İstanbul Büyükşehir Belediyesi (İBB) Başkanı Ekrem İmamoğlu, siyasi danışmanı Necati Özkan, gazeteci Merdan Yanardağ ve Hüseyin Gün hakkında siyasi casusluk suçlamasıyla açılan dava İBB verilerinin sızdırıldığı iddiasına dayanıyor.

İddianamede "ibb.gov.tr" uzantılı çok sayıda e-mail adresinin ve şifrenin Özkan tarafından Darkweb’e aktarıldığı ileri sürülüyor. Özkan’ın “OSİNT’e bak” demesi üzerine Gün’ün açık kaynak istihbaratı yaparak, İBB’nin gizli belgelerine ve iç yazışmalarına eriştiği, bu veriler üzerinde ortağı Aaron Bar tarafından analiz çalışması yapıldığı savunuluyor. Bar’ın Amerikan istihbarat servisinin dijital projeler koordinatörü olduğu, dolayısıyla İBB’ye ait e-mail içeriklerinin istihbarat servisleri tarafından ele geçirildiği öne sürülüyor. Bu datalarla algı oluşturularak, 23 Haziran 2019’da yinelenen İstanbul seçiminin İmamoğlu lehine manipüle edildiği iddia ediliyor.

Kumpas davalarının adli bilişimcisi

Özkan’ın avukatı Erkam Erdem, iddianame çıkınca Ergenekon, Balyoz ve ByLock davalarında yazdığı raporlarla yargılamaların seyrini değiştiren adli bilişim uzmanı Tuncay Beşikçi’ye başvurdu.

Beşikçi, Özkan’ın emniyet ifadelerinde görsellerine yer verilen İBB sızıntısının izini sürerek, 18 sayfalık uzman raporu hazırladı.

OSİNT ve Darkweb

5 Şubat tarihli raporda ilkin ‘OSİNT’ ve ‘Darkweb’ kavramlarına açıklık getiriliyor.

OSİNT, İngilizce ‘açık kaynak istihbaratı’ anlamına gelen “Open Source Intelligence” cümlesinin kısaltması.

Açık bilgi kaynaklarından, yüklenmiş veya sızdırılmış verilerin toplanıp analiz edilmesine OSİNT adı veriliyor.

Darkweb ise özel yazılımla ulaşılan, ‘internetin yeraltısı’ denilen ağların genel adı. OSİNT ve Darkweb’in kullanımı hukuka aykırı değil. Ancak bu ağlarda hukuka aykırı elde edilen kişisel verilerin paylaşımına rastlanabiliyor.

İBB sisteminden ele geçirilmedi

Rapora göre…

Özkan tarafından Darkweb’e sızdırıldığı iddia edilen bu veriler İBB’nin sisteminden değil, İBB çalışanlarının bireysel olarak üye oldukları farklı internet sitelerinden ele geçirildi.

MySpace sızıntısı

Beşikçi, bu tespitini, Gün’ün emniyet ifadesindeki "ibb.gov.tr" uzantılı e-mail adreslerinin izini sürerek ispat ediyor.

E-mail adresleri leak-myspace_20170910 ve leak- jan19_20190314 isimleri altında bulunuyor.

Bu isimler 10 Eylül 2017 tarihli ‘MySpace’ ve 14 Mart 2019’da yüklenen sızıntılara işaret ediyor.

Örnek mi?

[email protected] adresini ele alalım.

MySpace adlı sosyal paylaşım sitesine [email protected] kullanıcı adı ve 2550as şifresi ile kaydolan bir İBB çalışanının da bulunduğu 359.1 milyon hesap Temmuz 2008’de ele geçirildi.

Bu bilgiler 31 Mayıs 2016’da Darkweb’de bulunan ‘The Real Deal’ isimli sitede 6 Bitcoin’e (2800-3000 dolar) satıldı.

