Skip to main content

Türkiye'nin Veri Sızıntısı Krizi ve Öz Kimlik (SSI) ile Çözüm Yolu

mhrsntrk

mhrsntrk / September 19, 2025

Türkiye'de son yıllarda yaşanan büyük ölçekli veri sızıntıları, vatandaşların kişisel bilgilerinin ne kadar savunmasız olduğunu gözler önüne serdi. Bu sızıntıların ortak noktası: merkezi sistemlerde depolanan milyonlarca vatandaş bilgisinin tek seferde çalınması. Peki bu felaket senaryolarının tamamı Öz Kimlik (Self-Sovereign Identity - SSI) teknolojisi ile önlenebilir miydi?

Türkiye'deki Veri Sızıntılarının Boyutu

108 Milyon Kişinin Verisi Çalındı (2024)

Türkiye tarihinin en büyük veri sızıntısı 2024 yılında yaşandı. Ulaştırma ve Altyapı Bakanı Abdulkadir Uraloğlu, 108.57 milyon TC kimlik numarası, 82.32 milyon ev adresi ve 134.82 milyon cep telefonu numarasının çalındığını doğruladı. Bakan, "Pandemi sürecinde sağlık sisteminden bir sızıntı oldu, maalesef o süreçte engellenemedi" diyerek büyüklüğü 147 milyar dolarlık veri sızıntısını basit bir "engellenemedi" açıklaması ile geçiştirmeye çalıştı.

e-Devlet Sisteminde 85 Milyon Vatandaş Verisi (2023)

2023 yılının Haziran ayında, e-Devlet sisteminden 85 milyon vatandaşın kişisel bilgileri çalındı. Sistem o kadar güvenliksizdi ki, verileri çalan hacker'lar bile "devletin kişisel verileri özel şirketlere sattığı" iddiasında bulunarak duruma isyan etti.

e-Nabız'dan 1.9 Milyon Sağlık Kaydı Sızıntısı (2023)

SafetyDetectives siber güvenlik ekibinin keşfettiği sızıntıda, e-Nabız sisteminden 1.9 milyon satır aşı bilgisi internette ücretsiz olarak yayınlandı. Sızıntı, 2015-2023 yılları arasındaki 5.3 milyon aşı dozu bilgisini, hastane kayıtlarını, doğum tarihlerini ve kısmi TC kimlik numaralarını içeriyordu.

Bağcılar Eğitim ve Araştırma Hastanesi Saldırısı (2024)

İstanbul'daki hastaneye yönelik siber saldırıda, 2007 yılından beri tüm röntgen görüntüleri ve test sonuçları dahil olmak üzere gizli tıbbi kayıtlar sızdırıldı. Hacker'lar tıbbi kayıtlar karşılığında 200 bin dolar fidye talep etti.

Sistemin Teknik Açıkları

140journos'un "Panel" adlı belgeselinde ortaya çıkan en çarpıcı detay, e-Nabız sistemindeki inanılmaz güvenlik açığıydı. SMS ile gönderilmesi gereken doğrulama kodları, web sitesinin ön yüz kodunda görünür durumdaydı - herhangi biri tarayıcısında F12 tuşuna basarak bu kodlara erişebiliyordu.

Mevcut Sistemin Temel Sorunu: Merkezi Veri Depolama

Türkiye'deki tüm bu sızıntıların ortak nedeni merkezi veri depolama yaklaşımıdır. E-Devlet, e-Nabız ve hastane sistemleri, milyonlarca vatandaşın kişisel bilgilerini tek bir merkezi veritabanında topluyor. Bu durum, siber suçlular için "tek vuruşta jackpot" fırsatı yaratıyor.

Merkezi sistemlerin yapısal riskleri şunlardır :

  • Tek Arıza Noktası: Bir güvenlik açığı tüm sistemi etkiler
  • Büyük Hedef: Milyonlarca kaydın bulunduğu sistemler saldırganlar için çekici
  • Kontrol Eksikliği: Vatandaşlar verilerinin nasıl korunduğu konusunda bilgi sahibi değil
  • Zincirleme Etki: Bir sızıntı tüm bağlantılı servisleri etkiler

Öz Kimlik ile Çözüm: Nasıl Önlenebilirdi?

