Arada bir de olsa bilgi güvenliği konusunda siz değerli okuyucularıma makaleler yazarak bilgi vermeye çalışıyorum. Hatırlarsanız bir süre önce benzer bir başlık ile “Uludağ Üniversitesi Bilgi Güvenliğinde Sınıfta Kaldı” yazımda aynı konuyu dile getirmiştim. Biraz önce Ali İhsan Dariga arkadaşımın iletmesi üzerine bu yazıyı yazmak zorunda kaldım. Geçen sefer Uludağ Üniversitesi’nin duyurularında gördüğüm bu sıkıntılı durumu yazdıktan 2 gün sonra hatalarını fark edip durumu düzeltmişlerdi.
Geleceğin en önemli savunma ve gerektiğinde silahlarından biri haline gelen “Bilgi Güvenliği” maalesef ki ülkemizde gerekli öneme sahip değil. Bilgi güvenliği derken hep son kullanıcılar akla gelir. Peki bu sektörde üniversitelerimizin ve diğer kuruluşların hali nicedir? Bilinmez…
Gaziantep Üniversitesi’nin hali ise içler acısıymış!
Gaziantep Üniversitesi’nin duyurular bölümüne girdiğiniz zaman ki üniversiteye bir kayıt, başvuru ya da bir sınav için başvurmuş olabilirsiniz. “Mesela Pedagojik Formasyon Sertifika Programı” Sonuçlarını görmek istediğiniz zaman size duyurular sayfasında bu program hakkında bilgi vermekteler. Buraya kadar sorun yok. Duyurunun altındaki XLS dosyasını tıklayarak başvurunuzun kabul edilip edilmediğini görmektesiniz.
Gözlerinize inanamayacaksınız!
Neden mi? Bu XLS dosyasını açtığınız zaman karşınıza bir liste çıkmakta. Başvuru durumları bu liste içerisinde Kabul / Red olarak belirtilmiş. Buraya kadar sıkıntı yok. Fakat hiçbir şifreli, üyelikli, özel bir alan olmayan, herkese açık olan Gaziantep Üniversitesi Duyurular sayfası üzerinde herkesin indirebileceği şekilde konulmuş bu XLS dosyası o kadar masum değil!
Dosyayı indirdiğimde bazı sütunların gizlendiğini gördüm. (Excel’de sütun gizlemek) Bu sütunlar içerisinde …
Adı, Soyadı, T.C. Kimlik, İş / Ev adresi, ev telefonu, e-posta adresi, cep telefonu, mezun olunan üniversite, mezun olunan fakülte, mezun olunan bölüm, ana bilim dalı, başarı notunuz, mezuniyet başarı notunuz şeklinde tüm bilgiler yer alıyor!
İçerisinde binlerce kayıt bulunan bu XLS dosyasında bir sertifika programına kabul edilmeyi bekleyen binlerce gencin adı, soyadı, ev telefonu, ev adresi ve Tc Kimlik numarasına kadar özel bilgileri günlerdir Üniversitenin halka açık duyurular kısmından indirilebilmekte.
Bu suçtur!
Kişisel bilgileri her kim olursa olsun hele ki ev adresi, telefon numarası, tckimlik no gibi bilgileri public etmek suçtur!
Güzide üniversitemizin yetkilileri şuan bu suçu işlemekte. Sayelerinde binlerce kişinin bilgileri halka açılmış. Üstüne üstlük spamcılar, bilgi çalanlar, dolandırıcılar için bulunmaz bir fırsat haline getirilmiş.
Kız kardeşimin bilgilerinin orada ne işi var? Karımın cep telefonu, ev adresini yayınlamaya ne hakkınız var?
Sormamız gerekmiyor mu?
Görünüşe bakılırsa ülkemizin güzide üniversitelerinden Gaziantep Üniversitesi, Bilgi Güvenliği dersinden kalmış! Üstelik çok basit ve karmaşık hesaplar olmayan bir ders… Devam zorunluluğu da yok! Hem sınıfta kaldılar hem de şuan yasalarımıza göre suç işlemekteler!
Bakalım, gelecek sene bu güzide üniversitemiz bilgi güvenliği dersini geçebilecek mi? Ayrıca XLS dosyasını oraya koyan arkadaşa iletelim EXCELL’de Sütun Gizlemek bir halta yaramaz!
Üniversitenize başvurup Excel dosyası içerisinden adınızı ve adresinizi kaldırtın!
