Kimlik Numarasıyla Kişisel Bilgilere Erişim: İhtiyat Sandığı’nda Güvenlik Açığı

İhtiyat Sandığı’nda Veri Skandalı: Sistem Açık, Güvenlik Kapalı!

İhtiyat Sandığı Dairesi’nin resmi internet sitesinde yer alan avans başvuru sayfasında ciddi bir güvenlik açığı tespit edildi. Yazılım uzmanı Aytaç Güley, yalnızca KKTC Kimlik Numarası girilerek kullanıcıya ait anne adı, baba adı, sigorta sicil numarası gibi kişisel bilgilere kolaylıkla erişilebildiğini kamuoyuyla paylaştı. Bu erişim, hiçbir giriş kontrolü veya teknik engelle karşılaşmadan gerçekleştirilebiliyor.

“Hackleme Yok, Yapısal Güvensizlik Var”
Güley, sistemin dışarıdan müdahale edilmeden, kendi tasarımı gereği verileri halka açık bıraktığını vurgulayarak iddialara tepki gösterdi. Güvenlik katmanı bulunmayan sistemin siber saldırılara açık olduğunu belirtti:

“Veriler zaten herkesin erişimine açıktı, sisteme sızma gerekmeden görüntülenebiliyordu.”

Şifreleme Bile Yok!
Dahası, sistemde bulunan kişisel verilerin şifrelenmeden, düz metin olarak veri tabanında saklandığı öne sürülüyor. Bu durum Kişisel Verilerin Korunması Yasası’na doğrudan aykırı ve kurumun teknik sorumluluğunu sorgulatan bir ihmal anlamına geliyor.

Yasal Sorumluluklar Yerine Getirilmedi Mi?
Güley’in açıklamasında, KKTC Anayasası’nın özel hayat ve kişisel verilerin korunması ilkesine, Kamu Görevlileri Yasası’na ve KVKK’ya işaret edilerek, kurumun yasal yükümlülüklerini yerine getirmediği savunuldu.

Muhtemel Saldırı Senaryoları
Güley, güvenlik açığının kötü niyetli kişilerce kullanılması halinde olası siber saldırıların neler olabileceğini teknik örneklerle açıkladı:

Lefkoşa’da Gizemli Market Hırsızlığı

İçeriği Görüntüle

• • Brute Force ile veri toplanabilir, kimlik numaraları algoritmik olarak denenerek binlerce kişisel bilgi elde edilebilir.
  • Phishing (kimlik avı) saldırıları gerçekleştirilebilir; sahte e-postalarla kullanıcıların hassas verileri ele geçirilebilir.
  • Sosyal mühendislik teknikleriyle kurbanlar telefonla kandırılabilir.
  • Veriler deep web’de yayılabilir, kurumun itibarı zedelenebilir.
  • DoS saldırılarıyla sistem çökertilebilir, hizmetlere erişim durabilir.

• • “Gerçeklerden Uzak ve Yanıltıcı Yaklaşımlar”

  Açığın İhtiyat Sandığı yetkililerine aynı gün bildirildiğini söyleyen Güley, kurumla bağlantılı yazılım firmalarının bu durumu “hackleme” olarak çarpıtmasının, güvenlik zaafını perdelemeye yönelik olduğunu savundu. “Sistemi hacklemeden sadece bir kimlik numarası girerek bilgiye ulaşan kişi nasıl hacker olabilir? Bu, teknik ve hukuki olarak temelsiz bir iddiadır.”

Kamu Güveni Sarsılıyor
Siber güvenlik uzmanları ve hukukçular, bu tür açıkların devlet sistemlerinde kabul edilemez olduğunu, kamuoyuna hesap verilmesi gerektiğini vurguluyor. İddialar, kamu kurumlarının dijital altyapılarını nasıl denetlediği ve koruduğuna dair ciddi soru işaretleri doğurmuş durumda.