1. Dağıtık Veri Saklama

SSI sisteminde kişisel veriler merkezi sunucularda değil, kullanıcıların kendi cihazlarında güvenli dijital cüzdanlarda saklanır. Bu durumda 108 milyon vatandaşın verisini çalmak için, 108 milyon farklı cihaza saldırı düzenlemek gerekecekti - pratikte imkansız.

2. Seçici Bilgi Paylaşımı

E-Nabız örneğinde, hasta sadece gerekli tıbbi bilgiyi (örneğin aşı durumu) doğrulanabilir kimlik belgesi olarak paylaşabilir ve kişisel kimlik numarası, adres gibi hassas bilgiler hiç açığa çıkmaz. Bağcılar Hastanesindeki gibi saldırılarda bile, sadece o hasta ile ilgili veriler risk altında olur, tüm hastane kayıtları değil.

3. Kriptografik Doğrulama

SSI'da doğrulama işlemi kriptografik imzalar ile yapılır. E-Nabız'daki gibi doğrulama kodlarının ön yüzde görünmesi teknik olarak imkansız hale gelir çünkü doğrulama merkezi bir sunucuda değil, kullanıcının cihazında gerçekleşir.

4. Kimlik Avı Saldırılarının Önlenmesi

Mevcut sistemde bir kez çalınan TC kimlik numarası ve kişisel bilgiler sürekli kötüye kullanılabiliyor. SSI'da her işlem için benzersiz, geçici kriptografik kanıtlar kullanıldığı için bir kez ele geçirilen bilgi başka yerde kullanılamaz.

5. Gerçek Zamanlı Kontrol

Öz Kimlik ile vatandaşlar hangi kurumun ne zaman hangi bilgilerine eriştiğini anlık olarak görebilir ve istediği zaman bu erişimi iptal edebilir. Şu anda vatandaşlar verilerinin kimin elinde olduğunu bile bilmiyor.

Pratik Uygulama Senaryoları

Sağlık Sistemi için SSI

Güncel e-Nabız yerine SSI tabanlı e-Nabız sistemi ile:

  • Hasta aşı kartını dijital cüzdanında saklar
  • Hastaneye gittiğinde sadece "COVID aşısı oldum" kanıtını paylaşır
  • TC kimlik numarası, adres, telefon gibi bilgiler paylaşılmaz
  • Her hastane ziyareti için farklı kriptografik imza kullanılır

Devlet Hizmetleri için SSI

Güncel e-Devlet yerine SSI tabanlı e-Devlet sistemi ile:

  • Vatandaş kimlik belgelerini kendi cihazında saklar
  • Her devlet kurumuna farklı, geçici kimlik kanıtı sunar
  • Merkezi veritabanında milyonlarca kayıt bulunmaz
  • Kurum sadece işlem için gerekli bilgiyi alır

Teknik Avantajlar

Sıfır Bilgi Kanıtları (Zero-Knowledge Proofs)

SSI teknolojisi ile bir kişi 18 yaşından büyük olduğunu, doğum tarihini açıklamadan kanıtlayabilir. Bu sayede e-Devlet sistemlerinde gereksiz kişisel bilgi toplamaya son verilebilir.

Blokzinciri Tabanlı Güvenlik

Doğrulanabilir kimlik belgeleri blokzincir teknolojisi ile korunur ve değiştirilmesi neredeyse imkansız hale gelir. Bu, sahte belge üretimini de büyük ölçüde önler.

Birlikte Çalışabilirlik (Interoperability)

SSI standardları sayesinde bir kez oluşturulan dijital kimlik belgesi, farklı kurumlar ve hatta ülkeler arasında kullanılabilir. Bu, bürokrasiyi azaltırken güvenliği artırır.

Türkiye'deki veri sızıntıları, merkezi kimlik sistemlerinin çöküşünü gözler önüne seriyor. 150 TL karşılığında vatandaş bilgilerinin satıldığı ve hükümetin Google'dan yardım isteyerek sızan verilerin silinmesini talep ettiği bir ülkede, paradigma değişikliği kaçınılmaz. Öz Kimlik teknolojisi, bu felaket senaryolarının tamamına karşı etkili bir çözüm sunuyor. Artık soru "Verilerimiz güvende mi?" değil, "Ne zaman kendi verilerimizin kontrolünü ele alacağız?" olmalı.

See More