Ekleme: (12 Ekim)
Üzerinden 24 saat geçti ve sanırım Gaziantep Üniversitesi yetkililerine yazım ulaştı. Şuan itibari ile duyuruyu kaldırıp durumu düzeltmişler. Fakat öyle bir düzeltme ki yeni duyuruda da XLS dosyası içerisinde aynı bilgiler mevcut. Üstelik sütunlar gizlenmiş! Bilginize sunarım…
Çok güzel anlatmışsın abi teşekkür ederim 🙂
Bahsettiğin üniversitede okuyan biri olarak birkaç not daha eklemek istedim.
Türkiyenin belkide en zor mühendis yetiştiren bir üniversitesi olsa da bilgi güvenliği konusunda geri kalmış bir üniversite..
Pedagojik formasyonda bilgilerden öte o sayfayı açmak bambaşka bir dertti..10 Bin kişiden fazla kişinin başvurmuş olduğu sayfayı teknolojinin en gerisinden tablo ile sayfalatma özelliği koyulmadan bir sayfa içerisinde açılıyordu..XLS belgesinden öte bunu bir php döküman üzerinde yapmışlardı ki hiç kimse kaydının olup olmadığını görememişti..Çoğu bilgisayarda önbellek yetersizliğinden sayfa açılmıyordu..
Her sene öğrenci kayıt sisteminde çektiğimiz çile de bunun bir başka boyutu..Defalarca mail atmama rağmen hiçbir geri dönüş yapılmaması da bir başka yönü 🙂
Öğrenci kayıt sisteminde öyle bir komedi durum söz konusuydu ki 1 kredilik lab derslerini sistem hepsini otomatik seçip 8 kredini götürüyordu..Ve en komiği ise profösörün dediği olsa gerek “2 Kere üsttekini tıkla bi kere alttakini tıkla üstteki zorunlu kalkıyor”..
İlgili kuruluşun bu hatayı düzeltmesini beklemeden kişilerin TC bilgilerini içeren dosyayı o siteden daha kat kat fazla takipçisi olan bu sitede yayınlamanız suç değil yani öyle mi?
Onların yaptığı suçtur ancak suçtan ziyade hatadır, bilinçsizliktir. Asıl suç, sizin bu yaptığınızdır. Böyle bir durumda yapılması gereken en doğru davranış, rant sağlamak için burada böyle bir yazı yazmak değil, kuruluşun uyarılması olmalıdır.
Kuruluş uyarılıp hata düzeltildikten sonra aldığınız ekran görüntüsüyle açardınız konunuzu, böyle böyle olmuştu diye T.C. kimlik numaralarını gizleyerek yazarsınız burada… Nedir bu acele, bilgileri yayma, büyük başarınızı(!) gösterme çabası?
@Murat Yıkılmaz
Birçok internet sitesinde bu duyuru yayınlanmış, üzerine zaman geçmiş. Bu suçtur diyorum ve bu duyuruyu oraya koymak yetki ister, eğer ki yetkin kişi çalıştırılmıyorsa, bilgisiz kişiler oraya bu duyuruyu giriyorsa bu benim suçum değildir. Kaldı ki benim hitlerim ne kadar yüksek olursa olsun bir üniversite kadar çok olamaz.
Ben bir başarıya imza atmıyorum. Bilgi güvenliğinde dikkatli olunması gerektiğini bildiriyorum. Dosya benim sayfamda yok! Link onların sayfasına gitmekte. Onların makinelerinde host ediliyor. Birileri suç işliyorsa ve ben bunu görüyorsam herkese bunu anlatabilirim. Devlet yetkilileri de ifade ver derlerse ifademi veririm.
http://www.pedagojikformasyon.net/2011/10/gaziantep-universitesi-pedagojik.html bu adres de dahil olarak insanların şikayet ettiğini görebilirsiniz. Fakat bilgiler an ve an ortada!
Kimsenin sizi şikayet etmeyeceğini, etse de bir sonuç alamayacağını bildiğiniz için rahatsınız ancak hala orada kişilerin T.C. bilgilerinin durduğunu bile bile o sayfayı yaymaya “suça iştirak” denir.
Hukuken suç sayılmasını bırakın, vicdan yahu? O siteden haberi bile olmayan birisi gelip buradan, sizin yazınız sayesinde haberdar olacak, gidecek bir şeyler gerçekleştirecek o bilgilerle… Bunun vebalini nasıl alıyorsunuz merak ediyorum.
İlk yorumumu atarken XLS dosyasına doğrudan link bulunuyordu, o linki kaldırdığınız gibi diğer linkleri de kaldırmanızı rica ediyorum.
