About Us Services Solutions Blog

Çalınan kimlik bilgileri

687 Bin kişinin (öğretmenin) kimlik bilgileri çalınmış

"İl ve İlçe Milli Eğitim Müdürlükleri Yönetim Bilgi Sistemi'ndeki (İLSİS) tüm verilerin; ünlü paylaşım sitesi Rapidshare'de paylaşıma açıldığı ortaya çıktı"

Türkiye'de kimlik bilgilerinin erişilebilir olmasıyla ilgili daha önce de yazmıştım. Internet üzerinden, kimin nereden geldiği belli olmadan (anonymous) ve yetki seviyesi gözetmeksizin insanlara TC Kimlik numarası sorgulatmaya izin veriliyor. Ayrıca her tür kuruluşun bu tür bilgileri sormasına da izin veriliyor. Evinize paket getiren kurye bile kimliğinizi alıp bu numaraları ve detayları bir kağıt parçasına yazabiliyor. Böyle bir ortamda herhangi birinin kimlik bilgilerine erişmek pek zor olmasa gerek. Hürriyet'in bu haberinde anladığım kadarıyla sitedeki mevcut bir SQL injection açığından dolayı 687 bin gibi kişinin bilgilerine kısa sürede ulaşmak ve indirmek daha kolay olmuş. Teknik detaylar hakkında yazılabilecekler çok ancak web uygulaması güvenliği ya da güvensizliği konusunu bu blogda ele almayacağım (bu konuda da daha önce yazmıştım). Yasal olarak devletimizin yaptırımlar ile kurumlara uygulanabilir kılacağı şekilde TC Kimlik numarasının korunması gerekiyor diye düşünüyorum. TC Kimlik numarası bireylerin kimliğine özgü bir unsur ise, bu bilginin gizliliği ve bütünlüğünün sağlanması bilginin kendisi kadar önemlidir. Bunun sorumluluğu bu bilgileri barındıran ve kullanan kurumlarda olmalı (ör: bankalar, işverenler, devlet daireleri, vb.) ve bilgileri koruyamayan kurumlara ciddi cezai yaptırımlar uygulanmalı. Ancak balık baştan kokar, bu bilgilerin öncelikle devlete bağlı birimler tarafından korunması gerekirki özel sektöre de yaptırımlar uygulanabilsin. Günümüzde hepimizin tüm kimlik bilgilerinin rahatça ulaşılabilir olduğunu düşünüyorum ve bunların gizli tutulduğunu düşünmemiz yanlış olur. Bilgi teknolojileri ve hatta bilgi güvenliği konusunda bir bakanlığın oluşturulması gerektiğini de savunuyorum. Türkiye olarak güvenlik konusunda ilerlememiz için insiyatifi eline alacak birilerinin olması gerekir.

Comments

New Comment

Author

Email

Url

Content

Back

exploit   vulnerability   password   xss   sql_injection   social_engineering   hack   attack   wire_tapping   sniffing   malware   encryption   compliance_legal   security