Amerika Birleşik Devletleri’nin en kritik vatandaşlık verilerinden biri olan Sosyal Güvenlik bilgilerinin, yüz milyonlarca kişiyi riske atacak şekilde güvensiz bir bulut sunucusuna yüklendiği iddia edildi. Sosyal Güvenlik Kurumu (SSA) baş veri sorumlusu Charles Borges, yaptığı açıklamayla eski Trump yönetimi döneminde kurulan 'Devlet Verimliliği Departmanı (DOGE)' ekibini hedef alarak, ülkenin kişisel verilerinin ciddi bir güvenlik zafiyetiyle karşı karşıya olduğunu ileri sürdü.
Skandal İddianın Detayları: Kim, Neyi, Nasıl Riske Attı?
Muhbir Borges’in salı günü kamuoyuna duyurulan şikayetine göre, DOGE ekibi Haziran ayında, 'denetimden kaçınan bir bulut ortamında ülkenin Sosyal Güvenlik bilgilerinin canlı bir kopyasını' yükleme kararı aldı. Borges’in endişelerine rağmen, üst düzey kurum yetkililerinin bu kararı onayladığı belirtildi.
Söz konusu veri tabanı, 'Sayısal Kimlik Sistemi (Numerical Identification System - NIS)' olarak biliniyor ve 450 milyondan fazla kayıt içeriyor. Bu kayıtlar, bir Sosyal Güvenlik başvurusu kapsamında sunulan tüm verileri kapsıyor:
- Başvuranın adı, soyadı
- Doğum yeri ve vatandaşlığı
- Aile üyelerinin Sosyal Güvenlik numaraları
- Diğer hassas kişisel ve finansal bilgiler (sağlık teşhisleri, gelir düzeyleri, bankacılık bilgileri, aile ilişkileri, biyografik veriler)
Borges, dolandırıcılığı ve israfı azaltma bahanesiyle hükümete atanan ve eski Elon Musk çalışanlarından oluşan DOGE ekibinin, bu hassas veri tabanını 'bağımsız güvenlik kontrollerinden yoksun' görünen, kurum tarafından yönetilen bir Amazon bulut sunucusuna kopyaladığını iddia etti. Bu güvenlik açıklarının, kimlerin verilere eriştiği ve nasıl kullanıldığı gibi temel bilgilerin eksik olduğu anlamına geldiği vurgulandı. Şikayette, bu durumun hem kurum içi güvenlik kontrollerini hem de federal gizlilik yasalarını ihlal ettiği belirtiliyor.
Olası Kriz Senaryosu: Tüm Veriler Ortaya Çıkabilir mi?
Borges, şikayetinde bu bilgilerin ele geçirilmesi durumunda, “her Amerikalının hassas [kişisel tanımlayıcı bilgileri] sağlık teşhisleri, gelir düzeyleri ve bankacılık bilgileri, aile ilişkileri ve kişisel biyografik verileri dahil olmak üzere kamuya açık hale gelebilir ve geniş çapta paylaşılabilir” uyarısında bulundu.
Şikayet, veri tabanına yapılacak herhangi bir izinsiz erişimin veya veri sızıntısının, ABD Sosyal Güvenlik programı üzerinde “feci bir etki” yaratacağını ifade ediyor. En kötü senaryoda, herkesin Sosyal Güvenlik numaralarının yeniden çıkarılması gerekebileceği belirtiliyor ki bu, ulusal çapta benzeri görülmemiş bir kriz anlamına gelecektir.
Karar Süreci ve Onaylar: Riskler Nasıl Göz Ardı Edildi?
Mart ayında federal bir ihtiyati tedbir kararı, DOGE çalışanlarının ülkenin Sosyal Güvenlik kayıtları veri tabanına erişmesini engellemişti. Ancak, 6 Haziran’da Yüksek Mahkeme bu kararı kaldırarak DOGE’nin erişiminin önünü açtı. Borges’in şikayetine göre, bu kararı takiben DOGE, kurumun üst düzey yetkililerinden dahili onaylar almaya başladı.
SSA Baş Bilgi Sorumlusu (CIO) Aram Moghaddassi, veri tabanının kurumun bulutuna kopyalanması adımını onaylayarak, “iş ihtiyacının güvenlik riskinden daha yüksek olduğunu belirlediğini” ve projeyle ilgili “tüm riskleri kabul ettiğini” ifade etti. Şikayet ayrıca, Moghaddassi’den önce kurumun CIO’su olarak görev yapan ancak halen kurumda bulunan kıdemli bir DOGE yetkilisi olan Michael Russo’nun da canlı Sosyal Güvenlik verilerini buluta taşıma kararını onayladığını ortaya koydu.
Resmi Yanıtlar ve Karşı Görüşler: Güvenlik İddiaları Çelişiyor
Borges, başlangıçta bu sorunları kurum içinde dile getirdiğini, ancak daha sonra Kongre üyelerini “bu ciddi endişeleri gidermek için acil denetim yapmaya” çağırmak amacıyla ihbarda bulunduğunu belirtti. Ancak, Beyaz Saray ve Sosyal Güvenlik Kurumu’ndan farklı açıklamalar geldi.
