Hoşgeldin, bugün sana 15 yaşındaki çocukların devleti nasıl hacklediğini, 101 milyon kişinin verisini nasıl çaldığını ve Discord’un oyun platformundan nasıl Türkiye’nin darkweb’ine dönüştüğünü anlatacağım. Absürt evet, ama maalesef gerçek.

Pandemi dönemi, 2020 yılı. Sokaklar bomboş, herkes evinde kilitli. 15 yaşındaki ergenler normalde sokakta top oynuyor olmalıydı fakat evlerinde bilgisayar başında FiveM diye bir oyunda server açıyorlar. Bu FiveM ne dersen, GTA 5’in modlu çoğaltılmış versiyonu gibi düşün. Bir sanal dünya kuruyorsun, insanlar geliyor burada polis, doktor, mafya rolü oynuyor. Sen de bu dünyanın tanrısısın, insanlar sana gerçek para veriyor sanal araba, sanal ev alabilmek için. Gerçek para diyorum, Visa ile falan ödeme yapıyorlar.

Derken bir problem çıkıyor. Serverda hile kullanan çocuklar türüyor, item çalıyorlar, oyunu bozuyorlar. Normal hayatta olsa gidip bir iki tokat atarsın adama, ama sanal dünyada napcan? Karşındaki sadece adamın nickname’i. Telefonu yok, adresi yok, yok oğlu yok.

Bizim server sahibi admin ne yapıyor peki? Sigorta acentesi sahibi tanıdığı var, gidiyor hileci çocuğun TC kimlik numarasını buluyor. Çocuğun yaş aralığını da biliyor nasılsa, sigorta acentesi panelinden arıyor, bu kadar. Ana adı, baba adı, adres, telefon, her şey. Bu bilgileri alıp Discord’a atıyor, o hileci o gece ortadan kayboluyor. Sunucuya bir daha girmemiş.

O gece herkes bir şeyin farkına varıyor: kişisel veri denen şey silah olarak kullanılabiliyormuş. Mızrağa benzetebilirsin bunu. Önce savunma amaçlı kullanıyorsun, sonra saldırı silahına dönüşüyor.

Bu noktadan sonra herkes delirmeye başlıyor. Sigorta acentelerinden veri çalınıyor, bazıları ikna edilerek bazıları bilgisayarlarına virüs bulaştırılarak. Bir ara oturuyor hayatsızın biri, bütün bu sorguları yapabilen bir panel icat ediyor. 2015 Mernis verisi var içinde, sigorta acentelerinden elde edilen güncel veriler var, e-devlet erişimleriyle elde edilen veriler var. Bu panel 2 oluyor, 3 oluyor, 5 oluyor, 10 oluyor. Çocuklar hesap paylaşım sistemi bile yazıyorlar ki panele erişim ucuza gelsin.

2021 Nisanına geliyoruz. Birisi Discord’da bir sunucu açıyor. Adı: FiveM Kabe. İçinde FiveM piyasasındaki ne kadar isim yapmış, nam salmış admin, moderatör, oyuncu varsa hepsinin ifşa dosyası var. Ana adı, baba adı, adres, telefon, akraba bilgileri, her şey. Bir gecede 6000 kişi bu sunucuya doluşuyor. Herkes önce kendi adına bakıyor, “beni de ifşa etmişler mi acaba” diye. Sunucu o kadar popüler oluyor ki, yeterince prim alınca kapatıyorlar. Sonra yeniden açıyorlar, bu sefer adı direkt “Allah” oluyor. Evet, yanlış okumadın. İçinde ne ahlak var, ne de dini-milli değerlere saygı. Çünkü klavyenin arkasına saklandığın zaman, kimse seni bulamıyor (en azından böyle sanılıyor).

Discord artık oyun iletişim platformu olmaktan çıkmış, Türkiye’nin kartel merkezi haline gelmiş durumda. Sosyal hayatı olmayan, arkadaş ortamında konum elde edemeyen çocuklar bilgisayar alanına yöneliyor, burada başarılı hissettikleri için daha fazla ileri gidiyorlar. İçlerinde biriken bütün pisliği, bütün etik olmayan düşünceleri anonimliğin arkasına saklanıp gerçeğe dönüştürüyorlar. Devlet? Devlet anlamıyor ki bunu. Discord’un altyapısı Türkiye’de değil, engelleyemiyorlar.

Bir süre sonra işler zorbalığa kaymaya başlıyor. Hoşlandıkları kızın erkek arkadaşının bilgilerini buluyorlar, tehdit ediyorlar. Kendilerine yüz vermeyen kızları ifşa ediyorlar Discord’da. 13. kattan atlayarak intihar eden 15 yaşında bir genç kız haberi geliyor. Ama kimse durmuyor, çünkü çocuklar için bir sınır yok, korku algısı da yok. Ceza alacaklarını düşünmüyorlar, çünkü etraflarında kimse ceza almıyor.

