TCKN’deki Tehlike

Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü’nün sayfasında yer alan bilgiye göre, T.C. Kimlik Numarası 11 basamaktan oluşan bir numaradır. Son iki rakamı doğrulama sayısıdır. Bu son iki basamak ilk dokuz basamaktan bir algoritma ile hesaplanmaktadır. Doğrulama sayısı algoritması, sadece bir numaranın tarafımızdan verilen bir T.C. Kimlik Numarası olup olmadığı hakkında bilgi vermektedir. Bu algoritma T.C. Kimlik numaralarının doğruluğunu kontrol etmeleri için diğer kamu kurum ve kuruluşları ile de paylaşılmaktadır.

Kredi kartı numarası ise en az 16 en fazla 19 haneden oluşan bir numaradır. İlk rakam kuruluşun kategorisini (banka, havayolu, vs.) , sonraki 5 rakam kredi kartı kuruluşunu (visa, mastercard vs.) ve bankayı sonraki 9 rakam ise banka tarafından müşteriye özel üretilen bir sayıdır. Son rakam ise doğrulama sayısıdır.

Doğrulama sayısı içeren her numara bir algoritmaya göre üretilmektedir. Örneğin kredi kartı numarası Hans Peter Luhn tarafından yaratılan halka açık Luhn algoritmasına göre üretilmektedir. Halka açık olması nedeniyle sizde bu algoritmaya göre geçerli bir kredi kartı numarası üretebilir veya üretilmiş bir numarayı doğrulayabilirsiniz.

Yazının ilk paragrafını okuduktan sonra TCKN doğrulama algoritması sadece kamu kurum ve kuruluşları ile paylaşıldığı için herhangi bir kişi tarafından TCKN üretilmesinin mümkün olamayacağını düşündünüz ve yanıldınız.

Google arama motoru üzerinde “TCKN algoritması” anahtar kelimesi ile arama yaptığınızda doğrulama algoritmasının bir çok web sayfasında yer aldığını görebilirsiniz. Web sayfaları üzerinde yaptığım ufak bir araştırma neticesinde TCKN doğrulama algoritmasını açıklayan en eski içerik 1 Eylül 2008 tarihinde bu sayfada oluşturulmuş. Sayfada yer alan bilgiler ışığında aynı kredi kartında olduğu gibi geçerli bir TCKN üretmek mümkündür.

Kredi kartı numarası ile TCKN arasındaki en büyük farkların ne olduğuna gelecek olursak;

  • Luhn algoritmasına göre oluşturulan bir kredi kartı numarasının size ait bir kredi kartı numarası olma ihtimali her zaman vardır fakat kredi kartı üzerinde yer alan son kullanma tarihi ve CVV2 bilgilerinin finansal işlemlerde kontrol edilmesi sayesinde art niyetli kişiler tarafından sizin adınıza harcama yapılmasının önüne geçilmektedir.
  • TCKN doğrulama algoritmasına göre oluşturulan bir TCK numarasının size ait bir numara olma ihtimali her zaman vardır fakat kredi kartı işlemlerinde kullanılan son kullanma tarihi ve CVV2 gibi ek kontrollerin aksine TCKN ile gerçekleşen işlemlerin bazılarında bu tür ek kontroller bulunmamaktadır. Bu nedenle art niyetli kişiler bu sayfalar üzerinden size ait TCK numarası ile özlük bilgilerinize (isim, soyad, yerleşim yeri) ulaşabilmektedirler!
  • Kredi kartı numarasından müşterinin kişisel bilgilerine halka açık bir uygulama, web servisi üzerinden erişmeniz mümkün değildir fakat TCKN için ne yazıkki aynı şeyi söylemek mümkün değil.

Durum böyle oluncada aşağıdaki gibi haberler ile karşılaşınca insan hiç şaşırmıyor fakat aşağıdaki haberin diğerlerinden bir farkı bulunuyor.

