Kimlik hırsızlarının sırrı çözüldü

İstanbul Bilişim Polisi’nin 70 milyonun vatandaşlık ve kimlik bilgilerini ele geçiren 15 kişilik çeteyi çökertmesinin ardından Türk İnternet Evleri Derneği (TİEV) konuyu incelemek için bir araştırma ekibi kurdu. Yapılan araştırmada T.C. Nüfus ve Vatandaşlık İşleri GenelMüdürlüğü tarafından güvenli olduğu açıklanan MERNİS’te (Merkezi Nüfus İdare Sistemi) güvenlik açığı olduğu ortaya
çıktı.

Gazete Habertürk'ten Bayram Ok'un haberine göre kurulan ekipte proje sorumlusu olarak yer alan 18 yaşındaki Samsun temsilcisi, web programlama ve algoritma teknolojileri uzmanı Mustafa Altınkaynak, T.C. Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü yetkililerinin “TC kimlik numaralarında herhangi bir algoritma yok” açıklamasına rağmen numaralarda algoritma olduğunu açıkladı.

ALGORİTMA ÇOK BASİT

Kimlik numalarında çok basit bir algoritma uygulandığını belirten Altınkaynak bu iddialarına şöyle açıklık getirdi: “Referans alınan kimlik numarasının son 2 hanesi belli bir oranda artışla (+16, +26, +36... gibi) verilmiş. TC Kimlik
numaralarının 2 hanesi her zaman için çift sayıdır. Kimlik numarasının orta hanelerinde aynı oranda artışlar gerçekleşiyor. Akrabalık bağları bulunan kişilere ait TC kimlik numaralarının ilk 3 hanesi aynı, sonraki 2 haneye hep +3 ilave edilerek gitmiş, sonraki 2 hane hep aynı, sonraki 2 hane ise -1 azaltılarak gitmiş. Üzerinde basit bir pariteyle hata bulma özelliği bulunuyor. İlk 10 rakamın toplamının birler basamağı, 11. rakamı vermekte. Ayrıca; 1, 3, 5, 7 ve 9. rakamın toplamının 7 katı ile 2, 4,6 ve 8. rakamın toplamının 9 katının toplamının birler basamağı 10. rakamı; 1, 3, 5, 7 ve 9. rakamın toplamının 8 katının birler basamağı 11. rakamı vermekte.” İstismar olmasını engellemek için bu sayısal düzenin tümünü açıklamadıklarını söyleyen Altınkaynak “Yaptığımız çalışmalar sonrası da referans olarak alınan bir kimlik numarasından diğer tümaile bireylerinin yanı sıra tümkan bağı olan kişilere ait TC Kimlik numaralarına ulaşabilmektedir. Bununla birlikte internet üzerinden Kimlik Paylaşımı Sistemleri (KPS) sayesinde de kimlik numaraları hakkında bilgiler bulunabiliyor. Kimlik numaralarının dağılımının belli bir düzen içinde olması vatandaş için son derece tehlikelidir” dedi.

YENİDEN DÜZENLENMELİ

Bu bilgilerle devlet dairelerinden, bankalara, sigorta şirketlerine, sağlık kuruluşlarından, eğitim kurumlarına kadar bir vatandaşa ait her bilgiye ulaşılabileceğini de ifade eden Altınkaynak, “Bu bilgiler farklı amaçlariçin kullanılabilir. TC Kimlik numaralarının bu kadar basit bir düzende verilmemesi gerekir. Sistemin yeniden düzenlenmeye ihtiyacı var. Bu vatandaşların güvenliği açısından önemlidir” dedi. MERNİS’in aslında çok sağlam bir sistem olduğunu belirten Altınkaynak, “MERNİS üzerinden bilgi alışverişi yapmakmümkün değil. Çünkü giren çıkan bilgiler 7 kez denetimden geçiyor. Ancak çok basit bir algoritma uygulandığından yeniden düzenlenmesi şart” dedi.

70 MİLYONUN KİMLİK BİLGİSİNİ ÇALMIŞLARDI

İSTANBUL Bilişim Sistemleri ve Suçları Şube Müdürlüğü tarafından 8 aylık çalışmanın ardından geçtiğimiz hafta İstanbul, Mersin, Antalya, Muğla ve Kayseri’de eşzamanlı düzenlenen operasyonda 15 kişi gözaltına alındı.

Kamu kurum ve kuruluşlarının veri tabanlarına girerek Türkiye’deki 70 milyon vatandaşın adres, kimlik ve telefon bilgilerini ele geçirdikleri ve 2 bin 500 liraya sattıkları öne sürülen zanlıların en önemli müşterilerinin hukuk büroları olduğu
belirlendi. Yaklaşık bin 500 hukuk bürosunun, adres bilgilerini içeren Mozaik
programını satın aldığı belirlendi. Yasadışı yollarla ele geçirdikleri bilgileri, icra takibi için hukuk bürolarına sattıkları öğrenilen zanlıların 3 milyon TL kazanç elde ettikleri de öne sürüldü.