MERSİS'te büyük güvenlik açığı

MERSİS'te büyük güvenlik açığı »

Gümrük ve Ticaret Bakanlığı tarafından kullanılan Merkezi Sicil Kayıt Sistemi'nde (MERSİS), TC kimlik numarasından ev adresine ulaşılabilmesine neden olan bir güvenlik güvenlik açığı ortaya çıkarıldı. Açık, kısmen de olsa onarıldı.

Gümrük ve Ticaret Bakanlığı'na bağlı olan MERSİS'in (Merkezi Sicil Kayıt Sistemi) güvenlik ağında meydana gelen açık nedeniyle, TC kimlik numarası girilmesi halinde vatandaşların ev adresleri ve diğer kişisel bilgilerine erişim sağlanabiliyor. Sadece MERSİS'le kısıtlı kalmayan güvenlik açığı, diğer devlet sitelerinde de vatandaşların farklı bilgilerine erişim imkanı sunuyor.

Kimlik bilgilerinin yanı sıra aile hekiminin adı ve kullanılan sağlık ocağı gibi bilgileri de açığa çıkaran güvenlik açığı, siber suçluların sayısız vatandaşın şahsi bilgilerine ulaşmasını sağlayabilir.

'Güvenlik kodu işlev göstermedi'

Al Jazeera'ye konu hakkında açıklamada bulunan Bilgi Güvenliği Danışmanı Batuhan Katırcı, MERSİS projesinin yetkililerine gerekli uyarıda bulunduklarını ve açığın kapatılmakta olduğunu belirtti.

Katırcı, 'MERSİS'e kayıt yaptırırken, bazı bilgilerin pratik bir şekilde girilebilmesi için kayıt formuna basit bir sistem entegre edildiğini, hastaneler dahil olmak üzere birçok devlet kurumunu kapsayan bu sistemde açık oluşmasının iki önemli nedeni olduğunu' belirtti.

Katırcı ilk nedenin 'ek güvenlik aşaması konulmadan TC kimlik numarasından doğrudan şahsi bilgilere erişim sağlanması' olduğunu ifade etti. İkinci neden ise güvenlik kodu gibi teknik eksikliklerden dolayı bu bilgilere açık kapı bırakılması.


Güvenlik açığı kapatılıyor

Katırcı, ortaya çıkan açığın önemli güvenlik hususları doğurduğuna dikkat çekti.

Siber suçlular, basit bir algoritma aracılığıyla kullanımda olanlar dahil sayısız TC kimlik numarası üreterek güvenlik açığı sayesinde vatandaşların bilgilerine erişebilir. Bir sitede ev adresinize erişilirken, bir diğer sitede anne-babanızın kimlik bilgilerine veya aile hekiminizin adresine, adına ulaşılabilir.

Katırcı, yapılan mühahalelerin ardından adres bilgilerine erişimin kesildiğini, TC kimlik no girilerek sadece ad ve soyad bilgisine erişilebildiğini söyledi. Ancak bu bilgilerle, diğer devlet sitelerindeki açıklardan yararlanmak ve ek bilgilere ulaşmak mümkün.

İlk olarak sosyal medyada duyurulan MERSİS açığının bir daha yaşanmaması için güvenlik basamağında iki aşamalı tanımlama uygulanması tavsiye ediliyor.

Kaynak: Al Jazeera