ÖSYM’de Tercihler Nasıl Değiştirilebilir?

Son 3-4 yıldır her sabaha “Hasbinallah bu da nesi?” diyerek uyanıyoruz. Yine böyle şaşkınlık verici bir haber, bugün İsmail Saymaz’ın “Kim bu üniversite tercihlerini değiştiren el?” başlıklı yazısında, 2025 YKS’ye girip puanı yerleştirmeye müsait olan öğrencilerin tercih listelerinin, izinleri olmadan ÖSYM üzerinden değiştirildiği raporlandı.

Kısaca özetleyelim; Öğrenci C.Ş. sayısal alanda Tıp Fakültesine girecek bir puan alarak 23.007. olmuş. ÖSYM sayfası üzerinden, 22 sıraya devlet üniversitelerinin “yaşlı bakım” bölümlerini işaretlemiş. Bilgisayarını 23.28’de kapatmış. Ancak 39 dakika sonra kontrol ettiğinde, seçimi olan devlet üniversitelerinin hepsinin özel üniversitelere çevrildiğini farketmiş. Olayı gören baba kız, gece yarısı karakola ve CİMER’e, sabah da Savcılığa şikayet etmiş. Arkasından ÖSYM aleyhine de dava açmışlar.

Savcılığın ÖSYM’ye sorması üzerine 4 benzer olay daha çıkmış. 2 olayda değiştirilen bölümler “yaşlı bakımı”. Şikayetvar.com üzerinde 2 başka şikayet daha görülmüş. Yani toplamda şimdilik 6 olay var. Ama farkında olmayan ya da raporlamayan öğrenciler de olabilir. Dolayısıyla henüz doğrulanmış “kaç vaka var”, hangi bölümler etkilenmiş, sistem hangi düzeyde etkilenmiş bilemiyoruz.

Araştırma sonucunda, olayı gerçekleştiren IP adresinin tespitinde 3 mağdur için Ümraniye’den bir adres ve 2 farklı port tespit olunmuş. Ancak o adresteki kişi, o gece evde olmadığını iddia ediyor. Aynı IP’nin tespit edilmesi, olayın tesadüfen ya da hata sonucu olmadığına işaret ediyor.

Hemen başta sonucu söyleyelim; ağustos başında sisteme kaydedilen sahte diplomalarla BTK, YÖK ve Nüfus ve Vatandaşlık İşleri‘ni konuşmuştuk. Aradan 3 ay geçmedi ki bu sefer ÖSYM’de tercihlerin değiştirilmesini konuşuyoruz.

AKP döneminin kurumlarındaki liyakatsızlık, her gün patlayan yeni bir olay ile gündeme giriyor. Ama arkası gelmiyor çünkü sorumluluğu üstlenen ya da ne olup bittiğini araştıran, raporlayan yok. Sanki hiçbir şey olmamış gibi yola devam ediliyor. Başka başka olaylar meydana geliyor. Sadece bu olaya bakarsak; milyonlarca gencin geleceğini düzenleyen bir kurumun bu kadar sorumsuz davranma hakkı yok. Aşağıda, ÖSYM sistemi ile ilgili eksiklikleri belirttik. Şimdi çeşitli soruları inceleyelim:

Bu Olaylar ilk Defa Bu Sene mi Oldu?

Buradaki kritik sualler şunlar;

1. Bu değişiklikler otomatik sistem hatasından mı yoksa bilinçli müdahaleden mi kaynaklandı?
2. Etkilenen öğrencilerin sayısı kaç? Sistem kayıtları (loglar) incelendi mi?
3. ÖSYM’nin sistem performansı ve güvenlik denetimi hangi durumda? Çifte doğrulama, SMS doğrulama gibi güvenlik katmanları neden yok?
4. Değiştirilen tercihlerin niteliği ne? Rastgele mi yoksa belli bir özel üniversite + burslu gibi detaylar mevcut mu?
5. Mağdurlar için yedek hak ya da “tercih listesi eski haline dönsün” gibi bir prosedür var mı?
6. Bu tür vakalar oluyorsa, benzer vakalar geçtiğimiz yıllarda ya da önümüzdeki YKS/yerleştirme sistemlerini nasıl etkiledi, nasıl etkileyecek?

