İmamoğlu hakkındaki 'casusluk' iddianamesi için uzman tespiti! İBB'ye yüklenen sızıntı 'küresel' çıktı: TBMM, MEB, Emniyet, TÜBİTAK...

Tutuklu İBB Ekrem İmamoğlu'na yönelik "casusluk" suçlamasıyla hazırlanan iddianameye karşı uzman görüşü aldırıldı. Uzman görüşünde, inceleme konusu e-posta ve şifrelerin, İBB bilgi sistemlerinden ele geçirilmediği, verilerin bazı İBB çalışanlarının kişisel olarak üye oldukları internet sitelerinde yaşanan küresel veri sızıntılarından kaynaklandığı ifade edildi.

"Casusluk" suçlamasıyla 4 Temmuz 2025'te tutuklanan Hüseyin Gün isimli kişinin etkin pişmanlıktan yararlanmak için verdiği ifade sonucu genişletilen soruşturmada, CHP'nin cumhurbaşkanı adayı ve İBB Başkanı Ekrem İmamoğlu, gazeteci Merdan Yanardağ ve İmamoğlu’nun danışmanı, kampanya direktörü Necati Özkan hakkında yeni iddianame hazırlandı. 

İstanbul Cumhuriyet Başsavcılığı'nın iddianamesinde, İmamoğlu, Yanardağ ve Özkan'a "siyasal casusluk" suçlaması yöneltildi.

İmamoğlu’nun tutuklu siyasi danışmanı Necati Özkan’ın avukatı Erkam Erdem, Adli Bilişim Mühendisi ve Adli Bilirkişi uzmanına, iddianameyle ilgili teknik uzman mütalaası hazırlattı. 

Uzman mütalaasında, yapılan incelemenin, açık kaynak istihbaratı (OSINT) yöntemleri, Darkweb pazarları, forumlar ve servisler ile açık internet üzerindeki teknik ve operasyonel verilerin derlenmesi, karşılaştırılması ve analitik değerlendirilmesi ile sınırlı olduğu, rapor bulgularının rapor tarihi itibarıyla geçerli sayılacağı, raporda yer alan değerlendirmelerin, teknik, operasyonel ve istihbari göstergelerin bir arada yorumlanmasına dayandığı vurgulandı. 

Raporun, teknik bulguların adli bilişim perspektifinden açıklanması ile sınırlı olduğu kaydedildi.

SORUŞTURMA KAPSAMINDA GEÇEN OSINT VE DARKWEB KAVRAMLARI NEDİR?

Uzman görüşünde ilk olarak iddianamede geçen OSINT ve Darkweb kavramlarının tanımı yapıldı.

OSINT (Open Source Intelligence - Açık Kaynak İstihbaratı), hukuka uygun şekilde herkesin erişimine açık bilgi kaynaklarından elde edilen verilerin toplanması, doğrulanması ve analiz edilmesi süreci olduğu, bu yöntemde, yetkisiz erişim, gizli veri elde etme veya sistemlere sızmanın söz konusu olmadığı belirtildi. 

Adli bilişim literatüründe OSINT'in, "doğrudan suç isnadı veya fail tespiti için değil, teknik iddiaların bağlamsal olarak değerlendirilmesi, iddiaların makuliyetinin test edilmesi ve senaryo analizi amacıyla kullanılan destekleyici bir yöntem" olarak kabul edildiği aktarıldı.

"Darkweb"in ise standart internet tarayıcılarıyla erişilemeyen ve özel yazılımlar aracılığıyla ulaşılan ağ yapılarının genel adı olduğu belirtilen raporda, "Darkweb’in kullanımı tek başına hukuka aykırı değildir. Bu ağlar; ifade özgürlüğü, sansürden kaçınma, gizlilik ihtiyacı gibi meşru amaçlarla da kullanılabilmektedir. Ancak anonimlik sağlaması nedeniyle Darkweb ortamlarında, hukuka aykırı yollarla elde edildiği iddia edilen kişisel verilerin paylaşımı gibi faaliyetlere de rastlanabilmektedir" denildi.

HÜSEYİN GÜN’ÜN İFADESİNDE GEÇEN İBB VERİLERİ NELER?

Uzman mütalaasında, "Hüseyin Gün’ün açık kaynaklarda yer alan emniyet ifadesinin, 124 ve 125. sayfalarında geçen ve İstanbul Büyükşehir Belediyesi’ne ait olduğu iddia edilen veriler nelerdir?" sorusunun da yanıtı verildi.

İfadenin 124 ve 125. sayfalarda bulunan İBB verilerinin, bir bilgisayar monitöründen fotoğraflandığı, web tabanlı bir arama uygulamasının sonuç ekranında görüntülenen ibb.gov.tr uzantılı e-mail adresleri olduğu belirtilen uzman görüşünde, bu İBB e-posta adreslerinin, büyük veri üzerinde arama yapmak için geliştirilmiş web tabanlı bir uygulamada görüntülendiğinin anlaşıldığı aktarıldı.