TCKN

Haberde TC kimliklerinin algoritmasının çözüldüğüne, algoritma ile ilgili olarak internet sitelerinde yer alan bilgilerin aynısına ve T.C. Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü yetkililerinin yaptığı “TC kimlik numaralarında herhangi bir algoritma yok” açıklamasına yer verilmiş. Yukarda anlattıklarım ışığında haberi okuyacak olursanız neyin doğru neyin yanlış olduğunu ayırt edebileceğinizi varsayarak haber üzerine yorum yapma gereği duymuyor, art niyetli kişilerin TCKN üreterek kişisel bilgilerine nasıl ulaşılabileceğini teknik detay vermeden gözler önüne sermek ve bu sayede kredi kartı numarasından daha değerli olan TCK numarası ve kişisel bilgileri çetelerin eline geçmiş olan bir vatandaş olarak ilgilileri daha güvenli bir sistem oluşturmaları adına göreve çağırmak istiyorum.

Öncelikle internet sitelerinde yer alan algoritmaya göre rastgele TCKN üreten bir program hazırladım ve bu programın kendi TCK numaramı ne kadar süre içinde üretebildiğine baktım ve yaklaşık 40 dakika sonunda ürettiğini gördüm.

TCKN

Daha sonra üretilen TCK numaramdan kişisel bilgilerime erişmenin yolunu ararken çok geçmeden bir devlet kurumu üzerinde yer alan TCKN sorgulama uygulaması ile isim ve soyad bilgilerime ulaşabildim.

TCKN

Bunun dışında sorgulama sayfalarında keşfettiğim bazı eksikliklerin ve hatalı tasarımların art niyetli kişilerin işlerini daha da kolaylaştırabileceğini düşünüyorum bu nedenle konu ile ilgili olarak yetkililer benimle iletişime geçerlerse kendileri ile bu eksiklikleri paylaşabilirim.

T.C vatandaşı olarak kişisel bilgilerime erişilmesine imkan tanıdığı için hassas bilgi sınıfına giren TCK numaramın devletin tüm organlarında aynı hassasiyet ile saklanması ve Luhn algoritması gibi halka açık bir algoritma ile kontrol edilebilmesi sebebiyle sadece benim bildiğim ve sahip olduğum ek bilgiler ile kontrol edilerek (kredi kartı işlemlerindeki son kullanma tarihi ve CVV2 kontrolleri gibi) ilgili sistemler/sorgular üzerinde yer alan işlemlerimin gerçekleştirilebilmesini temenni ederim. Aksi durumda benzer haberler okumaya devam edeceğimizden hiç şüphem yok.

Bir sonraki yazıda görüşmek dileğiyle şimdiden herkesin 30 Ağustos Zafer Bayram’ını kutlarım.

image_pdfShow this post in PDF formatimage_printPrint this page
14 comments
  1. yıl 2024. sülalemizin tckn bilgileri ile birlikte tapu, sağlık, eğitim, gsm, adli sicil, adres, nüfus kayıt vb. kişisel bilgileri panellerde erişilebilir durumda artık. neredeeen nereye!

  2. Açıkçası birçok yerde kimlik doğrulama için kullanılan bu verinin bu kadar ortalıkta gezmesi ve üretilebilmesi ürkütücü

    Gerçek kişilere fatura kesilirken TCKN isteniyor, mevzuat gereği sanıyorum.

  3. Algoritması o kadar saçma birşeymiş ki programını yazmak düşündüğüm kadar zor olmadı. Biraz google da aratınca daha önceden de TCKN doğrulayan ve üreten programları
    farklı dillerde bulabiliyorsun. Ama bunlar tek bir TC no baz alınarak üretilmiş. Ayrıca bu konu sayesinde insanların GSM şirketlerinin kontör kartlarındaki algoritmayı da çözmeye uğraştıklarının farkına vardım. işleri güçleri yok mu yahu bu insanların ? kötüler (:

    1. Sorun şu ki onların işleri güçleri bu ve vatandaşın kimlik bilgileri üzerinden kazanç sağlıyorlar ve yetkililerin kontrolleri sıkılaştırmaları gerekiyor.