Aynı IP, Farklı Port Ne Demek?

Olayın 3 mağduru için “aynı Ümraniye IP’si ama farklı port” ifadesi var. Bunun anlamı ne olabilir diye düşünelim. Çünkü teknik olarak olayı anlamak açısından kritik.

IP adresi, bir cihazın (veya ağ geçidinin) internetteki “kimliği”dir. Port numarası ise, o cihaz üzerinde hangi uygulamanın veya oturumun çalıştığını belirtir. Yani: IP = evin adresi, Port = evdeki kapı numarası gibi düşünülebilir.

“Aynı IP ama farklı port” ne demek derseniz, aynı cihazdan (ya da aynı NAT arkasındaki ağdan) birden fazla bağlantı kurulmuş, her bağlantı sistem tarafından farklı port numarası üzerinden açılmış.

Buna göre olası teknik senaryolar şöyle düşünülebilir :

1. Aynı ev / kurum ağı (NAT) : Aynı internet bağlantısını kullanan farklı cihazlar (örneğin bir evdeki 4 bilgisayar) dış dünyaya aynı IP ile çıkar, ama farklı portlar atanır. Bu nedenle sistem loglarında “aynı IP, farklı port” görünür.
2. Aynı kişi, farklı oturum : Bir kullanıcı kısa süre içinde birden fazla oturum açmışsa (tarayıcı–mobil–VPN vs.), sistem her seferinde yeni port verir.
3. VPN veya proxy kullanımı : Eğer saldırgan bir VPN / proxy üzerinden işlem yapıyorsa, aynı IP havuzunu kullanabilir, ama her bağlantıda başka port numarası görünebilir.
4. Otomatik bot/script : Aynı IP’den ama farklı portlardan gelen kısa süreli çoklu istekler, bazen bir otomasyon yazılımının (script) çalıştığını gösterir.

O zaman “Aynı IP’den ama farklı portlarla” birden çok öğrencinin tercihlerinin değiştirilmesi, aynı ağ üzerinden (örneğin ofis, okul, VPN sunucusu) işlem yapıldığına işaret eder. Bu, tek bir kişinin birden fazla hesapla işlem yaptığı veya ortak bir aracı sistem (VPN, bot, eğitim danışmanlığı ofisi) kullanıldığı ihtimalini güçlendirir. Eğer gerçekten mağdur öğrenciler birbirini tanımıyor ve bu IP onlara ait değilse, o zaman sistemli bir dış müdahale veya kurumsal erişim sızıntısı söz konusu olabilir. Yani dışarıdaki bir aynı fiziksel lokasyondan ya da aynı VPN çıkış noktasından bu işlemler yapılmış.

IP Maskeleme Nasıl Yapılır?

Bir yandan da, Ukrayna, Rusya vs ülke adlarının geçmesi, olayın son IP’sinin Ümraniye olması olasılığında bile, IP maskelemeyi akla getiriyor. Gizlilik ya da anonimlik sağlamak açısından işlemin yapıldığı IP adresini “maskelemek”, IP adresinin internette görünen çıktısını değiştirmek veya gizlemek istenmiş olabilir. Böylece, ziyaret edilen sitelerde doğrudan gerçek IP görülmez. Ama IP gizlense bile, oturum bilgileri, giriş token’ları, vaya ödeme bilgileri gibi davranışlardan gerçek kimliğe ulaşılabilir. Havuz IP, VPN, Tor ya da Proxy kullanılarak yapılabilir.

ÖSYM Tercih Sistemi Nasıl Çalışıyor?

