Kişişel bilgilerin mahremiyeti dünyada birçok yerde olduğu gibi ne yazıkki Türkiye’de de pek dikkat edilmeyen ve de kolayca zaafiyete uğratılan bir konudur. Toplum genelinde mahremiyet bilinci oluşmadığından devlet kurumları olsun özel kurumlar ya da kişiler olsun ellerinde var olan kişişel bilgilerin mahremiyetini gözardı edip erişimin herkese açık olduğu İnternet ortamında bu bilgileri paylaşabiliyorlar.
Bunun en bariz örneğini KEY ödemelerinin yapıldığı dönemde yaşamıştık. Bir çok gazetede KEY alacaklılarının T.C. kimlik numarası ve Ad-Soyad bilgisi yayınlandı. Oysa T.C. kimlik numarasının kişisel bilgi olması sebebi ile mahremiyetinin sağlanması gerektiği es geçildi. KEY olayı sadece bir örnektir. Arama motorlarında biraz zaman harcayarak birçok web sitesinde T.C. kimlik numaralarına ulaşmak hala mümkündür.
Bu blogda ülkemizde karşılaştığımız mahremiyet ihlallerinden zaman zaman bahsetmek istiyorum. İspark ile başlayalım. İspark online park borcu sorgulama hizmeti sunmaktadır. Bu hizmet sayesinde plaka ve CAPTCHA güvenlik kodunu girerek istediğiniz araca ait park borçlarını öğrenebiliyorsunuz. Sadece kendimizin bilmesi gereken özel bir bilgi herkes tarafından erişilebilir durumdadır ve bu açık bir mahremiyet ihlalidir.
İspark örneğinin diğer bir düşündürücü yanıda CAPTCHA kontrolünün gerektiği gibi yapılmamış olmasıdır. Bu açığı kullanarak bu sorgulama sistemine kayıtlı bütün araçların borçlarını listeleyen bir program yazmak mümkündür. CAPTCHA kontrolü, insan ile bilgisayar programlarını birbirinden ayırt etmek için kullanılır. Dolayısı ile CAPTCHA’nın içindeki güvenlik kodunun otomatik programlar tarafından tanınamaması esastır. İspark, CAPTCHA kodunu direk kaynak koda parametre olarak koyarak bu gereksinimi görmezden gelmiş. Aşağıdaki ekran görüntülerinden bu sorun açıkça gözülmektedir.
Almanya’da bu tür bilgilere erişim ancak son kullanıcı ile güvenli bir yol üzerinden gizli parola değişimi gerçekleşti ise İnternet üzerinden gerçekleştirilmektedir. Aksi takdirde bilgi verme işlemi posta yolu ile gerçekleşmektedir. Posta sistemi de Türkiye’deki ile karşılaştırıldığında oldukça güvenlidir. Posta dağıtıcısı şayet ilgili mektubun üzerindeki alıcı ismi posta kutusunda yazmıyor ise postayı oraya bırakmaz. Mektuplar hiçbir zaman uluorta bırakılmaz, her zaman kilitli posta kutusuna atılır.
Benzer bir mahremiyet ihlalini, TMSF “Zamanaşımı Hesapları Önbildirim Sorgulama” servisi aracılığı ile yapmış ve de birçok kimsenin bankalarda unuttukları para bilgilerine erişime izin vermişti.
Başta da belirttiğim gibi mahremiyet ihlalleri sorunu toplumun bu konuda hassasiyet kazanması sayesinde gelişebilecek bir konudur. Umarım bu konuda toplum bilincimiz de zamanla gelişir.
