Kişişel bilgilerin mahremiyeti dünyada birçok yerde olduğu gibi ne yazıkki Türkiye’de de pek dikkat edilmeyen ve de kolayca zaafiyete uğratılan bir konudur. Toplum genelinde mahremiyet bilinci oluşmadığından devlet kurumları olsun özel kurumlar ya da kişiler olsun ellerinde var olan kişişel bilgilerin mahremiyetini gözardı edip erişimin herkese açık olduğu İnternet ortamında bu bilgileri paylaşabiliyorlar.

Bunun en bariz örneğini KEY ödemelerinin yapıldığı dönemde yaşamıştık. Bir çok gazetede KEY alacaklılarının T.C. kimlik numarası ve Ad-Soyad bilgisi yayınlandı. Oysa T.C. kimlik numarasının kişisel bilgi olması sebebi ile mahremiyetinin sağlanması gerektiği es geçildi. KEY olayı sadece bir örnektir. Arama motorlarında biraz zaman harcayarak birçok web sitesinde T.C. kimlik numaralarına ulaşmak hala mümkündür.

Bu blogda ülkemizde karşılaştığımız mahremiyet ihlallerinden zaman zaman bahsetmek istiyorum. İspark ile başlayalım. İspark online park borcu sorgulama hizmeti sunmaktadır. Bu hizmet sayesinde plaka ve CAPTCHA güvenlik kodunu girerek istediğiniz araca ait park borçlarını öğrenebiliyorsunuz. Sadece kendimizin bilmesi gereken özel bir bilgi herkes tarafından erişilebilir durumdadır ve bu açık bir mahremiyet ihlalidir.

İspark örneğinin diğer bir düşündürücü yanıda CAPTCHA kontrolünün gerektiği gibi yapılmamış olmasıdır. Bu açığı kullanarak bu sorgulama sistemine kayıtlı bütün araçların borçlarını listeleyen bir program yazmak mümkündür. CAPTCHA kontrolü, insan ile bilgisayar programlarını birbirinden ayırt etmek için kullanılır. Dolayısı ile CAPTCHA’nın içindeki güvenlik kodunun otomatik programlar tarafından tanınamaması esastır. İspark, CAPTCHA kodunu direk kaynak koda parametre olarak koyarak bu gereksinimi görmezden gelmiş. Aşağıdaki ekran görüntülerinden bu sorun açıkça gözülmektedir.

Almanya’da bu tür bilgilere erişim ancak son kullanıcı ile güvenli bir yol üzerinden gizli parola değişimi gerçekleşti ise İnternet üzerinden gerçekleştirilmektedir. Aksi takdirde bilgi verme işlemi posta yolu ile gerçekleşmektedir. Posta sistemi de Türkiye’deki ile karşılaştırıldığında oldukça güvenlidir. Posta dağıtıcısı şayet ilgili mektubun üzerindeki alıcı ismi posta kutusunda yazmıyor ise postayı oraya bırakmaz. Mektuplar hiçbir zaman uluorta bırakılmaz, her zaman kilitli posta kutusuna atılır.

Benzer bir mahremiyet ihlalini, TMSF “Zamanaşımı Hesapları Önbildirim Sorgulama” servisi aracılığı ile yapmış ve de birçok kimsenin bankalarda unuttukları para bilgilerine erişime izin vermişti.

Başta da belirttiğim gibi mahremiyet ihlalleri sorunu toplumun bu konuda hassasiyet kazanması sayesinde gelişebilecek bir konudur. Umarım bu konuda toplum bilincimiz de zamanla gelişir.

For understanding anonymity, it is quite important to know the terminology of anonymity. Pseudonymity, unlinkability, undetectability and unobservability are the most relevant terms which need to be well understood. Since 2000, Martin Hansen and Prof. Pfitzmann have been working on the terminology document of anonymity and explain all important terms, their relations and differences with examples and known mechanisms to achieve anonymity and the others.  The last version can be downloaded from this link. And the history of the terminology can be followed here.

The document contains also translations of many anonymity-relevant words into different languages. Turkish was missing and I translated that part into Turkish. It can be downloaded from here.

In the following, some definitions from the terminology are cited:
Read the rest of this entry »

After Mark Zuckerberg, the owner of Facebook, said privacy is no longer a ‘social norm’, Facebook changed its privacy policy and set default privacy settings of most user personal data as “public” without their consent. Facebook has been criticized drastically for this change and was forced to improve its privacy settings. And now Facebook says the new settings are much better and easier.

It is a known fact that people are the weakest link in the security chain. Strong privacy settings should be supported with the wisdom of users. They need to known possible threats and how to protect themselves. Considering Facebook, it is inevitable to keep friends list “secure”. That means one should add a person to his friend list if only he is sure about the identity of this person. This is critical because Facebook’s privacy protection system is mostly based on this distinction.
Read the rest of this entry »