Bu yazımda mahremiyet ihlallerine konusuna devam etmek istiyorum.

Bu seferki ihlali gerçekleştiren Maliye Bakanlığına bağlı Gelir İdaresi Başkanlığı. Bu devlet kurumu gerçekleştirdiği bir online uygulama ile kira geliri beyan işlemini İnternet ortamına taşımışlar. Hizmet güzel ancak uygulamaya girme işlemi hiç güvenli değil. Aşağıdaki resimde görüldüğü üzere uygulamaya girmek ve kişisel bilgilere erişmek için sadece T.C. kimlik numarası ve Nüfus Cüzdan Seri Nosu gerekmektedir. Ancak bu tip kişisel bilgilere ulaşmak, İnternet ortamında yapacağınız ufak çaplı aramalarla mümkün olduğunu biliyoruz.

Bu uygulama sayesinde birçok kişinin kirada olan ev bilgilerine ulaşmak ve onlar adına kira beyanında bulunmak mümkün. Bir başkası tarafından kendisi adına yanlış kira beyanında bulunulduğu zaman ilgili kişinin bunu yetkililere nasıl anlatacağı, ispat edeceği ayrı bir konu.

Asıl burada merak ettiğim bütün devlet kurumlarına ait e-hizmetlere erişimler turkiye.gov.tr üzerinden e-devlet şifresi kullanarak yapılması hedeflenirken niçin birtakım devlet kuruluşlarının bu uygulamanın dışına rahatça çıkabilmeleri ve de bunu denetleyen, düzelten kimsenin olmaması. Kaldı ki Maliye Bakanlığı e-Yolluk ve e-Bordro uygulamaları ile zaten turkiye.gov.tr platformunda yer alıyor.

Kişişel bilgilerin mahremiyeti dünyada birçok yerde olduğu gibi ne yazıkki Türkiye’de de pek dikkat edilmeyen ve de kolayca zaafiyete uğratılan bir konudur. Toplum genelinde mahremiyet bilinci oluşmadığından devlet kurumları olsun özel kurumlar ya da kişiler olsun ellerinde var olan kişişel bilgilerin mahremiyetini gözardı edip erişimin herkese açık olduğu İnternet ortamında bu bilgileri paylaşabiliyorlar.

Bunun en bariz örneğini KEY ödemelerinin yapıldığı dönemde yaşamıştık. Bir çok gazetede KEY alacaklılarının T.C. kimlik numarası ve Ad-Soyad bilgisi yayınlandı. Oysa T.C. kimlik numarasının kişisel bilgi olması sebebi ile mahremiyetinin sağlanması gerektiği es geçildi. KEY olayı sadece bir örnektir. Arama motorlarında biraz zaman harcayarak birçok web sitesinde T.C. kimlik numaralarına ulaşmak hala mümkündür.

Bu blogda ülkemizde karşılaştığımız mahremiyet ihlallerinden zaman zaman bahsetmek istiyorum. İspark ile başlayalım. İspark online park borcu sorgulama hizmeti sunmaktadır. Bu hizmet sayesinde plaka ve CAPTCHA güvenlik kodunu girerek istediğiniz araca ait park borçlarını öğrenebiliyorsunuz. Sadece kendimizin bilmesi gereken özel bir bilgi herkes tarafından erişilebilir durumdadır ve bu açık bir mahremiyet ihlalidir.

İspark örneğinin diğer bir düşündürücü yanıda CAPTCHA kontrolünün gerektiği gibi yapılmamış olmasıdır. Bu açığı kullanarak bu sorgulama sistemine kayıtlı bütün araçların borçlarını listeleyen bir program yazmak mümkündür. CAPTCHA kontrolü, insan ile bilgisayar programlarını birbirinden ayırt etmek için kullanılır. Dolayısı ile CAPTCHA’nın içindeki güvenlik kodunun otomatik programlar tarafından tanınamaması esastır. İspark, CAPTCHA kodunu direk kaynak koda parametre olarak koyarak bu gereksinimi görmezden gelmiş. Aşağıdaki ekran görüntülerinden bu sorun açıkça gözülmektedir.

Almanya’da bu tür bilgilere erişim ancak son kullanıcı ile güvenli bir yol üzerinden gizli parola değişimi gerçekleşti ise İnternet üzerinden gerçekleştirilmektedir. Aksi takdirde bilgi verme işlemi posta yolu ile gerçekleşmektedir. Posta sistemi de Türkiye’deki ile karşılaştırıldığında oldukça güvenlidir. Posta dağıtıcısı şayet ilgili mektubun üzerindeki alıcı ismi posta kutusunda yazmıyor ise postayı oraya bırakmaz. Mektuplar hiçbir zaman uluorta bırakılmaz, her zaman kilitli posta kutusuna atılır.

Benzer bir mahremiyet ihlalini, TMSF “Zamanaşımı Hesapları Önbildirim Sorgulama” servisi aracılığı ile yapmış ve de birçok kimsenin bankalarda unuttukları para bilgilerine erişime izin vermişti.

Başta da belirttiğim gibi mahremiyet ihlalleri sorunu toplumun bu konuda hassasiyet kazanması sayesinde gelişebilecek bir konudur. Umarım bu konuda toplum bilincimiz de zamanla gelişir.