Bizim 15 yaşındaki adminimiz bir gün annesine gidip her şeyi anlatıyor. Kendi işlediği suçlar dahil bu grubun yaptığı her şeyi. Annesiyle beraber emniyete gidiyorlar. Önce kendi suçları işleniyor, sonra FiveM Kabe ve bu sunucuyu açan insanlarla alakalı ifade veriyor. FiveM Kabe’nin yöneticileri tutuklanıyor. Bizim ergen admin de adli kontrolle serbest kalıyor. İnsanlar mı? Galiba bitti düşüncesine kapılıyor.

Lakin aylar sonra adli kontrol kalkıyor. Çocuk kendi içinde bir huzursuzluk yaşıyor çünkü bir kere o gücü tatmış. Buna güç zehirlenmesi de diyebilirsin, şeytan dürütüyor da. Discord’a giriyor, her şey bıraktığı gibi. Bu sefer FiveM sunucusu açmaya uğraşmıyor, direkt suç tarafından giriyor işin içine.

Panellerden bahsetmiştik ya, çalıntı e-devlet giriş bilgileriyle sorgulama yapılan panellerden. Bizim admin de kendi panelini açıyor. Bir de Adanalı diye bir arkadaşı var, Discord’dan tanıştığı. Ailesi bir zamanlar 12 inçlik bir bilgisayar almış, çocuk kendi kendine yazılım öğrenmiş.

Bunlar bir gün fark ediyor ki ortalıkta çok fazla e-devlet şifresi dolaşıyor. Ee napıyorlar? Bir Milli Eğitim müdürünün e-devlet bilgisiyle ÖSYM’ye giriyorlar. Sınav oluşturuyorlar, gözetmen eklerken TC giriyorlar, aradıkları kişinin bütün bilgileri geliyor.

Tamam diyorlar, bunu otomatikleştirelim. Bir sistem yapıyorlar, bu sistem kendi ÖSYM’ye giriyor, sorguluyor, sonucu getiriyor. Daha Türkiye yapay zekayı 2023’te konuşmaya başlarken bunlar 2021’de yapay zeka koyuyor sisteme.

Bu yapay zeka ne yapıyor? Devletin sistemlerindeki açıkları buluyor, oradan sızıyor, kişisel verileri çalıyor. Adı Libra. Bir tane e-devlet listesi veriyorsun, Libra NVİ’den sorgu yapıp sana getiriyor. Sonra Tapu Kadastro’yu görüyor, öğreniyor onu da. ELV’nin bütün sistemlerini öğrenmeye başlıyor.

Tek bir problem var: e-Nabız’a giremiyor.

Pandemi dönemiyle birlikte Türkiye Cumhuriyeti’nin en çok övündüğü yer e-Nabız’ın korunaklı olması. Bizim ergenlerimizi en fazla zorlayan yer de e-Nabız oluyor. HSYS’ye Libra giremiyor. Halk Sağlığı Yönetim Sistemini alıp bir panele entegre edemedik düşüncesi çıldırtıyor bunları.

Takıntılı iki gençten bahsediyoruz. E-Nabız’a giremedikleri için birdenbire bunu takıntı haline getiriyorlar. Günlerce sürekli saldırı düzenliyorlar. Bir türlü başaramıyorlar. Ta ki çok basit bir yöntemi keşfedinceye kadar.

Halk Sağlığı Yönetim Sistemine ait sistemler iki aşamalı doğrulama yöntemiyle korunuyor. Bu ne demek? TC-şifre bilgisine sahip olan bir kişi direkt olarak sisteme alınmıyor. Ekstra bir güvenlik önlemiyle buna erişmesi gerek. Yani sen benim şifremi biliyorsun, giriyorsun, bu yeterli olmuyor. Ekstra benim telefonuma, mail adresime bir kod gelmesi gerekiyor. İşte iki aşamalı doğrulama bu.

Adanalı şunu fark ediyor. HSYS’de bir TC kimlik numarası girip şifremi unuttum dediğinde o TC kimlik numarasının sahibine giden doğrulama kodu, F12’ye bastığında direkt konsolda görünüyor. Evet, F12’ye basıyorsun, Chrome’un konsolu açılıyor, kod orada duruyor. Bu kadar basit.

O gece itibariyle artık e-Nabız üzerinden önce 50, 100 derken büyük rakamlara kadar kişisel verileri bir anda çalıp kendi panellerine aktarmaya başlıyorlar.

