🔴 18 sayfalık adli bilişim raporu, Darkweb’de paylaşılan İBB e-posta ve şifrelerinin kurum sistemlerinden değil, eski veri ihlallerinden elde edildiğini ortaya koydu.
CHP’nin Cumhurbaşkanı Adayı ve İstanbul Büyükşehir Belediyesi (İBB) Başkanı Ekrem İmamoğlu, siyasi danışmanı Necati Özkan, gazeteci Merdan Yanardağ ve Hüseyin Gün hakkında siyasi casusluk suçlamasıyla açılan dava, İBB verilerinin sızdırıldığı iddiasına dayanıyor.
İddianamede “ibb.gov.tr” uzantılı çok sayıda e-mail adresinin ve şifrenin Necati Özkan tarafından Darkweb’e aktarıldığı ileri sürülüyor. Özkan’ın “OSİNT’e bak” demesi üzerine Hüseyin Gün’ün açık kaynak istihbaratı yaparak İBB’nin gizli belgelerine ve iç yazışmalarına eriştiği, bu veriler üzerinde ortağı Aaron Bar tarafından analiz çalışması yapıldığı iddia ediliyor.
18 SAYFALIK UZMAN RAPORU
Gazeteci İsmail Saymaz’ın aktardığına göre; Bar’ın Amerikan istihbarat servisinin dijital projeler koordinatörü olduğu, dolayısıyla İBB’ye ait e-mail içeriklerinin istihbarat servisleri tarafından ele geçirildiği öne sürülüyor. Bu datalarla algı oluşturularak 23 Haziran 2019’da yinelenen İstanbul seçiminin Ekrem İmamoğlu lehine manipüle edildiği iddia ediliyor.
İddianamenin hazırlanmasının ardından Necati Özkan’ın avukatı Erkam Erdem, Ergenekon, Balyoz ve ByLock davalarında yazdığı raporlarla bilinen adli bilişim uzmanı Tuncay Beşikçi’ye başvurdu. Beşikçi, Özkan’ın emniyet ifadelerinde yer alan İBB sızıntısının izini sürerek 18 sayfalık uzman raporu hazırladı.
5 Şubat tarihli raporda “OSİNT” ve “Darkweb” kavramlarına da açıklık getirildi. Rapora göre OSİNT, “Open Source Intelligence” ifadesinin kısaltması olarak açık kaynak istihbaratını ifade ediyor ve açık bilgi kaynaklarından yüklenmiş ya da sızdırılmış verilerin toplanıp analiz edilmesi anlamına geliyor. Darkweb ise özel yazılımla erişilebilen ağları ifade ediyor. Raporda, OSİNT ve Darkweb kullanımının tek başına hukuka aykırı olmadığı, ancak bu ağlarda hukuka aykırı elde edilen kişisel verilerin paylaşılabildiği belirtildi.
SIZINTI İBB SİSTEMİNDEN DEĞİL
Uzman raporunda, Darkweb’e sızdırıldığı iddia edilen verilerin İBB sisteminden değil, İBB çalışanlarının bireysel olarak üye oldukları internet sitelerinden ele geçirildiği ifade edildi.
Raporda, Hüseyin Gün’ün emniyet ifadesinde yer alan “ibb.gov.tr” uzantılı e-mail adreslerinin “leak myspace_20170910” ve “leak-jan19_20190314” adlı veri setlerinde bulunduğu belirtildi. Bu veri setlerinin sırasıyla 10 Eylül 2017 tarihli MySpace sızıntısı ile 14 Mart 2019’da yüklenen veri sızıntılarına işaret ettiği kaydedildi.
Raporda örnek olarak verilen bir İBB çalışanının e-mail adresinin, MySpace adlı sosyal paylaşım sitesine kullanıcı adı ve şifre ile kayıtlı olduğu ve bu sitenin 2008’de yaşadığı veri ihlali kapsamında milyonlarca hesapla birlikte ele geçirildiği belirtildi. Bu verilerin daha sonra Darkweb’de satışa çıkarıldığı ve MySpace’in kullanıcı giriş bilgilerinin çalındığını doğruladığı ifade edildi. Saldırının “Peace” adlı bir siber korsan tarafından gerçekleştirildiği kaydedildi.
SON SIZMA 7 OCAK 2019
Raporda, ekran görüntülerinde yer alan diğer İBB e-mail adreslerinin ise 7 Ocak 2019’da “Collections” adı verilen veri seti kapsamında Darkweb’e yüklendiği, bu veri setindeki bağlantıların yalnızca Darkweb’de değil çeşitli forumlar ve sosyal medya platformlarında da paylaşıldığı belirtildi. Veri setinde farklı Türkçe sitelere ait kullanıcı bilgilerinin de bulunduğu ifade edildi.
Örnekler arasında, bir turizm sitesine İBB e-mail adresiyle üye olan kullanıcının bilgilerinin 2017’de sızdırıldığı, sanalmuze.org sitesine ait kullanıcı bilgilerinin ise 2016’da ele geçirildiği yer aldı.
Rapora göre 7 Ocak 2019’da yayımlanan veri setinde TBMM, Adalet Bakanlığı, Emniyet Genel Müdürlüğü, Milli Eğitim Bakanlığı ve TÜBİTAK’ın da aralarında bulunduğu 57 kamu kurumundan 171 kamu görevlisine ait “gov.tr” uzantılı e-mail adresleri ve farklı sitelerde kullanılan şifreler yer aldı.
Sızıntının “Sanix” adlı siber korsan tarafından derlendiği, “Azatej” adlı bir başka siber korsan tarafından yayımlandığı, iki şüphelinin Avrupa Polis Teşkilatı tarafından Polonya ve Ukrayna’da yakalanarak hapse atıldığı bilgisine de raporda yer verildi.
Raporda, siber korsanların 8-10 yıl boyunca topladıkları verilerin 2019’dan çok önce ele geçirilmiş olduğu belirtilerek, bu şifrelerle İBB sistemine doğrudan erişimin mümkün olmadığı vurgulandı. İBB e-posta sisteminin yeni cihaz girişlerinde ek güvenlik protokolleri uyguladığı ve basit şifrelerle sisteme girişe izin vermediği ifade edildi.
Uzman raporunda, “E-mail adresleri ibb.gov.tr uzantılı olsa da sadece bir kullanıcı adından ibarettir. Yalnızca belirlenen şifre ile üye olunan sitelerde çalışabilir. İBB adına yüksek risk teşkil edebilecek tek durum, ilgili personelin aynı şifreyi farklı platformlarda kullanmasıdır” değerlendirmesine yer verildi.
/Kaynak: Birgün/
