"Tüm internet verileriniz ve kimlerle yazıştığınız BTK tarafından biliniyor"

"Girdiğiniz internet siteleri, WhatsApp’ta kimlerle yazıştığınız ya da telefonlaştığınız, konum verileriniz ve daha fazlası, her saat başı Ulaştırma ve Altyapı Bakanlığı’na bağlı Bilgi Teknolojileri ve İletişim Kurumu’na (BTK) gönderiliyor."

Doğu Eroğlu | Medyascope

Medyascope, daha önce ortaya çıkan kitlesel gözetim faaliyetinin belgelerine ulaştı. Belgelere göre internet servis sağlayıcıları, bilgisayar ya da mobil cihaz üzerinden internete bağlanan tüm kullanıcıların trafiğini, her saat başı BTK’ya iletiyor. BTK’ya giden bu veriler anonim hâle getirilmiyor. Yani her bir veri paketi, kullanıcının kimliğiyle birlikte kuruma gönderiliyor. “Adli ve önleyici tedbirler” gerekçesiyle internet trafiğini isteyen BTK’nın, tüm vatandaşların verilerini nasıl kullanacağı belirsiz.

Çevrimiçi kitlesel gözetim, internet kullanımının yaygınlaşması ve internet hakkındaki yasal düzenlemelerin yapıldığı dönemden itibaren Türkiye’de tartışma konusu. Fakat Türkiye’de iletişimin gizliliği ve veri mahremiyeti konusundaki en büyük tartışmalar internetin gözetimi hakkında değil, usulsüz telefon dinlemeleri sebebiyle ortaya çıkmıştı. 1999’da düzenlenen Telekulak Operasyonu ve 2013’teki 17-25 Aralık operasyonları, ülkenin en büyük telefon dinleme skandalları olarak kayda geçmişti.

Ancak Medyascope’un ulaştığı belgeler, geçmişte ortaya çıkan telefon dinleme skandallarından katbekat büyük bir kitlesel gözetimin, Ulaştırma ve Altyapı Bakanlığı’na bağlı Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından yaklaşık bir buçuk yıldır gerçekleştirilmekte olduğunu gösteriyor.

BTK’nın kullanıcı trafik verilerini düzenli olarak internet servis sağlayıcılardan istediğini daha önce CHP Genel Başkan Yardımcısı Onursal Adıgüzel açıklamış, BTK herhangi bir yalanlamada bulunmamıştı.

Medyascope’un ulaştığı 15 Aralık 2020 tarihli, 15 sayfadan oluşan belgelere göre BTK, internet servis sağlayıcılardan, tüm kullanıcıların internet trafiği kayıtlarının saat başı kendisine gönderilmesini istedi. BTK milyonlarca kullanıcının verilerinin hangi formatta kayıt altına alınacağı ve kendisine nasıl gönderileceğini, kurum yazısıyla birlikte gönderdiği teknik detay dokümanında internet servis sağlayıcılara ayrıntılarıyla anlattı.

İSS Trafik Log Deseni başlıklı yazıda, kullanıcı verilerinin anonim olarak değil, kullanıcının adı soyadıyla birlikte kuruma gönderilmesi isteniyor.

BTK’nın gözetimi, internet kullanıcılarının kimlikleriyle birlikte, hangi internet sitelerini ziyaret ettikleri ve hangi uygulamaları kullandıklarının kurum tarafından kaydedilmesini sağlıyor. Medyascope’un görüştüğü bilişim uzmanları, bu gözetim sayesinde elde edilecek verilerin karşılaştırılmasıyla, kullanıcıların WhatsApp, Telegram ya da Signal gibi uygulamalar üzerinden kimlerle yazıştığını ya da sesli-görüntülü görüşme yaptığının anlaşılacağını aktarıyor. Bu tip uygulamalardan yazışan ya da birbirini arayan kullanıcıların her ikisi de Türkiye’deki internet servis sağlayıcılardan hizmet alıyorsa, bu iki kişinin tespit edilebilmesi oldukça kolay.

Görüştüğümüz internet servis sağlayıcıları, mobil telefon operatörlerinden BTK’ya giden veriler arasında, kullanıcıların konum bilgilerinin de olduğunu ileri sürüyor. Ancak Medyascope bu iddiayı aynı zamanda mobil telefon hizmeti de sunan Turkcell, Vodafone ve Türk Telekom’dan teyit edemedi.

Aralık 2020 tarihli belgede, kullanıcıların internet trafik verilerini BTK’ya yollamayan internet servis sağlayıcılara ceza kesileceği uyarısı da yer alıyor.

BTK’nın internet trafik verilerini şirketlerden talep ettiği, İSS Trafik Log Deseni belgesine erişmek için tıklayınız.

Trafik verilerinin BTK’ya nasıl gönderilmesini ayrıntılarıyla aktaran Trafik İSS Trafik Logu Teknik Detay Dokümanına erişmek için tıklayınız.

