Savcılığın "İBB vatandaşın verilerini sızdırdı" iddiası boşa çıktı: Bilirkişi raporu açıklandı

İBB'nin "İstanbul Senin" uygulaması üzerinden milyonlarca kullanıcının verilerinin toplandığı, analiz edildiği ve yurt dışına aktarıldığı iddiasıyla açılan davada, savcılığın öne sürdüğü tezlerin teknik raporla çeliştiği ortaya çıktı.

Soruşturma kapsamında 10 kişinin tutuklandığı dosyada, uygulamanın veri güvenliği ve yasal yükümlülükleri üzerine hazırlanan teknik bilirkişi raporu mahkemeye sunuldu.

BİLİRKİŞİ RAPORU AÇIKLANDI

Büşra Cebeci'nin Gazete Pencere'deki haberine göre, NormaTURK tarafından hazırlanan ve Marmara Üniversitesi Fen Bilimleri Enstitüsü Siber Güvenlik Bölümü öğretim görevlisi Cihat Seçgin ile veri koruma uzmanı avukat İbrahim Kurtoğlu imzasını taşıyan raporda, savcılığın teknik iddialarının birçoğunun doğrulanamadığı tespit edildi.

İddianamede İBB WiFi hizmetinin uygulamaya entegre edilerek veri toplandığı öne sürülmüştü ancak raporda, kamuya açık internet sunan kurumların 5651 sayılı kanun gereği IP adresi, bağlantı zamanı ve erişim kayıtlarını tutmasının yasal bir zorunluluk olduğu hatırlatıldı.

SAVCILIĞIN "İBB VATANDAŞIN VERİLERİNİ SIZDIRDI" İDDİASI BOŞA ÇIKTI

Uygulamanın Segment, Mixpanel, Sentry ve Adjust gibi yurt dışı merkezli sistemleri kullanmasının "veri sızıntısı" olarak nitelendirilmesine karşı çıkan bilirkişiler, bu servislerin mobil uygulamalarda yaygın olarak kullanılan hata izleme ve analitik araçları olduğunu, bu durumun tek başına bir sızıntı teşkil etmeyeceğini belirtti.

Ayrıca savcılığın, kullanıcı davranışlarının kimlik bilgileriyle eşleştirilerek seçmen analizi yapılabildiği yönündeki iddiası da raporda reddedildi.

Segment sisteminde T.C. kimlik numarası, ad, soyad veya eposta gibi doğrudan kimlik bilgilerinin yer almadığı, bu nedenle milyonlarca kullanıcının kimliğinin toplu şekilde tespit edilmesinin teknik olarak mümkün görünmediği ifade edildi. Konum bilgilerinin sürekli takip edildiği iddiasına karşılık ise konum kaydının sadece uygulamaya giriş anında bir kez yapıldığı ve sistemde sürekli bir takibin bulunmadığı kaydedildi.

VERİNİN SIZDIRILDIĞINA RASLANMADI

İddianamede bazı kullanıcı hesaplarının silinmesi "delil karartma" şüphesi olarak sunulurken, bilirkişi raporu bu işlemlerin Keycloak kimlik ve erişim yönetim sistemi üzerinden gerçekleştirilen rutin yetki düzenlemeleri ve veri güvenliği kapsamındaki gözden geçirmeler olduğunu ortaya koydu.

Bu işlemlerin Keycloak Admin Console üzerinden yapıldığı ve Admin Event logları ile kayıt altına alındığı, dolayısıyla geriye dönük izlenebilir ve denetlenebilir olduğu, gizli bir müdahalenin söz konusu olmadığı vurgulandı.

Son olarak savcılığın 4,7 milyon kişiye ait verinin sızdırıldığı iddiasına dair teknik bir bulguya rastlanmadığı, "darkweb"de satışa çıktığı söylenen verilerin uygulamanın ham verileriyle örtüşmediği ve 3,7 milyon kullanıcı için manuel kimlik eşleştirmesi yapmanın teknik olarak pratik olmadığı raporda yer alan diğer önemli tespitler arasında yer aldı.