'İstanbul Senin' uygulaması soruşturması: Bilirkişi raporu iddiaları çürüttü
İBB Davası'ndaki "İstanbul Senin" uygulamasında veri sızıntısı yaşandığına dair suçlamayla ilgili raporda, savcılığın öne sürdüğü iddiaların birçoğunun doğrulanamadığı belirtildi. Erişim kayıtlarının toplanmasının ise yasal zorunluluk olduğu kaydedildi.
Büşra Cebeci
GAZETE PENCERE - İBB Davası'na ilişkin hazırlanan iddianamede, İstanbul Büyükşehir Belediyesi’nin "İstanbul Senin" uygulaması üzerinden milyonlarca kullanıcının verisinin toplandığı, analiz edildiği ve yurt dışına aktarıldığı ileri sürülmüş, soruşturma kapsamında 10 kişi tutuklanmıştı. Ancak dosyaya giren teknik bilirkişi raporu iddialarla çelişen tespitler ortaya koydu.
NormaTURK tarafından hazırlanan ve Marmara Üniversitesi Fen Bilimleri Enstitüsü Siber Güvenlik Bölümü öğretim görevlisi Cihat Seçgin ile veri koruma uzmanı avukat İbrahim Kurtoğlu imzasını taşıyan raporda, savcılığın öne sürdüğü birçok teknik iddianın doğrulanamadığı belirtildi.
Wİ-Fİ KAYITLARI KANUNİ ZORUNLULUK
Savcılık, İBB Wi-Fi hizmetinin "İstanbul Senin" uygulamasına entegre edilmesiyle milyonlarca kişinin verisinin toplandığını iddia etti.
Raporda ise kamuya açık internet hizmeti veren kurumların 5651 sayılı kanun gereği IP adresi, bağlantı zamanı ve erişim kayıtlarını tutmak zorunda olduğu, bu nedenle söz konusu kayıtların kanuni bir yükümlülük olduğu ifade edildi.
İBB'ye yapılan "İstanbul Senin" operasyonu: Kanal İstanbul'a karşı mücadele eden o isim de alındı
ANALİTİK SERVİSLER 'SIZINTI' DEĞİL
İddianamede uygulamanın Segment, Mixpanel, Sentry ve Adjust gibi yurt dışı merkezli sistemlerle çalışması "yurt dışına veri aktarımı" olarak yorumlandı.
Bilirkişi raporunda ise bu servislerin mobil uygulamalarda yaygın kullanılan analitik ve hata izleme araçları olduğu ve tek başına veri sızıntısı anlamına gelmeyeceği belirtildi.
Savcılık uygulama üzerinden kullanıcı davranışlarının kimlik bilgileriyle eşleştirilerek seçmen analizi de yapılabildiğini ileri sürmüştü. Raporda ise Segment sisteminde kimlik numarası, ad, soyad veya e-posta gibi doğrudan kimlik bilgilerinin bulunmadığı, bu nedenle kullanıcıların kimliğinin toplu biçimde tespit edilmesinin teknik olarak mümkün görünmediği kaydedildi.
Yine iddianamede kullanıcıların konum bilgilerinin sürekli toplandığı iddia edildi. Raporda ise konum bilgisinin yalnızca kullanıcının uygulamaya giriş yaptığı anda oluşan tek seferlik bir kayıt olduğu, sistemde sürekli konum takibi bulunmadığı belirtildi.
"İstanbul Senin" soruşturmasında yeni operasyon: 4 kişi gözaltına alındı!
DELİL KARARTMA DEĞİL YETKİ DÜZENLEMESİ
İddianamede bazı kullanıcı hesaplarının yönetim paneli üzerinden kaldırılması "delil karartma" şüphesi olarak değerlendirilmişti. Bilirkişi raporunda ise bu işlemlerin Keycloak kimlik ve erişim yönetim sistemi üzerinden gerçekleştirilen rutin yetki düzenlemeleri olduğu belirtildi.
Rapora göre kullanıcı erişim yetkilerinin kaldırılması veya hesapların devre dışı bırakılması, veri güvenliği kapsamında yapılan yetki gözden geçirme işlemleri kapsamında gerçekleştirildi.
Raporda ayrıca söz konusu işlemlerin Keycloak Admin Console üzerinden yapıldığı ve Admin Event logları içinde kayıt altına alındığı, yani geriye dönük olarak izlenebilir ve denetlenebilir olduğu vurgulandı. Bu nedenle yapılan işlemlerin gizli veya kayıtsız bir müdahale olmadığı ifade edildi.
4,7 MİLYON KİŞİLİK VERİ SIZINTISI TESPİT EDİLEMEDİ
Savcılık uygulama üzerinden 4,7 milyon kişinin verisinin sızdırıldığını ileri sürdü. Bilirkişi raporunda ise bu büyüklükte bir veri ihlaline işaret eden teknik bir bulguya rastlanmadığı ifade edildi.
Raporda ayrıca "darkweb"de satışa çıkarıldığı öne sürülen veri setinin İstanbul Senin uygulamasındaki ham verilerle birebir örtüşmediği kaydedildi.
Raporda, milyonlarca kullanıcı için kimlik eşleştirmesinin ancak tek tek yapılabileceği, yaklaşık 3,7 milyon kullanıcı için manuel eşleştirmenin teknik olarak pratik olmadığı vurgulandı.
Kaynak:Haber Merkezi