Tabii bu saldırıları Sağlık Bakanlığı fark ediyor. Devlet bir anda alarma geçiyor. Çünkü iki şehirden, İstanbul’dan ve Adana’dan e-Nabız’a saldırı geldiğini fark ediyorlar. Ve birdenbire bu saldırıları önleyemedikleri için, ben hatırlatayım ki bir süre e-Nabız’a ve e-devlet’e girememiştik. 3 gün kapalı kalmıştı. HSYS bu sürede bütün sistemini değiştirdi, baştan aşağıya bütün altyapısı yenilendi.

Altyapı değişince bizim admin bu işi bırakıyor. Diyorlar ki tamam, NVİ var, Medula var, başka sistemler var, buna da dokunmayalım. 10 gün geç geliyordu e-Nabız’dan reçete, kimse fark etmiyordu.

Sonra Adanalı çıkıyor, diyor ki eski altyapıdan açık bırakmışlar. TC’den adam sorgulayabiliyorsun.

E-Nabız’ı ve e-devlet’i kapattıkları süreçte yeni sisteme geçen devlet eski sistemi kapatmayı unutuyor. Ve güvenliksiz bir dünyada eski sistem “hacklesene beni” dercesine Adanalı ya da benzerlerini bekliyor. Doğrulama istiyor, evet, bir hesapla doğrulama yapman lazım. Ama limiti yok. Normalde HSYS’ye girersin, kişi sorgularsın, bir daha sorgularsın, der ki sana dur. Ama eski sistemde limit yok.

Adanalı bunu yakalamış. Telefon açıyor bizim admine. Diyor ki, “abi 116 milyon istek atacağım bir yere ama bunu dağınık bir şekilde yapmam lazım, hesaplar patlamamalı.” Bizim admin orada anlıyor ki HSYS’yi çekecek. Çünkü tam o dönemde Hacker Dede diye biri Türkiye’deki bütün Türkiye vatandaşlarının GSM-TC eşleştirmelerinin olduğu bir database sızdırmış. Dolayısıyla nereden bakarsan bak neredeyse bütün Türkiye vatandaşlarının telefon numaraları ve TC’leri eşleşmiş halde internette var. Adanalı 6 günde HSYS’nin açık bıraktığı yerden bütün Türkiye’yi çekiyor.

Daha öncesinde kuyudan kovayla su çekmeye çalışırken bu kez kuyunun tamamı Adanalı’nın eline geçmiş oluyor. O da sadece devletteki birkaç kişinin hatası, güvenliksiz bir alan yaratılmış olması ve belki de Türkiye Cumhuriyeti’nin en büyük siber açığı olan e-Nabız’ın eski halinin savunmasız bırakılması.

108 milyon kişinin kişisel verileri çalındı. Kimlik numarasından adrese kadar en mahrem bilgileri. Ama bunu 15 yaşında bir çocuk yaptı. Ruslar değil, devletler değil. 12 inçlik bir laptopla, odasından çıkmayan bir çocuk yaptı.

Normal bir ülkede devletin verilerinin olduğu bir sisteme USB bile takamazsın. Soktuğun anda operasyon yaparlar, gözaltına alırlar. Ama bizde herkes evinden bu sistemlere bağlanabiliyor.

Devleti yönetenler, bu sistemleri yönetenler inanılmaz derecede bu sistemlerden uzak ve bunun neye neden olabileceği konusunda en ufak fikre bile sahip değil. Bir yetkiliyle konuştuğunda o zamanın Ulaştırma Bakanlığı’ndan demiş ki “kişisel veriler çalındıysa ne oldu? Ne gibi zarar oldu?” Devletin yetkilisi söylüyor bunu.

Adanalı’nın elinde 101 milyon kişinin verisi var ve Libra gibi müthiş bir yapay zekalı yazılım var. Çok büyük bir gücü elinde tutuyor ama sonuçta çocuk ne yapacak? Bu kadar veriyi 15-16 yaşındaki bir çocuk ne yapabilir ki?

Kısa süre sonra bu panel işleriyle uğraşan kişiler bunu duyuyor. Bu çocuğu korku, şantaj veya başka türlü yollarla ikna ederek bu bilgileri kendilerine çektikleri zaman işte esas film burada kopuyor. Artık bu iş onların abi dediği kişilerin eline geçiyor. Artık onlar da bu verilerle para kazanmaya veya bunu daha üst seviyeye taşımaya başlıyor. Bu noktada masumiyet diye bir şey artık kalmıyor.

Bu çocuğa böyle çöktükleri gibi 101 milyon kişinin verisiyle birlikte Libra’yı Adanalı’nın elinden alıyorlar. Ve artık Libra tam anlamıyla suç dünyasına hizmet edecek bir panele dönüşüyor.