MySpace, o gün yaptığı açıklamada, kullanıcı giriş bilgilerinin çalınarak, bir hacker forumunda paylaşıldığını duyurdu. Bu verilerin 11 Haziran 2013’ten önce oluşturulmuş hesapların bir kısmına ait kullanıcı giriş bilgilerini kapsadığını açıkladı. Saldırının Rus siber korsan ‘Peace’ adlı tarafından gerçekleştirildiği kaydedildi.

Son sızma 7 Ocak 2019

Ekran görüntülerinde yer alan diğer tüm İBB e-mail adresleri 7 Ocak 2019’da ‘Collections’ (Koleksiyonlar) ismiyle Darkweb’e sızdırıldı.

‘Collections’ isimli veri setindeki dosyaları içeren linkler yalnızca Darkweb’de değil, birçok forumda ve sosyal medyada paylaşıldı.

Ayrıca başka Türkçe siteler ve kullanıcı bilgileri de veri setinde var.

Örneğin turkeyforyou.com adresli turizm sitesine İBB e-mailiyle üye olan çalışanın adresi ve şifresi diğer 81.728 üyeyle birlikte 2017 yılında…

Eczacıbaşı Holding tarafından 1999’da açılan sanalmuze.org sitesine üye olan İBB çalışanına ait giriş bilgileri de diğer 14.022 üyeyle birlikte 2016’da siber korsanların eline geçti.

57 kurum, 171 kamu görevlisi

7 Ocak 2019’da 12 binden fazla internet sitesi arasında rastgele seçilen beş tanesinde gov.tr anahtar kelimesiyle yapılan aramada, İBB’den başka TBMM, Adalet Bakanlığı, Emniyet Genel Müdürlüğü, Milli Eğitim Bakanlığı ve TÜBİTAK gibi kritik kurumların bulunduğu 57 devlet kurumundan 171 kamu görevlisinin gov.tr uzantılı e-mail adresleri ile bu sitelerde kullandıkları şifrelerin ele geçirildiği saptandı.

İki sanal korsan hapiste

Sızıntının ‘Sanix’ diye bilinen siber korsan tarafından derlendiği, rakibi ‘Azatej’ adlı tarafından sızdırıldığı anlaşıldı. İki siber korsan Avrupa Polis Teşkilatı tarafından Polonya ve Ukrayna’da hapse atıldı.

2019’dan çok önce ele geçirildi

Bu listede yer alan İBB çalışanlarından bazıları 2019’dan önce kurumdan ayrılmış.

Şu halde, veriler ne zaman yüklenmiş olabilir?

Rapora göre 7 Ocak 2019’da sızan veri içeriğindeki ilk ele geçirilen sitenin tarihi 29 Ağustos 2008.

31 Mayıs 2016’da sızan veri ise Temmuz 2008’de ele geçirildi.

Raporda, “Siber korsanların 8-10 yıl süreyle aktif olarak topladıkları veriler 2019’dan çok önce ele geçirilip kullanılmaya başlanmıştır” deniyor.

O şifreyle İBB sistemine girilmez

Sızan veriler farklı internet sitelerinde üyelik için kullanıldığından ve İBB sisteminden ele geçirilmediğinden bu şifrelerle İBB sistemine girilemez. Şifreler doğru olsa bile İBB’nin e-mail sistemi yeni cihaz girişinde ekstra güvenlik protokolü uygulayacağı ve e-maillere ait basit şifrelerle sisteme girişe izin vermeyeceği için siber güvenlik açısından ciddi bir risk oluşturmuyor.

Rapordan:

“E-mail adresleri ibb.gov.tr uzantılı olsa da sadece bir kullanıcı adından ibarettir, yalnızca belirlenen şifre ile üye olunan sitelerde çalışabilir. İBB adına yüksek risk teşkil edebilecek tek durum, ilgili personelin İBB’de kullandığı e-posta şifresini farklı sitelerde de kullanmasıdır ki, bu durumda dahi siber korsanlar ancak şifresi sızan personelin e-postalarındaki bilgilere ulaşabilecektir.”