  4. Mert,
    Gecen hafta kredi karti ile “cicek gubresi” aldim, “fatura kesmemiz lazim” diye tutturdular. Faturayi kafalarina gore birisi icin kesmelerini istedim, “olmaz oyle, kredi kartinin sahibi icin olmali” dediler. 2 paket cicek gubresi alayim derken TCKN’mi biraktim. :)

    Son donemde her merhaba diyen TCKN soruyorken TCKN’nin gizliliginden falan bahsetmeye (algoritmasindan da bagimsiz) bile luzum yok ne yazik ki.

    slm.

    1. Fıkra gibiymiş :) Ben yinede kendi rızamız dışında TCKN’nin herhangi bir kişi tarafından bizi fişlemek amacıyla kullanılabilmesinin önüne geçilmesi gerektiğini düşünüyorum. ABD’de sanmıyorumki SSN bu şekilde kullanılabilsin.

  5. Gerçekten tekbaşına TC Kimlik bilgimin birilerinin eline geçmesi bu kadar tehlikeli mi bilmediğim için soruyorum..

    Teşekkürler.

    1. TCKN’den yola çıkan biri en basitinden adınıza, soyadınıza, doğum yılınıza, kayıtlı yerleşim yeri bilgilerinize ulaşabiliyorsa ve çeşitli kamu kurum ve kuruluşlarında gerçekleştirilebilen sorgulamalar ile size ait daha fazla bilgi toplanabiliyorsa ve bu bilgiler kişiye özel bilgiler ise benim için olduğu gibi sizin içinde tehlikeli olduğunu düşünüyorum.

  6. :) bazı eksiklikler ve hatalı tasarımlar diyince captcha’nın olmadığını düşündüm, herhalde çok kötü düşündüm :> neyi ima ettin peki? güvensiz captcha falan mı?

  7. “Bunun dışında sorgulama sayfalarında keşfettiğim bazı eksikliklerin ve hatalı tasarımların art niyetli kişilerin işlerini daha da kolaylaştırabileceğini düşünüyorum” sanırım captcha kullanmıyorlar sorgulama sırasında buda adamın basit betik yardımıyla ürettiği her tckno için ilgili web uygulamasından doğrulatıp bulduğu kişisel verileri toplaması anlamına geliyor eğer yanılmıyorsam değil mi?

Leave a Reply

Your email address will not be published. Required fields are marked *

You May Also Like
Read More

e-Devlet Hacklendi mi?

If you are looking for an English version of this article, please visit here. Öncelikle yazının sonunda söyleyeceğimi başta söyleyeyim, “Hayır, hack-len-me-di!” Peki bu durumda vatandaş olarak rahat bir nefes alabilir misiniz ? Maalesef hayır. Bunun sebebini de yazının devamında okuyabilirsiniz. Zaman zaman hortlayan “e-Devlet Hacklendi!”, “e-Devlet verileri çalındı!”, “85…
Read More
Read More

LinkedIn Dolandırıcıları

If you are looking for an English version of this article, please visit here. Uzun yıllardan beri sosyal ağları ve medyayı etkin kullanan bir siber güvenlik araştırmacısı olarak bağlantılarım arasında yer alanlarınız özellikle hafta içi LinkedIn ve Twitter üzerinden okuduğum ve beğendiğim siber güvenlik makalelerini, haberleri paylaştıklarımı farkediyorlardır. Twitter hesabımın…
Read More
Read More

WhatsApp Dolandırıcıları

If you are looking for an English version of this article, please visit here. Başlangıç Son günlerde hemen hemen WhatsApp uygulaması kullanan herkesi rahatsız eden yabancı cep telefonu numaralarından gelen çağrılardan, mesajlardan ben de yakın zamanda nasibimi aldım ve tabii ki diğer dolandırıcılıklarla ilgili yazılarımda (Kripto Para Dolandırıcıları, LinkedIn Dolandırıcıları,…
Read More
Read More

Profilime Kim Baktı?

If you are looking for an English version of this article, please visit here. 23 Eylül 2020 tarihinde Twitter’da siber güvenlik ile ilgili haberlere göz gezdirirken gündem olan başlıklarda #profilimekimbaktı etiketi dikkatimi çekti. Beni oldukça şüphelendiren bu etiketin gündem olmasının arkasında yatan sebebi bulmak için bu etiketi paylaşan hesaplara göz…
Read More