Beyaz Saray sözcüsü Elizabeth Huston, şikayetten haberdar olup olmadığını belirtmeyerek yorum yapmayı Sosyal Güvenlik Kurumu’na bıraktı. SSA sözcüsü Nick Perrine ise e-posta ile yaptığı açıklamada, kurumun “kişisel verileri, hayati bilgileri korumak için sağlam korumaların bulunduğu güvenli ortamlarda sakladığını” belirtti.
Perrine, “Şikayette atıfta bulunulan veriler, SSA tarafından kullanılan ve internetten izole edilmiş köklü bir ortamda saklanmaktadır. Üst düzey kariyer SSA yetkilileri, SSA’nın Bilgi Güvenliği ekibinin denetimi altında bu sisteme idari erişime sahiptir” diyerek, kurumun “bu ortama herhangi bir uzlaşma olduğundan haberdar olmadığını” ekledi.
Değer Katma: Verimlilik vs. Güvenlik İkilemi ve Önceki Vakalar
DOGE ve Veri Güvenliği: Nereye Kadar?
Bu olay, Trump yönetimi döneminde kurulan ve Elon Musk’ın eski çalışanlarından oluşan DOGE’nin, Ocak ayından bu yana ABD federal departmanlarının çoğunda ve vatandaş veri setleri üzerinde geniş kontrol sağladığı bir dizi kötü siber güvenlik uygulamasının en son örneği olarak görülüyor. 'Verimlilik' adı altında yapılan bu tür hızlı dijital dönüşüm adımlarının, yeterli güvenlik denetimleri olmadan ne denli riskler barındırdığı bu vakayla bir kez daha gözler önüne seriliyor. İş ihtiyacı ne kadar acil olursa olsun, milyonlarca vatandaşın en hassas bilgilerini riske atmak, kamusal güven ve siber güvenlik ilkeleri açısından ciddi tartışmaları beraberinde getirmektedir.
Federal hükümet verilerini içeren bulut tabanlı veri sızıntıları nadir olsa da, emsalleri bulunmaktadır. Örneğin, 2023 yılında ABD Savunma Bakanlığı (DoD), bir güvenlik açığı nedeniyle binlerce hassas askeri e-postayı çevrimiçi olarak ifşa etmişti. Bu olay, bulut hizmetlerinin doğru yapılandırılmasın, hükümet düzeyinde bile ne kadar ciddi sonuçlar doğurabileceğini göstermişti. Bu tür miskonfigürasyonlar (yanlış yapılandırmalar), genellikle en güçlü güvenlik önlemlerine sahip sistemleri bile dışarıya açık hale getirebilir.
Kurum düzeyindeki bu yanlış yapılandırmaların yanı sıra, bireysel kullanıcıların kendi barındırdıkları hizmetlerde de benzer güvenlik açıkları ortaya çıkabilmektedir. Siber güvenlik uzmanı Seyfullah Kılıç'ın yaptığı son bir araştırma, binlerce Tesla aracının hassas verilerinin, sahipleri tarafından yanlışlıkla internete açık bırakılan TeslaMate sunucuları üzerinden sızdığını ortaya koydu. Araçların konum geçmişi, pil sağlığı, şarj seansları ve hatta kişisel alışkanlıklar gibi detayların herkese erişilebilir olması, kullanıcı sorumluluğunun ve doğru yapılandırma adımlarının ne denli kritik olduğunu gösteriyor. Bu konuda daha detaylı bilgi için Tesla sahipleri dikkat: Binlerce aracın hassas verileri internete sızdı haberimize göz atabilirsiniz.
Hükümet düzeyindeki bu vakalara ek olarak, dijital dünyada bireysel kullanıcı verilerini hedef alan casus yazılımlar da benzer güvenlik zafiyetleri barındırabilir. Örneğin, yakın zamanda TheTruthSpy casus yazılımında, binlerce mağduru etkileyen kritik bir güvenlik açığı tespit edildi. Bu zafiyet, kullanıcı hesaplarının şifre sıfırlama mekanizmasındaki bir kusur nedeniyle kolayca ele geçirilmesine ve hassas kişisel verilerin çalınmasına imkan tanıyordu. Geliştiricinin dahi 'kaynak kodunun kaybolduğunu' iddia ederek bu açığı düzeltmeye yanaşmaması, dijital güvenlikteki genel ihmali ve kullanıcı verilerinin ne denli risk altında olduğunu bir kez daha ortaya koymuştur. Bu tür siber güvenlik tehditleri ve korunma yolları hakkında güncel bilgilere ulaşmak için Nexus Haber'in yazılım haberleri bölümünü inceleyebilirsiniz.
Sonuç: Şeffaflık ve Denetim Çağrısı
Sosyal Güvenlik Kurumu'nun resmi olarak herhangi bir sızıntı olmadığını belirtmesine karşın, bir baş veri sorumlusunun bu denli ciddi iddialarda bulunması, konu hakkında acil ve şeffaf bir soruşturma ihtiyacını ortaya koymaktadır. Milyonlarca ABD vatandaşının kişisel verilerinin potansiyel güvenliği, siyasi ve idari çekişmelerin ötesinde, ulusal bir öncelik olmalıdır. Bu olay, hükümetin veri güvenliği protokollerini ve bulut tabanlı sistemlere geçiş süreçlerini ne kadar titizlikle yönetmesi gerektiğini bir kez daha hatırlatıyor.
Kaynak: Bu haber, TechCrunch'ın orijinal raporuna dayanmaktadır: TechCrunch Haberi