@Murat Yıkılmaz
Kardeşim bu yazıda rant sağlama gibi bir amaç güdülmemiş, mağdur olan onca insanın mağduriyeti dile getirilmiştir. Orada benimde bilgilerim var ve halka açık bir durumda. Üniversite yönetimi bunu görememişse bunu göstermek bizim hakkımız. Pedagojik formasyonla ilgilenen sitelere de bakarsan durumun nasıl vahim olduğu ortada. Bilgi güvenliği konusunda yıllardır yazı yazan Hamza Şamlıoğlu için bu yazı sadece bir uyarı niteliğindedir.
üsenmesem tüm mail adreslerini alır hepsine bu yazı gönderirdim ama tembelim 😀
@Murat Yıkılmaz
Tekrar söylüyorum Murat Bey, rant sağlama amacım yok. Olsaydı daha farklı yazılırdı. Bilgilendiriyorum, uyarıyorum eğer orada bilgileriniz varsa üniversiteye bunu bildirin diyorum. XLS dosyasını ben public etmedim. Şuan birçok yerde public etmişler. Dosya kim bilir kimlerin elinde dolaşıyor. Ben yazmasaydım haberiniz olacak mıydı?
Şuan haberiniz var ve bana yazdığınız mesaj kadar üniversiteye telefon açıp kaldırtabilirdiniz. Geçenlerde Uludağ üniversitesi aynı şeyi yapmıştı. Yazdım 2 gün sonra kaldırdılar. Düzelttiler kendilerini. Ayrıca lütfen rica ediyorum. TV’de neler public ediliyor. Gazetelerde gizli bilgiler dökülüyor. Ben ilk yayınlayan değilim. İlk paylaşan da değilim. Linki ‘de siz istediğiniz için kaldırdım. Lütfen bu yazı daha fazla insana ulaşsın da üniversite bu yanlışı kaldırsın. Benim ya da 3-4 kişinin söylemesi ile kimse kılını kıpırdatmaz.
Sizin söylediğiniz gibi, siz yazmasaydınız benim haberim olmayacaktı. Sizin sayenizde benim haberim olduğu gibi, bu bilgileri kullanacak kötü niyetli birisinin de haberi olabilir, benim söylemek istediğim tam anlamıyla bu. Böyle bir durumda bunun sorumluluğu hukuki olarak da, manevi olarak da sizde olur ki, bunun olmasını sizden önce ben istemiyorum. Linkleri kaldırdığınız için teşekkür ederim. İlgili kuruluşa yazınızı okuduktan sonra mail göndermiştim.
Tamam da bunu ben ortalığa sunmadım. Zaten ortalıkta üzerinden günler geçmiş birilerinin ses çıkarması lazım. Ses çıkarıyorum işte?
Doğrudan linkler verilmeden, sayfalar belirtilmeden, yani kullanıcıların bilgilerinin yayılmasına yardımcı olmadan ses çıkarılması daha doğru olur düşüncesindeyim.
Böyle şeyler çok küçük görülüyor toplumumuzda şu anda. Gereken önem algısı bile yok ki özen olabilsin. Diğer yandan yapıcı eleştirilerinizi bile yanlış anlayacak insanlarla karşılaşmak elbette motivasyonunuzu kırıyor.
Tüm bunları geçtim, kamuda böyle bir şeyin olması maalesef bana doğal göründü. Gereken önem ve özen gösterilmemesi bir yana, bunun yanlış olduğunu dillendirmek, söylemek bile garip geliyordur onlara belki de.
Hamza abi, böyle bir yanlışlığı umuma sunman bence iyi bir şey. Böylece insanlar biraz olsun “farkında” olmaya başlıyorlar. Bunun çözümü de bence telefonla değil, kamu çalışanının daha iyi anlayacağı dil olan “dilekçe” gibi yazılı bir metinle başvurmak. Mümkünse konuyla ilgili kanunlar, hukuki referansları da bu yazılı metin içinde belirtmektir. Ancak böyle yapıldığı zaman “aman yarın hukuki bir yaptırım uygulanır, dikkatli olalım” algısı ortaya çıkıyor. Yoksa telefonla ya da sözle bazı şeyleri ciddiye almıyorlar.
İnşallah böyle uyarılarla da olsa daha güzel işler başarılacaktır.
@Murat Yıkılmaz
Yazımın üzerinden 24 saat geçti ve durumu düzelttiler. Duyuru kaldırılmış yeni duyuru girilerek XLS dosyası revize edilmiş. Bilginize sunarım arkadaşlar…