Porto Riko hükümetine bağlı bir kurum, yaklaşık 1 milyon kişinin Sosyal Güvenlik numarasını (SSN) içeren hassas verileri, uzun süre boyunca herkesin erişimine açık halde internet ortamında yayınladı. Bu devasa veri ihlali, kâr amacı gütmeyen araştırmacı gazetecilik kuruluşu ProPublica tarafından ortaya çıkarıldı. Sızdırılan bilgiler arasında Porto Riko vatandaşlarının yanı sıra eyalet dışından adada ikamet eden veya çalışan kişilerin de Sosyal Güvenlik numaraları, tam adları, adresleri, doğum tarihleri ve işveren bilgileri gibi kişisel veriler yer alıyor. Olay, özellikle Porto Riko’nun ABD’ye bağlı bir bölge olarak federal kimlik hırsızlığı korumalarının kapsamı dışında kalması nedeniyle, adadaki milyonlarca insan için ciddi bir güvenlik tehdidi oluşturuyor.
Veri ihlalinin perde arkası
ProPublica’nın raporuna göre, Porto Riko İnsan Kaynakları Departmanı (Departamento de Recursos Humanos), şeffaflık amacıyla yayınladığı maaş ve personel bilgilerini içeren bir veritabanını, dosya adında sadece "maaş" ifadesi yer aldığı için fark edilmeden internete yükledi. Ancak bu dosya, aslında maaş verilerinin çok ötesinde, her bir çalışanın Sosyal Güvenlik numarasını da içeriyordu. ProPublica, bu dosyayı ilk olarak 20 Nisan 2024’te tespit ettiğinde, dosyanın en az beş ay boyunca herkes tarafından indirilebilir durumda olduğunu belirledi. Departman, ProPublica’nın uyarısı üzerine dosyayı kaldırdı ancak bu sürede kaç kişinin verilere eriştiği bilinmiyor.
Sızdırılan veriler, 2020, 2021 ve 2022 yıllarına ait maaş kayıtlarını kapsıyor ve yaklaşık 567 bin benzersiz çalışana ait bilgiler içeriyor. Ancak her kayıtta çalışanın SSN’si yer aldığı için, etkilenen toplam kişi sayısının 1 milyona yakın olduğu tahmin ediliyor. Porto Riko’nun toplam nüfusu yaklaşık 3,2 milyon. Yani adadaki her üç kişiden birinin Sosyal Güvenlik numarası neredeyse bir yıl boyunca açıkta kaldı. ProPublica, veri setini indirip incelediğinde, dosyada 999.339 farklı SSN bulunduğunu doğruladı.
Bölgesel ve küresel boyut
Porto Riko’nun ABD’ye bağlı bir bölge (territory) statüsü, bu veri ihlalini diğerlerinden ayıran önemli bir faktör. ABD vatandaşı olan Porto Rikolular, federal kimlik hırsızlığı yasaları kapsamında olsa da, adadaki veri koruma düzenlemeleri anakaraya kıyasla daha zayıf. Ayrıca Porto Riko hükümeti, mali kriz ve borç yapılandırması sürecinde bütçe kısıtlamaları nedeniyle siber güvenlik altyapısına yeterli yatırımı yapamamış durumda. Bu ihlal, yalnızca bireysel kimlik hırsızlığı riskini artırmakla kalmıyor, aynı zamanda adanın dijital güvenlik zafiyetini de gözler önüne seriyor. Küresel ölçekte, benzer veri sızıntıları özellikle gelişmekte olan ülkelerde ve bağımlı bölgelerde sıkça yaşanıyor. Bu durum, siber suçlular için düşük riskli yüksek getirili bir hedef oluşturuyor. ABD’nin adadaki varlığı ve federal kurumların sorumluluğu tartışmaları da yeniden alevleniyor.
Türkiye Açısından Değerlendirme
Bu olay, Türkiye’deki kamu kurumları ve özel sektör için önemli bir uyarı niteliği taşıyor. Kişisel verilerin korunması Kanunu (KVKK) kapsamında düzenlemeler bulunsa da, açık kaynaklı veri sızıntıları ve insan hatası kaynaklı ihlaller Türkiye’de de sıkça yaşanıyor. Porto Riko örneği, özellikle büyük ölçekli maaş veya personel veritabanlarının yayınlanması öncesinde, Sosyal Güvenlik numarası gibi kritik alanların mutlaka maskelenmesi gerektiğini hatırlatıyor. Türkiye’nin dijital dönüşüm sürecinde, kamu kurumlarının veri güvenliği protokollerini sıkılaştırması ve bu tür ihlallerin önüne geçmek için düzenli denetimler yapması elzem.