Başkanlık yazısıyla tüm kullanıcıların internet trafiğini istediler

BTK’nın Türkiye’deki tüm kullanıcılara ait internet trafiğini talep ettiği, İSS Trafik Log Deseni başlıklı ve gizli ibareli yazı, 15 Aralık 2020’de internet servis sağlayıcısı şirketlere gönderildi.

Belgede, “Kurumumuz adli amaçlı iletişimin tespit edilmesi, dinlenmesi, sinyal bilgilerinin değerlendirilmesi ve kayda alınmasına yönelik işlemler kapsamında verilen görevleri süresinde, eksiksiz ve herhangi bir aksamaya sebebiyet vermeyecek şekilde yerine getirmekle yükümlüdür. . . İnternet ortamında gerçekleşen faaliyetlere ilişkin olarak adli ve önleyici kapsamda daha detaylı bilgilerin alınmasına ihtiyaç duyulmuştur” ifadeleri yer aldı.

BTK’dan internet servis sağlayıcılara gönderilen yazı, BTK Başkanı adına, Kurum Başkan Yrd. titrine sahip Fethi Azaklı imzası taşıyor.

Bilgi Teknolojileri İletişim Kurumu’nun karar organı, Bilgi Teknolojileri ve İletişim Kurulu. Yani BTK adına kararlar kurul tarafından alınıp yöneticilerce icra ediliyor. Ancak İSS Trafik Log Deseni başlıklı yazıda, herhangi bir kurul kararına atıfta bulunulmuyor. BTK’nın internet sitesinde, kurul kararlarının yer aldığı bölümde de, kurul tarafından alınmış benzer bir karara rastlanmıyor. Yani internet trafiğini gözetlemek için internet servis sağlayıcılara yollanan yazı, kurul tarafından alınmış herhangi bir karara dayanmıyor.

Gizli ibareli ve İSS Trafik Log Deseni başlıklı belgenin Aralık 2020’de, farklı tarihlerde yüzlerce internet servis sağlayıcısı şirkete gönderildiği tahmin ediliyor.

Medyascope’un görüştüğü ve BTK’nın iletişim sektöründeki düzenleyici ve denetleyici konumundan ötürü isimlerinin saklı kalması kaydıyla konuşan internet servis sağlayıcı firmaların yetkilileri, şirketlerden BTK’ya kullanıcı trafiği veri akışının 2021 itibarıyla başladığını ileri sürüyor.

Medyascope’un irtibat kurduğu Turkcell, Türk Telekom ve Vodafone, yani Türkiye’de abone sayısı bakımından en büyük üç internet servis sağlayıcısı, BTK’ya gönderilen veriler hakkındaki sorularımıza herhangi bir cevap vermedi.

Trafik verileri anonim hâlde değil, kullanıcıların adıyla birlikte bildiriliyor

Mobil uygulamalar, Facebook gibi sosyal ağ platformları ya da Google gibi servisler, kullanıcılarından topladığı verileri ürün ve hizmetlerin pazarlanmasında sıkça kullanabiliyor. Ancak Türkiye’de ve dünyada yürürlükte olan kişisel verilerin korunması kanunları uyarınca, bu veriler veri sahiplerinin kimliklerinin belirlenmesini önleyecek şekilde maskeleniyor. Yani toplanan veriler ile gerçek kişiler arasındaki bağlar koparılıyor.

BTK’nın internet servis sağlayıcılardan her saat başı temin ettiği verilerde ise böyle bir uygulama yok. Yani veriler anonimleştirilmeden, gelen tüm trafik bilgisi kullanıcıların kimlikleriyle birlikte kayıt altına alınıyor.

İnternet servis sağlayıcılar tarafından BTK’ya iletilen log’larda, yani trafik kayıtlarında, her bir satır abonenin adıyla başlıyor.

İnternet servis sağlayıcılar tarafından BTK’ya saat başı gönderilen paketlerdeki her bir trafik satırı, şuna benziyor:

Abonenin adı-soyadı@Hizmet alınan servis sağlayıcı | Abonenin IP numarası | Özel Port | Gerçek IP | Gerçek port başlangıç | Gerçek port bitiş | Trafik başlama tarihi [Gün-ay-yıl-saat-dakika-saniye] | Trafik süre [Bağlantının ne kadar devam ettiği, saniye cinsinden] | Hedef IP | Hedef port | App protokol [Bir uygulama için bağlantı kurulduysa burada uygulamanın adı, bir internet sitesine bağlantı gerçekleştirildiyse sitenin adresi yazıyor. Örnek: WhatsApp ya da medyascope.com] | Network protokol | İndirilen miktar [İndirilen verinin byte cinsinden miktarı] | Yüklenen miktar [Gönderilen verinin byte cinsinden miktarı] | Bağlantı PVC | Oturum ID | SSG IP | NAT cihaz | DPI cihaz | Termination cause | Packet type | Direction

Yani BTK’ya giden trafik kayıtlarının her bir satırında;

  • Abonenin adı ve soyadı (Tüzel kişiyse resmi adı),
  • Abonenin o sırada kullanmakta olduğu IP numarası,
  • Hangi uygulamayla ya da internet sitesiyle veri alışverişi yaptığı,
  • İlgili veri alışverişinin başlangıç tarihi ve saati, veri alışverişinin ne kadar sürdüğü,
  • Ne büyüklükte veri alıp ne büyüklükte veri gönderdiği

gibi bilgiler yer alıyor.