Adaylar, https://ais.osym.gov.tr adresine girer ve tercihlerini yaparlar. Giriş için iki ayrı yöntem vardır:

1. ÖSYM Aday İşlemleri Sistemi (AIS) şifresiyle giriş: T.C. kimlik numarası, Aday işlemleri şifresi, Güvenlik kodu
2. e-Devlet üzerinden kimlik doğrulamasıyla giriş: TC Kimlik numarası, e-Devlet şifresi veya mobil imza / e-imza

Doğrulama “Kimlik Paylaşım Sistemi” (KPS) üzerinden yapılır. Giriş yapan aday, “Tercihlerim” menüsüne geçerek, Üniversite, bölüm kodu, burs durumu, vb. tercihlerini girer ve sisteme kaydeder. En son “Onayla” butonuna basar ve tercih listesi PDF olarak indirilir. Değişiklik yapılırsa sistem log’u (IP, saat, cihaz, tarayıcı bilgisi) kaydeder.

ÖSYM sistemi, tam kimlik ve sınav verisiyle çalışır. Yani erişim elde eden biri sadece tercihleri değil, adayın tüm kişisel dosyasını da görebilir. Görebildiği bilgiler şunlardır :

• Kimlik bilgileri T.C. Kimlik No, ad-soyad, doğum tarihi, anne-baba adı
• İletişim Telefon, e-posta, adres
• Eğitim geçmişi Lise adı, diploma notu, okul türü
• Sınav bilgisi YKS oturum puanları, başarı sırası, tercih hakkı
• Tercih işlemleri Tüm tercih listeleri, onay tarihleri, IP logları
• Engelli/özel durum kodları (Varsa) özel erişim hakları

ÖSYM sistemine VPN veya yurt dışı IP’den giriş denemeleri genellikle “şüpheli erişim” olarak loglanır ama otomatik engellenmez. Yani Ukrayna veya Rusya IP’sinden giriş denemesi, ya: kişinin kendi hesabına erişmeye çalışan bir saldırganın VPN denemesi olabilir, ya da sistemin kimlik doğrulama katmanına erişim sağlamak isteyen bir otomasyon aracının (bot) izidir.

ÖSYM dijital altyapısında dikkat edilmesi gereken hususlar

• Zayıf / tek faktörlü kimlik doğrulama : ÖSYM/AIS’e yalnızca kullanıcı adı + şifre ile erişim sağlanıyorsa; çalınmış şifrelerle (phishing, sızma) kolayca oturum açılır. (senin vakada e-Devlet yönlendirmesi de benzer risk taşır).
• Eksik oturum yönetimi / token kontrolü :Aynı token/emir tekrar kullanılabiliyorsa veya oturum süreleri uzun tutuluyorsa “session replay” ile saldırı mümkün.
• Yetersiz log / kısa log saklama süresi : Kritik olay anına ait erişim/log verileri hızlı siliniyorsa adli inceleme zorlaşır; logların UTC senkronu ve hash’lenmesi yoksa bütünlük tartışılır.
• Yönetici/İçeriden yetki kötüye kullanımı : Yetersiz yetki yönetimi (separation of duties) veya admin hesapların korunmaması içerden müdahalelere izin verir.
• 3. taraf entegrasyon zayıflıkları (e-Devlet, SMS servis sağlayıcıları, danışmanlık platformları) : e-Devlet yönlendirme (SAML / OAuth) ve SMS doğrulama sağlayıcıları üzerinden token veya bildirim manipülasyonu olabilir.
• Ağ / WAF eksikleri; bot ve otomasyon koruması yetersiz : Brute-force, credential-stuffing ve otomasyon istekleri WAF/IDS tarafından yeterince engellenmiyorsa toplu değiştirmeler mümkün.
• Veritabanı yetki ve yedekleme zafiyetleri : DB erişim denetimleri, ayrı audit logları ve veri şifrelemeleri yoksa veritabanı üzerinden doğrudan değişiklik yapılabilir.
• CI/CD gizli anahtar sızıntıları / kod inceleme eksikliği : Pipeline’larda saklı anahtar (db credentials, admin API key) sızmışsa dışardan kolay erişim sağlanabilir.

ÖSYM’ye yönelik DDoS/çökertme eylemleri ve benzeri hedeflenmiş eylemler geçmişte kayda geçti (ör. 2012–2017 döneminde Redhack/Anonymous benzeri eylemler ÖSYM erişimini etkiledi). “E-Devlet veri sızıntısı” iddiaları zaman zaman gündem oldu; devlet yetkilileri teknik incelemelerle bazılarının “hesap ele geçirmeye/kimlik avına dayalı” olduğunu, e-Devlet çekirdeğinin doğrudan sızdırılmadığını açıkladılar.

