgiler yeraltı sitelerinden birinde yayınlandı. Sitenin önyüzü Wikipedia’nın içerik ortağı gibi gözüküyor.
‘Kendini Geliştir Geleceği Değiştir’ Projesi, öğretmenler açısından kıymetli bir program. Toplamda 67 seminer ve 95 atölyeden oluşuyordu. Programa 17 üniversiteden çok sayıda profesör, doçent düzeyinde akademisyen ve bazı sivil toplum kuruluşlarının temsilcileri konuşmacı olarak katılmıştı. Program süresinde öğretmenlerin 162 eğitim alacağı duyurulmuştu.
Hackleme Zoom’dan mı Oldu?
Eğitimlerin ‘Zoom’ video konferans platformu üzerinden gerçekleştirileceği ilan edilmişti. Korona salgını nedeniyle video konferans kullanımının arttığı bugünlerde batı basınında Zoom için “güvensiz” haberleri yayınlanıyor. Bu nedenle hack olayı duyulduğunda, basın konuyu “bilgiler Zoom’dan hacklendi” olarak yorumladı. Ama 4.552 kişinin ve TC kimlik bilgisi gibi Zoom’u ilgilendirmeyen bilgilerin hacklenmesi sözkonusu. Yani bu iddia anlamsız.
Zoom’un diğer video konferanslardan daha kötü olduğu ya da iyi olduğu iddia edilemez. Mesela daha bugün Microsoft Teams için bir kritik açık raporlandı. Daha önce de dediğimiz gibi, internet üzerinde % 100 güvenlik diye bir konu yok.
Ancak Zoom ile ilgili olarak ileri sürülen güvenlik sorunları tamamı, Zoom konferansına giriş durumunda meydana geliyor. Yani Zoom konferansını düzenleyen kişinin katılımcıları kontrol etmesi durumunda bu sorunlar aza indirilir.
Mesela “Zoombombing” adı verilen bir konferans hacklemeden bahsediliyor. Yani sizin konferansa dahil etmediğiniz birisinin, konferansa girmesi ve hatta müdahele ederek (porno ya da ırkçı vs içerik vermesi) konferansı sabote etmesi güvensizliklerinden birisi olarak tanımlanıyor. Ama bunun nedeni konferansı şifrelememiş olmanız ya da şifreleseniz de, katılımcılardan birisinin o davet edilmeyen kişiye şifre vermesidir. Yani Zoom uygulamasından değil, “şifreleme”den kaynaklanan bir sorun.
Hackleme Seminer Kayıt Sitesi stratejiuskudar.com’dan Oldu
Şu anda MEB tarafından hacklemenin meydana geldiği kaydedilen www.stratejiuskudar.com adresi yayında değil. Siteyi yapan firmanın ÖzdeSoft olduğu görülüyor. Site açık olmadığı için bu yazılımın aynı olup olmadığını göremiyoruz. Ama bu firmanın Milli Eğitim Müdürlüğüne yazılmış seminer takip programı var. Muhtemelen hacklenen ve içinden öğretmen bilgileri alınan program budur.
Öğretmenler, bu siteye kayıt olarak aşağıdaki seminer programlarından istediklerine katılabiliyor;
“Etkili İletişim, İrade Eğitimi, Mandala Atölyesi, Ritim Atölyesi, Kodlama, Masal Anlatıcılığı, STEM ve Arduino Eğitimi, Enneagram 9 Tip Mizaç Modeli, Stres Yönetimi, Uygulamalı Fotoğrafçılık Eğitimi, Masal Anlatıcılığı, Doğa Oyunları”.
Kişisel Verileri Koruma Kurulu, firmalardan “sızma testi” istiyor. Merak ettik; MEB Üsküdar acaba stratejiuskudar.com sitesi için bu testi yaptırmış mıydı?
MEB ve BTK Soruşturma Başlattı, Kişisel Veriler Kurumu da Açacaktır
Olayla ilgili olarak MEB sadece Üsküdar’daki siteden hacklenme olduğunu ve genele yayılmadığını belirtti ve açıklama yayınlayarak olayı doğruladı. MEB açıklamasında şöyle deniliyor;
“BTK bünyesindeki Ulusal Siber Olaylara Müdahale Merkezi (USOM) programa hacker saldırısını 13 Nisan’da tespit etti. Bakanlığımız, Bilgi İşlem Daire Başkanlığı da konuyla ilgili kapsamlı bir çalışma yürütüyor. Sorumlular hakkında da soruşturma açıldı”
Ayrıca, Bilgi Teknolojileri Kurumu’nun (BTK) da olayın siber tarafı konusunda soruşturma başlattığı açıklandı. Ayrıca öğretmenlerin TC kimlik dahil kişisel verileri hacklendiği için önümüzdeki günlerde soruşturma açan kurumlardan birisinin de Kişisel Verileri Koruma Kurulu olması çok mümkündür.
Öğretmenlerin Uzaktan Eğitiminden Vazgeçilmemelidir
Olay tatsız olmakla birlikte, öğretmenlerin uzaktan eğitimi konusunda kıymetli bir proje olduğunu görüyoruz. Üsküdar İlçe Milli Eğitim Müdürü Sinan Aydın’ın programın açılışında öne sürdüğü gerekçelerin de doğru olduğunu düşünüyoruz. Yani Antalya’ya hizmet içi eğitim için gitmek yerine sürekli ve kendine uygun zamanlarda eğitim almak değerli ve olumlu bir durum.
Buradaki sorun, kayıt için kullanılan web sitesinin güvenliğinin yetersiz oluşu ve belki de test edilmemiş olmasıdır.
Bu açıdan, umarız Milli Eğitim Bakanlığı öğretmenlerin hizmet içi eğitimlerini bu yolla vermekten vazgeçmez.
Zoom Kullanırken Dikkat Etmeniz Gereken Hususlar
Son olarak Zoom ile telekonferans yaparken dikkat etmeniz gereken hususları da kaydedelim; biraz dikkatli olduğunuz sürece, Zoom toplantılarında sorun yaşamazsınız. Zoom toplantısına ev sahipliği yapıyorsanız, şu koşulları sağlayın;
- Genel toplantı bağlantısı herkese açık olduğundan, güvenmediğiniz kişilerle davet paylaşmayın.
- Katılımcıların toplantıya girişleri için bir şifre oluşturun.
- Toplantıyı kontrol eden tek kişi olduğunuzdan emin olarak ekran paylaşımını yönetin. Bunu yapmak için “Kimler Paylaşabilir?” seçeneğini tıklayın. Tıklanan tek düğmenin “Ana Bilgisayar (Host)” olduğunu doğrulayın.
- Konferansa yalnızca “oturum açmış” katılımcıların katılabilmesini sağlayarak katılımcıları yönetin. Bu şekilde sorun yaratanın kim olduklarını bilirsiniz.
- İki faktörlü kimlik doğrulamayı ayarlayın, istenmeyen veya rahatsız edici katılımcıları engelleyin, “katılımcılar için video”yu devre dışı bırakın ve “özel sohbeti (2 kişi arasında chat) devre dışı bırakın .
- Bir şey görürseniz ikaz edin.
- Siber saldırı ya da zarar verenleri Zoom’a doğrudan raporlayın.