BTK’nın internet servis sağlayıcılardan istediği trafik verileri, e-postaların ya da WhatsApp veya diğer uygulamalardan gönderilen mesajların içeriği hakkında bilgi içermiyor. Ancak danıştığımız bilişim uzmanlarının tümü, Türkiye’nin tamamından veri toplandığı için, bu büyük veri kullanılarak yazışmaların kimler arasında yapıldığının anlaşılacağını aktarıyor.

İstihbari” veri toplamanın ilk ayağı abone deseniydi

BTK trafik verilerini toplamaya başlamadan önce, internet aboneleri hakkındaki ayrıntılı bilgileri abone deseni adı altında internet servis sağlayıcılardan edinmeye başlamıştı.

4 Aralık 2018’de işletmecilere Abone Desen Yapısı adlı bir belge yollayan BTK, aralarında internet kullanıcılarına ait aşağıdaki kişisel bilgilerin de bulunduğu abone dosyalarının kendisiyle paylaşılmasını istemişti:

  • Abone adı-soyadı
  • T.C. Kimlik ve pasaport numaraları, vergi ve MERSİS numaraları
  • Cinsiyet ve uyruk
  • Anne ve baba adı ile anne kızlık soyadı
  • Doğum yeri ve tarihi
  • Meslek
  • Kimlik cilt, kütük, sayfa no, kimlik seri no ve kimliğin verildiği yer
  • Abonenin adresi
  • Abonenin eski cep telefonu numarası

BTK ayrıca, bu kişisel bilgilerin güncel hallerini içeren dosyaların her ayın ilk günü kendisine tekrar gönderilmesini şart koşmuştu.

Yani 2018’de Abone Desen Yapısı yazısıyla Türkiye’deki tüm internet kullanıcılarının kişisel verilerine ulaşan BTK, 2020’de İSS Trafik Log Deseni yazısıyla, aboneler hakkında sahip olduğu bilgilere internet trafiğini de arşivinde tuttuğu kullanıcı verilerine ekledi.

BTK’nın aboneler hakkında tuttuğu dosyalardaki (kimlik, meslek, adres içeren dosya) bilgiler, her ayın ilk günü internet servis sağlayıcılardan gelen verilerle güncelleniyor.

Abonelerin internet trafiği ise her saat başı internet servis sağlayıcılar tarafından BTK’ya gönderiliyor.

BTK topladığı verilerle ne yapacak?

BTK’nın 2022 yılının ilk çeyreği için hazırladığı Türkiye Elektronik Haberleşme Sektörü Üç Aylık Pazar Verileri Raporu’na göre, Türkiye’deki internet abone sayısı yaklaşık 89 milyon (88,847,744). İnternet kullanıcılarının 70 milyonu mobil cihazlarından, kalan kısmıysa sabit hizmetlerle internete bağlanıyor. Medyascope’un yayınladığı belge, 89 milyon kullanıcının her birine ait saatlik internet trafik verilerinin, abonelerin kimlik bilgileriyle birlikte BTK’ya ulaştığını gösteriyor.

Peki, BTK bu verilerle ne yapıyor?

Medyascope beş parçalık araştırma dizisinin kalan kısımlarında,

  • BTK’nın topladığı veriler nasıl kullanılabilir? İstihbari önleme, profilleme, şantaj ve siyasal manipülasyon olasılıkları,
  • BTK’nın daha önce gerçekleştirdiği gözetim girişimlerinin akıbeti, BTK’nın genişbant pazarının genel yapısının durumu, BTK’ya giden veriler nasıl bir zümrenin kontrolü altında?
  • BTK’ya giden internet trafiği verileri kullanıcılar hakkında neler söylüyor?
  • Kitlesel gözetime karşı yargı yolu açık mı? Kullanıcılar kendi mahremiyetlerini güvence altına alabilir mi? sorularına yanıt arayacak.

Yorum Yap
UYARI: Yorumların her türlü cezai ve hukuki sorumluluğu yazan kişiye aittir. Mepa News, yapılan yorumlardan sorumlu değildir. Her bir yorum 600 karakterle (boşluklu) sınırlıdır.
Yorumlar (1)
Yükleniyor ...
Yükleme hatalı.

Haberler Haberleri