Sahte Diplomalar ve Güvenlik Açıkları: Tehlike Altındaki Eğitim Sistemi
Günümüzde internet tarayıcıları aracılığıyla sahte diploma satan birçok kuruluş bulmak oldukça kolay. Bu durum, medyada sıkça yer alırken, sahte diplomaların e-Devlet sistemine de işlendiğine dair iddialar gündeme gelmiştir. İddialara göre, bu işlemler, üniversiteden mezun olan ancak hayatını kaybeden kişilerin diploma bilgilerinin başka isimlerle değiştirilmesi yoluyla gerçekleştirilmektedir. Yani, vefat eden mezunların bilgileri sistemden silinmekte ve yerine parayla diploma satın alan kişilerin bilgileri eklenmektedir.
Bu tür bir işlemin, üniversitenin öğrenci işleri bölümündeki personelin şifresinin ele geçirilmesi ya da yazılım desteği sunan Proliz Yazılım Şirketi’nin hacklenmesiyle yapılmış olabileceği belirtilmektedir. Proliz Yazılım Şirketi’nin kurucusu Gökmen Çiftçi, sahte diplomaların e-Devlet sistemine nasıl yansıdığını ve kendi sistemlerinin çalışma şekli hakkında Hürriyet’e açıklamalarda bulundu:
BİLGİLER ÖNCE YÖKSİS’E SONRA E-DEVLET’E AKTARILIYOR
“Sistemimizi 2009 yılında devreye aldık. Türkiye’de hem vakıf hem de devlet üniversiteleri olmak üzere 101 üniversite, akademik işlemlerini bu sistem üzerinden yürütmektedir. Üniversiteler, Yükseköğretim Kurulu Bilgi Sistemi (YÖKSİS), Ölçme, Seçme ve Yerleştirme Merkezi (ÖSYM) ve e-Devlet gibi çeşitli kurumlara bilgi aktarmak zorundadır. Sistemimiz, bu kurumların sistemleriyle entegre bir şekilde çalışmaktadır. Yani, bir üniversitenin öğrencisiyle ilgili sisteme girdiği bilgiler otomatik olarak bu kurumlara iletilmektedir. Mezuniyet sürecinin ardından oluşturulan mezun listesi, üniversite kontrolü ve onayı sonrasında sistemimiz tarafından YÖKSİS’e bildirilir. Bu noktadan sonra, öğrencinin e-Devlet’e girdiğinde mezun bilgisi, sistemimizden değil YÖK’ün sisteminden alınan veri sayesinde görüntülenir.”
ÜNİVERSİTE ÇALIŞANI HACKLENDİ
Sistemimizde herhangi bir hackleme ya da sızma girişimi bulunmamaktadır. Bu olay, Yıldız Teknik Üniversitesi’ndeki bir kullanıcının şifresinin ele geçirilmesiyle gerçekleşmiştir. Dolandırıcılar, bu kişiye sahte bir e-posta göndererek şifre bilgilerini elde etmiş olabilir veya bilgisayarına kaydedici bir yazılım yüklemiş olabilir. Güvenli olmayan bir internet ağı üzerinden giriş yapması da mümkün olabilir. Dolayısıyla, üniversite çalışanının şifresinin ele geçirilmesi bu yöntemlerle gerçekleşmiş olabilir. Kısacası, şirketimiz yazılımına yönelik bir siber saldırı olmadığını kesin bir şekilde söyleyebilirim. Hacklenen, bizim sistem değil, üniversite çalışanı olmuştur.
8 ÖĞRENCİ MEZUN GİBİ GÖSTERİLDİ
YTÜ’deki olayda dolandırıcılar, 8 kişiyi üniversitenin mezunu gibi gösterip bu bilgilerin YÖKSİS’e iletilmesini sağlamıştır. Bu durum, kimse tarafından fark edilmemiştir çünkü bir dersin notu değiştiğinde otomatik olarak hem dersin hocasına hem de öğrenciye uyarı mesajı gitmektedir. Ancak burada dolandırıcılar, vefat eden bir mezunun bilgilerini değiştirmiştir; bu nedenle sistem uyarı mesajı göndermemiştir. Aslında bu işlem, sisteme kaydedilmiş olup manuel kontrol ile tespit edilebilir. Kullanıcılara bu tür işlemler ‘son 10 giriş kaydın’ başlığı altında gösterilmektedir. Fakat üniversite çalışanlarının yoğun iş akışında bu bildirimlerin zamanında görememesi muhtemeldir.