İnternet üzerinde çok sayıda benzer uygulama bulunduğu, ekran görüntüsünde, arama kutucuğuna "leak"* şeklinde bir ifade girildiğinin görüldüğü belirtilen uzman raporunda, şunlar kaydedildi:

"Yıldız (*) karakterinin kullanılması, bu sistemin büyük ihtimalle Elasticsearch benzeri bir full-text arama altyapısı kullandığına işaret eder. Elasticsearch’te ve benzeri arama dillerinde * joker karakteri, herhangi bir metin ile eşleşebilen joker karakter olarak kullanılır. Sorguda, Türkçe'de 'sızıntı' anlamına gelen 'leak*' yazılması, 'leak' ile başlayan tüm kategorilerdeki sonuçları aramak hedeflenmiştir. Nitekim, arama sonuçlarında 'leakDoc' ve 'leak-myspace_20170910' kategorilerindeki sonuçlar filtrelenmiştir.

Arayüzdeki filtreleme yetenekleri değerlendirildiğinde, kullanıcıların veritabanında belirli bir sızıntı kümesini, tarih aralığını veya alan adını filtreleyebildiği anlaşılmaktadır. Her iki sayfadaki üstveri bilgilerinden sızan İBB verilerinin leak-myspace_20170910 ve leakjan19_20190314 isimleri altında bulunduğu anlaşılmaktadır. Bu isimler 10 Eylül 2017 tarihli MySpace ve 14 Mart 2019 tarihinde yüklenen 19 Ocak sızıntılara işaret etmektedir. Yapılan incelemelerde, arayüzde sızıntı kaynakları için kullanılan isimlerin geçmişte gerçekleşen veri sızıntıları ile tutarlı olduğu anlaşılmıştır."

İBB.GOV.TR UZANTILI ŞAHSİ MAİLLER 31 MAYIS 2016 TARİHİNDE ÇALINMIŞ MYSPACE KULLANICI GİRİŞ BİLGİLERİ ARASINDA

Sosyal paylaşım sitesi MySpace şirketinin, 31 Mayıs 2016 tarihinde resmi internet sayfasından, "çalınmış Myspace kullanıcı giriş bilgilerinin çevrim içi bir hacker forumunda paylaşıldığının tespit edildiğini açıkladığı" aktarılan uzman görüşünde, "Aralarında MySpace sitesine [email protected] kullanıcı adı ve .... şifresi ile kaydolan bir şahsın da bulunduğu 359.1 milyon hesabın 19 Temmuz 2008’de 'Peace' takma adını kullandığı bildirilen tehdit aktörü tarafından ele geçirildiği, bu bilgilerin 31 Mayıs 2016 tarihinde Darkweb’de bulunan 'The Real Deal' isimli sitede 6 Bitcoin (yaklaşık 2800-3000 dolar) ücretle satıldığı anlaşılmıştır" denildi.

Raporda, söz konusu satış ilanına ait ekran görüntüsüne de yer verildi. 

Raporda, "Yapılan incelemelerde, ekran görüntülerinde yer alan diğer tüm İBB e-posta adreslerinin de benzer şekilde Ocak 2019 sıralarında 'Collections' (Koleksiyonlar) ismiyle Darkweb’e sızdırıldığı anlaşılmıştır. Aralarında 12,000’den fazla web sitesinin bulunduğu 21 2,890 ayrı kaynaktan ele geçirilerek derlendiği tespit edilen 772,904,991 kullanıcı adı ve 21,222,975 şifrenin yer aldığı 87GB büyüklüğündeki veritabanı içeriğinde ibb.gov.tr veya İBB’ye ait herhangi bir şirkete rastlanmamıştır. Sonuç olarak, inceleme konusu fotoğraflardaki verinin, üyelik ve benzeri nedenlerle İBB e-posta adreslerinin kullanıldığı farklı web sitelerinden ele geçirildiği anlaşılmıştır" denildi.

BİR İBB ÇALIŞANINA AİT BİLGİLERİN 2016'DA DİĞER 14.022 SANAL MÜZE ÜYESİYLE BİRLİKTE SİBER KORSANLARIN ELİNE GEÇTİĞİ...

İnceleme konusu olayda, turkeyforyou.com adresli turizm amaçlı siteye İBB e-postası ile üye olan bir İBB çalışanının e-mail adresi ve bu site için oluşturduğu şifrenin, 2017 yılında diğer 81.728 site üyesiyle, aynı şekilde 1999 yılında açılan sanalmuze.org isimli siteye üye olan bir başka İBB çalışanına ait giriş bilgilerinin 2016 yılında diğer 14.022 Sanal Müze üyesiyle birlikte siber korsanların eline geçtiği aktarılan uzman raporunda, "7 Ocak 2019 tarihinde 12 binden fazla internet sitesi arasından rastgele seçilen 5 tanesinde 'gov.tr' anahtar kelimesi ile yapılan arama sonuçlarında, İBB haricinde aralarında TBMM, Adalet Bakanlığı, EGM, MEB, TÜBİTAK gibi kritik kurumların da bulunduğu 57 devlet kurumundan 27 171 kamu görevlisinin gov.tr uzantılı e-mail adresleri ile birlikte bu sitelerde kullandıkları şifrelerin siber korsanlarca ele geçirildiği anlaşılmıştır" ifadesine yer verildi. 

