Yeni Şafak o rapora ulaştı: USOM incelerken İBB de veri sildiler Yerel Gündem Haberleri

Yeni Şafak, İBB’nin “İstanbul Senin” uygulaması üzerinden milyonlarca İstanbullunun kişisel verilerinin nasıl yurt dışına çıkardığını tespit eden USOM raporuna ulaştı. Rapora göre uygulamayı geliştiren şirket, USOM uzmanları veri merkezinde inceleme yaparken bile kayıtları silmeye kalktı.

İstanbul Büyükşehir Belediyesi’ne (İBB) yönelik yolsuzluk ve rüşvet soruşturmasında İstanbul Cumhuriyet Başsavcılığı'nın talimatıyla, İBB'nin kalbi olarak değerlendirilen Veri Merkezi'nde inceleme yapıldı. Savcılığın talimatıyla Bilgi Teknolojileri Kurumu'na (BTK) bağlı Ulusal Siber Olaylara Müdahale Merkezi (USOM) ekipleri, veri sızıntısıyla ilgili İBB Veri Merkezi, İBB telekomünikasyon hizmetleri altyapı iştiraki İSTTELKOM ve İstanbul Bilişim ve Akıllı Kent Teknolojileri’ni (İSBAK) inceledi. Uzman ekipler log kayıtlarını, dış müdahale ve veri sızıntısı olup olmadığına yönelik rapor hazırlayıp çalışmalarını tamamlandı.

ABD VE ALMANYA’YA SIZDIRILDI

3 beyaz şapkalı hacker 20 Mayıs’ta İBB'de incelemelere başladı. Çalışmanın sonunda hazırlanan 29 sayfalık rapora Yeni Şafak ulaştı. Rapora göre İBB İstanbul Senin uygulaması üzerinden 4,7 milyon kullanıcıya ait konum bilgisi, telefon modeli ve ev adresi gibi pek çok detaylı verinin ABD ve Almanya’ya sızdırıldığı belirlendi. Kullanıcıların kişisel verileri ile konum bilgilerinin Darkweb’te satışa çıkarıldığını tespit eden uzman ekipler, aynı uygulama içerisindeki “İBB Hanem” isimli alt uygulamada da 11 milyon vatandaşın sandık verilerinin işlenerek program dışına sızdırıldığını ortaya çıkarttı.

VERİLERİMİZ ÇALINIP SATILMIŞ

26 Mayıs 2025’te siber saldırganların 3,7 milyon vatandaşa ait kimlik, T.C. kimlik numaraları, GSM ve konum verilerini “DarkForums” isimli yasa dışı platformda satışa sunduğu tespit edildi. Paylaşılan örnekler de raporda yer aldı.

USOM tarafından “İstanbul Senin” uygulamasının ilk sürümünden itibaren kaynak kodları talep edildi. 30 Mayıs 2025’te USOM’a teslim edilen disklerde uygulamanın kaynak kodları incelendi. İncelemede “istanbul_senin_ldap_api” kodlarının bulunmadığı belirlendi.

15 YÖNETİCİNİN ADI TOPLANTI ESNASINDA SİLİNDİ

Hazırlanan raporda, “İstanbul Senin” uygulamasını Almanya merkezli KOBİL firmasının geliştirdiği, inceleme sırasında İBB ve KOBİL yetkilileri ile toplantılar yapıldığının altı çizildi. USOM uzmanlarıyla yapılan bu toplantılarda “İstanbul Senin” uygulamasının sisteminde yönetici olarak 33 kullanıcı görüldüğü, ancak toplantı esnasında KOBİL firması çalışanlarından birinin, 15 kullanıcıyı yönetici panelinden kaldırdığı belirlendi. Veriler geri getirilince, sistem üzerinden yönetici bilgisi silinen 15 kullanıcıdan 5’inin Hindistanlı yazılım şirketinde çalışan Hindistan uyruklu kişiler olduğu anlaşıldı.

İBB PERSONELLERİ İTİRAF ETTİ

Raporda ayrıca “İBB Hanem” projesi de incelendi. Bu projede 11 milyon 360 bin vatandaşa ait olduğu değerlendirilen kimlik, T.C. kimlik numarası, anne-baba adı, adres, GSM ve sandık bilgilerini içeren veri tabanının bulunduğu belirlendi. Bu verilerin “hane_veri_mdm.csv” dosyasında tutulduğu ve içeriğinde seçmen bilgileri dahil birçok kritik bilginin yer aldığı kaydedildi. İBB personeli tarafından verilen beyanlarda, bu verilerin e-posta yoluyla dışarıya gönderildiği, sonrasında ise farklı sunuculara aktarıldığı rapora yansıdı.

USOM’DAN KRİTİK TESPİTLER

USOM yetkililerince hazırlanan kritik önemdeki raporun sonuç bölümünde şu vurgulandı: “3,7 milyon vatandaşa ait verilerin yasa dışı platformlarda satışa sunulduğu, kullanıcı verilerinin Mixpanel, Sentry ve Adjust gibi yurtdışı merkezli şirketlere gönderildiği, verilerin Segment üzerinden yönetilerek İBB veri tabanlarına aktarıldığı, KeyCloak yönetim panelinde kritik kullanıcı hesaplarının silindiği, İBB Hanem projesinde 11,3 milyondan fazla vatandaşa ait seçmen ve kimlik bilgilerinin bulunduğu tespit edildi.”

CambrIdge Analytica benzerliği

İstanbul’daki soruşturmada verilerin kullanıcıların izni olmadan toplanarak yabancı ülke sunucularına aktarılması, akıllara Cambridge Analytica skandalını getirdi. 2013 yılında Birleşik Krallık’ta kurulan ve sosyal medya kullanıcılarının beğenileri, demografik bilgileri ve bağlantıları gibi verilerle psikografik profil çıkaran Cambridge Analytica, milyonlarca Facebook kullanıcısının verilerini rızası olmadan seçim kampanyalarını yönlendirmek amacıyla kullanılmıştı. 2016 yılında ABD’deki başkanlık seçimi ve bazı referandum süreçlerinde kilit rol oynadığı sürülen Cambridge Analytica şirketinin faaliyetleri, yaşanan tartışmaların ardından 2018’de durdurulmuştu. İBB’deki soruşturmada ortaya çıkan detaylar da bu olayla benzerlik gösteriyor. İstanbul Senin uygulaması üzerinden benzer şekilde uygulama kullanıcılarının izni olmadan kişisel verilerinin toplanması, verilerin yabancı ülke sunucularına aktarılması, verilerin bir kısmının “hackerlar” tarafından çalındığı iddia edilerek yasa dışı platformlarda satılması, toplanan verilerin seçmen davranışı analizinde ve dijital algı yönetiminde kullanıldığı iddiaları, Cambridge Analytica süreciyle paralellik göstermesi açısından dikkat çekiyor. Her iki olayda da dijital reklam teknolojileri, “veri analitiği” adı altında bireylerin politik eğilimlerinin tespiti ve yönlendirilmesi amacıyla kullanılmış; kişisel veriler, hukuka aykırı biçimde ticari ve siyasi kazanç aracı haline getirilmişti.