Kimlik bilgileri sızıntısı zararsız mı?

Geçtiğimiz günlerde internette yayınlanan ve 49 milyon 611 bin 709 vatandaşın kimlik bilgilerini içeren mernis.sql.tar.gz adındaki bir dosya ortalığı epey karıştırdı. Konu ile ilgili AKP hükümetinin  yaptığı açıklamalar evlere şenlikti: 

5 Nisan 2016, Binali Yıldırım: 
“50 milyon Türk vatandaşının kimlik bilgilerinin çalındığı haberi doğru değil. Bu olayın güncel değeri yok.
...
Bu bildiğimiz bir konudur, geçmişte yaşanmış bir hadisedir.”  

6 Nisan 2016, Binali Yıldırım: 
“2009 ve sonrasındaki seçim dönemlerinde siyasi partilere verilen bilgiler üzerinden sızdırılmış. Ama kimin sızdırdığını bilemiyoruz.
...
Ben vatandaşlara şunu tavsiye ediyorum, bu aşamada, ben var mıyım diye merak edip sisteme girme yarışında olmasınlar. Niye diyorum bunu? Kendinize ait bilgileri zaten biliyorsunuz. O kimlik bilgileri ile bir şey yapamazlar. 
...
Geçmiş dönemde partilere verilmiş disketlerden birileri ele geçirmiş, şimdi de vatandaşların bilgilerini kötü amaçlı kullanmak için bunu kullanıyor.”

6 Nisan 2016, Ahmet Davutoğlu:
“Evimin adresi sızdırılmış, misafir olmak isteyen varsa gelsin”

Binali Yıldırım’ın meseleyi önce yalanlayıp ardından bir gün sonra doğruluğunu kabul ettikten sonraki “bir şey olmaz” tavrına Davutoğlu’nun bir şey olmazcı tavrını ekleyin. Gerçekten Yıldırım ve Davutoğlu’nun iddia ettiği gibi çalınan kimlik verilerimizden bir şey olmaz mı? Yoksa meseleyi hafife alarak skandalın büyüklüğünü örtbas mı ediyorlar?

Yayınlanan veritabanı neredeyse 50 milyon kişinin ad, soyad, TC kimlik no, ana adı, baba adı, cinsiyet, doğum yeri, doğum tarihi, nüfusa kayıtlı olunan il ve ilçe ile sistemde kayıtlı adreslerini içeriyor. Nüfus kağıdında yer alan cilt no, sayfa no gibi veriler olmadan tek başına bu veri yetersiz gibi görünse de gerçek pek de öyle değil. Eksik verileri ve daha fazlasını elde etmek için kullanılabilecek pek çok yöntem var. Örneğin bir kötü amaçlı bir saldırgan e-devletin vergi kimlik numarası sorgulama sayfası otomatik sorgulara karşı korunan bir sayfa olmadığından eldeki verilerle listenin tümünün vergi kimlik numaraları basit bir yazılım ile kolayca çıkartılabilir. Elbette ki saldırganımızın bununla yetinmeyeceği aşikar. Saldırganımız elindeki veritabanından yararlanarak telefon bankacılığı işlemlerinde sıklıkla kullanılan annenizin ilk soyadına da ulaşabilir. Yetmedi mi? Saldırganımız veritabanında bir başkası ile aynı ad ve soyada sahip olmayan tüm kişileri truecaller ya da benzeri bir telefon numarası veritabanında sorgular. Artık saldırganımız telefon rehberlerinde listelenen ciddi bir çoğunluğun telefon numarasına da sahip. 
Bu noktadan sonra telefonda aldatılması daha kolay olacağı için doğum tarihlerini baz alarak yaşlıları hedefleyecek saldırganın çeşitli sosyal mühendislik numaraları ile eksik kimlik bilgilerini kimlik sahibinin kendisinden alması, bu bilgilerle sahte kimlik üretmesi ve bankacılık başta olmak üzere çeşitli işlemlerde kullanması oldukça yüksek bir olasılık. 

Bu Ulaştırma, Denizcilik ve Haberleşme Bakanı ile Başbakan tarafından zararsız ilan edilen veritabanını olası bir dolandırıcının nasıl kullanabileceğine dair basit bir örnekti. Mesele bununla sınırlı değil. Kan davası veya eş şiddeti gibi bir nedenle öldürülmekten kaçan birinin olası katili adresi bu veritabanından bulduğu zaman da mı zararsız diyeceksiniz?