8 SAHTE DİPLOMA SON 2 YILDA VERİLDİ
Sistemimiz, geriye dönük analizler ile YTÜ’deki bu 8 sahte diplomayı tespit edebildi. Bunu yaparken, şifresi ele geçirilen kişinin uygulamadaki işlem izini takip ettik. Çünkü sistemimiz, yapılan her işlemi kaydediyor. Bu işlem kayıtları, en yetkili kullanıcının şifresi bile ele geçirilse değiştirilemez ve silinemez. YTÜ, bizimle 2022 yılında çalışmaya başladı; dolayısıyla sistem son 2 yılda yapılan işlemleri kontrol ederek bu 8 kişiye ulaştı. Öncesinde kullanılan sistem farklı olduğu için sahte diploma alan kişilerin sayısı daha fazla olabilir.
ARTIK VEFAT EDENLERİN BİLGİSİ KULLANILAMAYACAK
9 Eylül itibarıyla gerekli tedbirleri aldık. Vefat eden mezunların bilgileri artık sistemimiz üzerinden asla değiştirilemeyecek. Ayrıca, üniversiteler için belirlediğimiz 18.00 olan mesai saatinden sonra hiçbir kullanıcı sistem üzerinden mezun işlemi gerçekleştiremeyecek. Mezun etme işlemleri için bir dizi doğrulama faktörü devreye girmiştir. Son güncellemelerle, şüpheli işlemlerde kullanıcılar anında uyarılmaktadır.
HER SİSTEM HACKLENEBİLİR AMA BU İŞLEMDE BİZ HACKLENMEDİK
Bu durum, sadece bizimle çalışan üniversitelerin karşılaşabileceği bir durum değildir. Tüm üniversiteler için aynı tehdit mevcut. Dolandırıcılar, ilanlarında ‘istenilen her üniversite için diploma verilir’ şeklinde kendilerini pazarlamaktadır. Yani herhangi bir üniversitede çalışan bir kişinin şifresine erişildiğinde, hangi öğrenci işleri bilgi sisteminin kullanıldığı önemli olmayacaktır. Diğer üniversitelerden bize şüpheli işlem kontrolü için herhangi bir talep gelmedi. Ancak biz, gerekli güncellemeleri kendiliğinden yaptık. Dolandırıcılar, her sistemin açığını bulabilir. Ne yazık ki, dünyada tamamen hacklenemeyecek bir sistem yok. Biz yazılım geliştiriyoruz ancak bu yazılımlar, bize ait olmayan platformlarda çalışıyor. Çoğu kullanıcı Windows işletim sistemi kullanıyor. Dolayısıyla, bizim dışımızdaki bir sistemdeki yazılımımız için hacklenemez demek imkansız. Ancak şunu kesin olarak belirtebilirim ki, sistemimin hacklenmesi sonucu bu işlemler yapılmamıştır. Çünkü yapılan işlemlerin tüm aşamalarını kanıtlayabiliyorum; eğer sistemim hacklenseydi, o zaman herhangi bir işlem izine ulaşamazdım.”
YTÜ: ADLİ SÜREÇ SÜRÜYOR
Yıldız Teknik Üniversitesi, konuyla ilgili sosyal medya hesabında şu açıklamayı yaptı:
“Üniversitemiz hakkında bazı basın yayın organları ve sosyal medya platformlarında ortaya atılan iddialara ilişkin olarak, 10 Eylül 2024 tarihinde başlatılan idari ve hukuki işlemler devam etmektedir. Bu süreç titizlikle izlenmekte ve gerekli adımlar atılmaktadır.”
UZMAN GÖRÜŞÜ
VERİLER İYİ KORUNMALI
Dinçer Karaca, Bilişim Uzmanı:
“Bu tür veri tabanlarına erişmek mümkündür. Erişim sağlandığında, istenilen her bilgi yazılabilir, hatta diploma numaraları bile değiştirilebilir. Önemli olan, veri tabanı sunucularının güvenli bir şekilde saklanması ve değiştirilemez teknolojilerle korunmasıdır. Bu sunuculara herkesin erişimi elbette mümkün değildir. Ancak iyi bir hacker, açık bulduğu anda bunu kullanabilir. Fakat bu işlem kolay değildir. Diğer taraftan, bu diplomaların e-Devlet’te görünmesi, hackerın bir kapıdan girip diğer kapıdan çıkmasını gerektirir. Dolayısıyla sistemin e-Devlet veya diğer kurumlarla entegre çalışmasından kaynaklı olarak bu durum yaşanmış olabilir.”
