Resmi kurumlarda kaydı bulunan 108 milyon yurttaşın kişisel verileri, kimlik numaralarından ev adreslerine kadar çalındı. Çalınan veriler arasında 82 milyon kişinin ikamet adresi ve 134 milyon GSM numarası da yer alıyor. Verileri korumakla yükümlü olan Bilgi Teknolojileri ve İletişim Kurumu (BTK), bu durumun ciddiyetini kabul ederek Google’dan yardım talep etti.
Free Web Turkey'den Ali Safa Korkut'un haberine göre, çalınan veriler arasında ad, soyad, TC kimlik numarası, aile sıra numarası, kişi sıra numarası, doğum tarihi, doğum yeri, nüfusa kayıtlı oldukları il, ilçe ve köy, medeni durum, ölüm tarihi, ikamet adresi ve cep telefonu numarası gibi bilgiler bulunmaktadır. Bilgisayar korsanları, bu verileri "Yenilenmiş TC", "Adres", "GSM", "101m" ve "GSM" (ikinci bir dosya) adlı beş farklı Google Drive dosyasında topladı.
Ulusal Siber Olaylara Müdahale Merkezi (USOM), verilerin çalındığını fark ettikten sonra Google ile iletişime geçerek, yurttaşların kimlik avı saldırılarına, kullanıcı hesaplarının ele geçirilmesine ve diğer siber saldırılara karşı korunması gerektiğini belirtti. USOM, Google’a ilgili Drive dosyalarının bağlantılarını ileterek "acil" koduyla derhal kaldırılmalarını istedi.
Toplam boyutu 42.18 GB olan bu veriler, Türkiye Cumhuriyeti vatandaşı olan veya olmayan, Türkiye’deki herhangi bir resmi kurumda kaydı bulunan tüm yurttaşlara aittir. Çalınan veriler arasında 108 milyon 571 bin 832 kişiye ait TC kimlik numarası, 82 milyon 322 bin 190 kişinin ikamet adresi ve 134 milyon 817 bin 279 cep telefonu numarası bulunmaktadır.
Veri dosyalarının formatı, veri kaydı için yaygın olarak kullanılan XLS (Microsoft Excel) veya CSV formatlarından farklılık gösteriyor. Bilgisayar korsanları, büyük boyutları nedeniyle dosyaları MySQL’in MYD ve MYI formatlarında kaydetti. MySQL, büyük veri setlerini yönetebilen bir veritabanı yönetim sistemidir ve aynı anda yüzbinlerce talep işleyebilme kapasitesine sahiptir.
BTK, Google’dan işbirliği talep ederek, ilgili dosyaları yükleyen kullanıcıların hesap kimlikleri, IP adresleri ve port numaralarını da istedi. USOM, 29 Temmuz ve 3 Eylül tarihlerinde Google’a gönderdiği yazılarda, hızlı yanıtın etkilenen kullanıcıların güvenliği açısından önem taşıdığını vurguladı.
MLSA Hukuk Birimi, kişisel verilerin çalındığını 2023 yılında ortaya çıkarmış ve İçişleri Bakanlığına dava açmıştı. Dava reddedildikten sonra konuyu Anayasa Mahkemesi’ne taşıyan MLSA, verileri korumakta dikkatsizlik gösteren idarenin özel yaşamın gizliliği, ifade özgürlüğü ve adil yargılanma hakkını ihlal ettiğini savundu. MLSA, kişisel verilerin açıkça yayınlanmasının büyük bir tehdit oluşturduğunu belirtti.