Ele geçirildikten hemen sonra ortaya üç farklı panel hizmeti çıkıyor. Kedicik oluyor, Javex oluyor, Next City oluyor. Paneller tabii kendi içerisinde çok büyük hizmetler de sunmaya başlıyor. Geriye dönüp baktığımız zaman o 15 yaşındaki çocuğun sunucuları ifşa etmek için kullandığı Libra yazılımı günümüze panel olarak yetişmiş oluyor.

Öyle bir sistem geliştirmişler ki siber zorbalık ve şantaj paneli şeklinde bir siteyle karşılaşıyoruz. Mesela site üzerinde bir kişinin numarasını yazdığın zaman o kişinin bütün yakınlarına mesaj gidebiliyor. “Şu kişinin çıplak fotoğrafı mevcuttur” şeklinde mesajlar gidebiliyor. Siber zorbalık paketleri mevcut. 5000 liraya sahte ihbarlar, yakınlarınıza “bu kişi tacizcidir” şeklinde mesajlar. Bir sektör, bir hizmet dalı oluşmaya başlıyor.

Bunu ilk kullanmaya başlayanlar avukatlar. Hatta şöyle söyleyeyim, bunu yapanların bazısı milletvekillerinin avukat şirketleri. Bunlarda paneller var. Panellerinden aradıkları kişinin açık adresine, yakınlarına, her şeyine kadar buluyorlar. Mesela birine küfür ettin, sadece atıyorum ismin Ali Çelik. Profiline giriyor, atıyorum Malatya’da yaşıyor. Malatya’da Ali Çelik sorgusu oluştu bile, fotoğrafına giriyor. Yanındaki kişiye bakıyor, Zeki Çelik. Panelden bakıyor, Ali Çelik’in akrabası Zeki Çelik. Yaşlarına bakıyor, yaşlarına baktığında görüyor, örtüşüyor. Diyor ki budur.

Şu an USB belleğe 100 milyon kişinin verisini atabiliyorsun. Türkiye’de ne kadar avukat var? Yüz binlerce. Bu yüz binlerden %10’u bunu istesin. %10’u ne kadar yapar? 10 bin yapar. 10 bin kişiye 5 bin liradan satsan ne kadar yapıyor? 50 milyon. Para burada gördün mü? Ve bunlar hazır müşteri.

Bu paneller ve bu panellerden bazı suç gruplarına sunulan bilgiler kriminal dünyayı, kriminal dünyanın bütün skalalarını besliyor. Siber zorbalıktan çocuk istismarına, cinayetten organize suç örgütlerine, uyuşturucudan dolandırıcılığa bütün suç gruplarının ortak beslendiği tek nokta.

8 kişilik bir aile yok oldu. Bahtiyar Aladağ bu cinayetleri işledi, ardından da intihar etti kafasına sıkarak. Soruşturmayı yürüten savcı makamında ölümle tehdit edildi. Kişisel ve ailevi bilgilerinin tehdit edilmeden 3 gün önce sistemden sorgulandığı ortaya çıktı.

Savcının odasına gidilip “senin çocuğun takip ediliyor, şu takip ediliyor, bu takip ediliyor” deniyor. Kim bilebilir ki o kişinin ailesinin nereden nereye nasıl gittiğini? Polis de söylemiş olabilir, o da söylemiş olabilir. Ama onun bunu söylemesine gerek yok, zaten o bilgiler geziyor. Burada kimin güvenirliği var? Kim emniyette?

O büyük veri kaybıyla birlikte aslında şunu gördük. Devlet bunu duyduğu halde üç maymun oynadı. Görmedim, duymadım, bilmiyorum. Ama özellikle o süreçte yayıncılar ön plana çıktı. İlk başta Twitch dünyasında bu konuşulmaya başladı. Doğru mudur, değil midir? İnsanlar akıllarında erdiremiyorlar. Bu kadar büyük bir veri devletten gerçekten de çalmış olabilir mi?

Anlaşılıyor ki kişisel veriler 16-17 yaşında çocukların elinde ve devletle alay ediyorlar. “3000 yıllık devlet” diyorlar ya, işte 3000 yıllık devletle 17 yaşındaki çocuklar dalga geçiyor. Herkes verileri çalıyor, herkes bir şeylerden bir şeyler buluyor. Çünkü bunların denetimi yok. Ciddi olarak bunun nerelere mal olacağını anlayabilecek kapasitede bir devlet aklı yok.

Bu yazımda sana 15 yaşındaki çocukların devleti nasıl hacklediğini, 101 milyon kişinin verisini nasıl çaldığını ve Discord’un Türkiye’nin darkweb’ine nasıl dönüştüğünden bahsettim.

Başka bir yazıda tekrar görüşmek üzere.

Kendine iyi bak, iyi şanslar.