Kullanıcı bilgilerinin satılmasında yeni ufuklar
Anlatacağım olayı öğrendiğimde benim için gerçekten ufuk açıcı olmuştu. Çünkü bizim kültürümüzde devletimizin güvenlikle ilgili bir kurumlarından biri bizden bir şey yapmamızı isterse o isteği sorgusuz ve de bedelsiz olarak yerine getiririz. Fakat aşağıda anlatacağım ABD’deki olay benim bu konularla ilgili ufuk çizgimin sınırlarını bir hayli değiştirdi.
Olayı ortaya atan (SEA) Suriye Elektronik Ordusu isimli hacker grubu. SEA’nın yayınladığı belgelerle de desteklediği iddiası şu: ABD Federal Polisi yani herkesin bildiği ismiyle FBI’ın Dijital Müdahale Teknoloji Birimi (DITU) Microsoft’tan kullanıcı bilgilerini satın almış. Microsoft’tan talep ettiği her veri transferi için 50 ila 200 dolar aralığında bir ödeme yapılıyormuş. Yayınlanan belgelerde aylık toplam ödemelerin yüz binlerce dolar seviyesine ulaştığı belirtiliyor.
SEA’nın bu iddialarının doğru olup olmadığını anlamak için CV’sine baktığımızda oldukça etkileyici bir kariyer ile karşılaşıyoruz. Az zamanda çok işler başarmışlar. Geçtiğimiz yıl Financial Times, AP, The New York Times gibi pek çok medya kuruluşunu hack’leyerek ün yaptılar. Sonrasında Microsoft’u art arda üç kez hack’lediler. Geçtiğimiz aylarda yayınladıkları Microsoft’un FBI’dan aldığı ödemeleri gösteren dokümanları bu hack’lemeler sırasında elde ettikleri düşünülüyor. Bu dokümanlarda FBI’ın yazılım devinden kullanıcı bilgisi talep ettiği ve transferi yapılan bilgiler karşılığında Microsoft’a ödeme yaptığı gösteriliyor. Transfer başına 50 – 200 dolar olarak alınan meblağ örneğin Kasım 2013’te toplamda 281.000 dolara ulaşmış. Yayınlanan belgeler konusunda Microsoft ve FBI’dan herhangi bir resmi açıklama hâlâ gelmiş değil. Ancak yalanlama yapılmadığına bakılırsa, belgelerin gerçek olduğunu kabul etmekten başka seçeneğimiz kalmıyor.
Diğer yandan hacker’ların bu belgeleri nasıl ele geçirdikleri hâlâ tartışma konusu. Daha önce Microsoft’u kısa bir süre içinde üç kez vuran Suriyeli hacker’lar site ön yüzü değiştirme (defacement) ve Twitter hesap hırsızlığı yapmışlardı. Yayınladıkları dokümanlar, bu saldırılar sırasında bazı sunuculara da sızılmış olabileceği şeklinde yorumlanıyor.
Bu olayların ufkumuzu geliştiren tarafında tekrar döndüğümüzde ABD’deki uygulamalara da bakmak gerekiyor. Şöyle ki; ABD’de iletişim firmalarının devlet kurumlarına sağladığı bilgiler karşılığında fatura kesmeleri ve ödeme almaları normal bir durum. Bizde de böylemi inanın bilmiyorum. İlk fırsatta operatörlere ve BTK’ya sorarız diyeceğim ama cevap verebileceklerinden emin değilim. Bir düşünün; “Kullanıcı bilgilerini devletin güvenlik kurumlarıyla kanunlar çerçevesinde paylaşırken karşılığında fatura kesiyor musunuz?” şeklindeki soruya nasıl bir cevap verirsiniz. Evet deseniz kullanıcı bilgilerini paylaştığınızı itiraf etmiş olursunuz ve arkasından yeni sorular gelir. Hayır deseniz arkasından başka sorular gelir. Son günlerin moda tabiriyle “Hadi ateistler bunu da açıklasın.” durumu.
ABD’de iletişim kurumları ile devlet kurumları arasındaki ticari ilişkinin normalliğini gösteren geçmiş olaylar var. Daha önce ABD yönetimi, telekom operatörleri tarafından dolandırıldığı gerekçesiyle bir dava açmıştı. Obama yönetiminin iddiası, Sprint’in sadece dinleme hizmetini ücretlendirmek yerine dinleme için gerekli yeni ekipman ve donanım paralarını da faturaya yansıtarak dinleme faturalarının şişirildiği yönündeydi. Bu olayları da hafızamız bize tekrar hatırlattığında ortaya çıkan bu yeni durum yani Suriyeli hacker grubu tarafından Microsoft’la ilgili yapılan bu açıklamalar çok da şaşırtıcı gelmiyor.
(Bu yazı 18 Nisan 2014 tarihinde yazılmıştır.)