Bu durumda, ne olmuş olabilir?

• Ümraniye IP’si Gerçek işlemin yapıldığı cihaz veya çıkış noktası.
• Ukrayna/Rusya IP’lerinden e-Devlet denemesi VPN veya proxy ile giriş denemesi; şifreyi bilen (veya ele geçiren) biri, e-Devlet’ten geçiş sağlamaya çalışmış olabilir.
• Aynı anda birden fazla öğrencinin tercihi değişmişse Muhtemelen aynı bilgisayardan (veya aynı VPN çıkış noktasından) toplu işlem yapılmış.

Bu noktadaki en önemli eleştiri noktası, ÖSYM girişinde iki faktörlü doğrulamanın (2FA) mecburi olmaması. ÖSYM veya e-Devlet sistemi, bu kadar önemli olan, gençlerin geleceğini etkileyen bı şu anda “telefon onayı / SMS doğrulaması” zorunlu kılmıyor. Eğer birisi adayın T.C. kimlik numarasını ve e-Devlet şifresini biliyorsa (örneğin dolandırıcılık veya veri sızıntısı yoluyla), sisteme girip tercihleri değiştirebilir. Sistem bu değişikliği loglasa bile, öğrenci fark etmeyebilir çünkü genelde sonuç günü öğreniliyor.

Bu yapı şu anlama geliyor: Eğer bir saldırgan ya da yetkisiz kişi bir öğrencinin e-Devlet şifresini ele geçirmişse, yurt dışından bile (VPN, proxy üzerinden) ÖSYM’ye girip tercihi değiştirebilir. Sistem sadece “kimlik doğrulandı” olarak görür, IP’yi not eder ama işlemi durdurmaz. Bu nedenle Ukrayna/Rusya IP’lerinden deneme, ardından Ümraniye IP’sinden onaylanmış işlem — bir aracı kişi veya dolaylı erişim zinciri olduğunu düşündürüyor.

Kim ve Neden Yapmış Olabilir?

Bu olayın meydana gelmesinde 3 olasılık düşünülebilir; içeriden sızma, dışarıdan siber müdahele ya da öğrencilerin birlikte çalıştıkları danışmanlık şirketlerinin erişimi. Hangisinin olduğunu ancak bilgisayar loglarındaki izlerden tespit edebiliriz. Şöyle bir bakalım;

1. İçeriden sızma : ÖSYM çalışanı veya yetkili sistem erişimi olan birisi, tercihleri değiştirebilir. IP-port maskelenebilir. İdari erişim kayıtlarında anormal sorgular (diğer adayların dosyalarını tarama), erişim yetkisi olmayan hesapların yetki yükseltme izleri ve yüksek yetkili IP’lerinin (kurumsal ağ) kullanıldığı dair izler varsa işlem yapan hesap bir ÖSYM iç kullanıcısına ait olabilir.
2. Dışarıdan siber müdahale ile adayların e-Devlet ve ÖSYM şifreleri ele geçirilmiş; saldırgan VPN ile farklı ülkelerden, sonra yerel (Ümraniye) çıkıştan işlemi tamamlamış olabilir. Oturum fingerprint (user agent, tarayıcı parmakizi) ile uyuşmayan cihaz bilgilerini incelemek lazım.
3. Danışmanlık-ofisi / ortak bilgisayar olabilir. Aile/öğrenci yerine başkası yani danışmanlık firması, rehber öğretmen vs tek IP çıkışı kullanarak birden fazla aday için işlem yapmış olabilir. Aynı fiziksel IP’den birçok aday işlemi ve oturum zamanları uyuyor. İşlem sırasında kullanılan tarayıcı fingerprint’lerinin benzer olup olmadığına (aynı pc/başka cihaz) bakmak lazım.

Kim yapmış olabilir diye baktığımızda ortaya şöyle olasılıklar geliyor;

Delil toplama listesi

Son olarak bir destek anlamında, hangi delillerin gerekli olduğunu da ekleyelim;