Yapılan araştırmalarda, inceleme konusu sızıntının "Sanix" olarak bilinen siber korsan tarafından derlendiği fakat rakibi "Azatej" olarak bilinen siber korsan tarafından sızdırıldığının tespit edildiği, her iki siber korsanın da Avrupa Polis Teşkilatı Europol tarafından tespit edildikten sonra Polonya ve Ukrayna’da yakalanıp hapse atıldıkları bildirildi. 

EN YÜKSEK RİSK İHTİMALİ, PERSONELİN AYNI ŞİFREYİ FARKLI PLATFORMLARDA KULLANMASI

Uzman görüşünde, en yüksek risk ihtimalinin, personelin aynı şifreyi farklı platformlarda kullanması olduğu, bu durumda dahi erişimin yalnızca ilgili kişinin e-posta içeriğiyle sınırlı kalacağı ifade edilerek şu tespitler yapıldı:

"Yapılan incelemelerde, 7 Ocak 2019 tarihinde sızan veri içeriğindeki ilk ele geçirilen sitenin tarihi 29 Ağustos 2008 olarak tespit edilmiştir. 31 Mayıs 2016’da sızan verinin ise Temmuz 2008’de ele geçirildiği açıklanmıştır.

Diğer bir ifadeyle, siber korsanların 8-10 yıl süreyle aktif olarak topladıkları verilerin 2019 tarihinden çok önce ele geçirilip kullanılmaya başlanmıştır. 2019 yılında İBB’den ayrılan bazı personelden bağımsız olarak, Darkweb’e yüklenmiş olsun olmasın, inceleme konusu İBB verilerinin İBB sistemlerinden ele geçirilmediği, söz konusu verilerin bazı İBB çalışanlarının tek başlarına/bireysel olarak üye oldukları web sitelerinden (örneğin sanalmuze.org) ele geçirilmiştir.

Her ne kadar e-mail adresleri @ibb.gov.tr uzantılı olsa da bu adres sadece bir kullanıcı adından ibarettir ve yalnızca belirlenen şifre ile kayıtlı sistemlerde çalışabilir. İBB adına yüksek risk teşkil edebilecek tek durum, ilgili personelin İBB e-posta şifresini farklı sitelerde de kullanmasıdır ki bu durumda dahi siber korsanlar ancak şifresi sızan personelin epostalarındaki bilgilere ulaşabileceklerdir." 

"WİCKR’İN BYLOCK İLE AYNI KAPSAMDA DEĞERLENDİRİLMESİ TEKNİK AÇIDAN DOĞRU DEĞİL"

Uzman görüşünde, "Wickr isimli uygulama, Bylock uygulamasına benzer kapalı devre kriptolu bir program mıdır?" sorusuna da yanıt verildi. 

Hüseyin Gün'ün telefonunda kullandığı belirtilen "Wickr" uygulamasının, uçtan uca şifreleme kullanan, bireysel ve kurumsal kullanıcılar için geliştirilmiş bir mesajlaşma uygulaması olduğu, açık uygulama mağazalarından indirilebileceği, herkes tarafından serbestçe kullanılabileceği, bireysel, ticari ve kurumsal kullanım alanı bulunduğu, Amazon Web Services bünyesinde, Wickr Me / Wickr Pro / Wickr Enterprise gibi farklı sürümlerinin bulunduğu anlatıldı.

Raporda, Wickr’de kullanıcı olmak için herhangi bir davet zinciri, kapalı devre kayıt sistemi veya örgütsel doğrulama mekanizması gerekmediğine işaret edildi.

"ByLock"un ise Milli İstihbarat Teşkilatı ByLock Uygulaması Teknik Analiz Raporu’na göre, teknik olarak şifreli bir mesajlaşma uygulaması olduğu, uygulamaya erişimin kapalı devre şekilde sağlandığı, herkes tarafından serbestçe ve yaygın şekilde kullanılmasının mümkün bulunmadığı,  kullanıcı havuzunun belirli bir yapı ile sınırlı kaldığı ve yaygın sivil/kurumsal kullanımının tespit edilmediği aktarıldı. 

Yargıtay'ın, ByLock hakkında verdiği yerleşik kararlarında, "ByLock uygulaması, münhasıran FETÖ/PDY silahlı terör örgütü mensuplarının kendi aralarındaki iletişim için kullandıkları kapalı devre bir haberleşme programıdır" tespitini yaptığı hatırlatılan raporda, "Bu kabulün dayanakları olarak; uygulamanın genel kullanıcı kitlesine hitap etmemesi, kullanımın örgüt içi haberleşme ile sınırlı kalması, başka bir meşru ve yaygın kullanım amacının ortaya konulamaması ve teknik verilerle desteklenen örgütsel bağı göstermiştir. Bu nedenlerle, Yargıtay’ın ByLock kararındaki ölçütler Wickr’e uygulandığında, Wickr’in ByLock ile aynı kapsamda değerlendirilmesi teknik açıdan doğru değildir" denildi.

cumhuriyet