İnternet tarayıcısı üzerinden kolay bir arama yapılarak parayla diploma satan birçok kuruluşa kolaylıkla ulaşılabiliyor. Bu husus medyadaki yerini müdafaaya devam ederken uydurma diplomaların e-Devlet’e de işlendiği savları ortaya atıldı. Teze nazaran bu süreç, üniversiteden geçmiş yıllarda mezun olan fakat vefat eden bireylerin diploma bilgilerinin diğer isimlerle değiştirilmesiyle gerçekleşiyor. Yani hayatını kaybeden mezunun ismi ile T.C kimlik numarası, sistem üzerinde diplomadan siliniyor ve yerine parayla diploma satın alan bireylerin bilgileri ekleniyor. Bu sürecin üniversitenin öğrenci işlerinde misyonlu işçinin şifresinin çalınması ya da yazılım dayanağı sunan Proliz Yazılım Şirketi’nin hacklenmesiyle yapılabileceği belirtiliyor. Üniversitelere öğrenci işleri uygulamaları hakkında yazılım takviyesi sunan Proliz Yazılım Şirketi’nin Kurucusu Gökmen Çiftçi, uydurma diplomaların e-Devlet’e nasıl yansıdığını ve sistemlerinin çalışma biçimini Hürriyet’e anlattı:
BİLGİLER EVVEL YÖKSİS’E SONRA E-DEVLET’E AKTARILIYOR
“Sistemimizi 2009 yılında devreye aldık. Türkiye’de hem vakıf hem de devlet olmak üzere 101 üniversite, sistemimiz üzerinden akademik süreçlerini yürütüyor. Üniversiteler, Yükseköğretim Kurulu Bilgi Sistemi (YÖKSİS), Ölçme, Seçme ve Yerleştirme Merkezi (ÖSYM) ve e-Devlet üzere birçok kuruma bilgi aktarmak zorunda. Sistemimiz, bu kurumların sistemleriyle de entegre çalışıyor. Yani üniversitenin bir öğrencisiyle ilgili sistemimize girdiği bilgiler otomatik olarak bu kurumlara iletiliyor. Akademik eğitimin sürecinin akabinde mezun listesi üniversite denetimi ve onayı sonrasında sistemimiz tarafından YÖKSİS’e bildiriliyor. Bu noktadan itibaren sistemimizin vazifesi tamamlanıyor. Daha sonra öğrenci e-Devlet’e girdiğinde mezun bilgisini sistemimizden değil YÖKSİS üzerinden alınan bilgi sayesinde görüntüleyebiliyor. Yani e-Devlet bilgiyi bizden değil YÖK’ün sisteminden alıyor.
ÜNİVERSİTE ÇALIŞANI HACKLENDİ
Sistemimizde hacklenen ya da sızma teşebbüsüyle yapılan bir operasyon yok. Bu olay YTÜ’deki bir kullanıcının şifresinin ele geçirilmesiyle yaşandı. Bu durum türlü sistemlerle yapılmış olabilir. Yani bu şahsa, geçersiz bir mail gönderilerek şifre bilgilerini edinmiş olabilirler. Dolandırıcıların ‘oltalama’ dedikleri bu formülle insanların banka şifreleri de ele geçirilebiliyor. Ya da ilgili kişinin bilgisayarına basılan tuşları kaydeden bir yazılım yüklemiş olabilirler yahut bu kişi inançlı olmayan bir internet ağına bağlıyken sistemimize giriş yapmış olabilir. Bu metotlarla üniversite çalışanının şifresinin ele geçirilmiş olabileceğini düşünüyoruz. Hülasa bu durumda şirketimizin yazılımına bir siber akın yapılmadığını muhakkak söyleyebiliyoruz. Hacklenen biz değil, üniversite çalışanı oldu.
8 ÖĞRENCİ MEZUN ÜZERE GÖSTERİLDİ
YTÜ’de yaşanan olayda dolandırıcılar, 8 kişiyi üniversitenin mezunu üzere gösterdi ve bu bilginin YÖKSİS’e iletilmesini sağladı. Bunu kimse fark etmedi zira örneğin bir dersin notu değiştirildiği anda hem dersin hocasına hem de öğrenciye otomatik ihtar iletisi gidiyor. Fakat burada dolandırıcılar vefat eden bir mezunun bilgilerini değiştirdi o yüzden de sistem ikaz iletisi göndermedi. Aslında bu durum, sisteme düşüyor ve manuel bir denetimle görülebiliyor. Hatta kullanıcılara bu süreç ‘son 10 giriş kaydın’ başlığı altında gösteriliyor. Ancak üniversite çalışanlarının ağır iş akışında bu bildirimleri vaktinde göremediğini iddia ediyorum.
8 DÜZMECE DİPLOMA SON 2 YILDA VERİLDİ
Sistemimiz geriye dönük taramalarla YTÜ’deki bu 8 uydurma diplomayı tespit edebildi. Bunu yaparken de şifresi çalınan kişinin uygulamadaki süreç izini takip etti. Zira sistemimiz, yapılan her süreci kayıt altına alabiliyor. Bu süreç kayıtları, en yetkili kullanıcının şifresi bile ele geçirilse hiçbir formda değiştirilemiyor ve silinemiyor. YTÜ, bizimle 2022 yılında çalışmaya başladı. Haliyle sistem son 2 yılda yapılan süreçleri denetim ederek 8 bireye ulaştı. Ama öncesinde kullanılan sistem farklı olduğu için geçersiz diploma alan 8 kişinin sayısı daha da artabilir.
ARTIK VEFAT EDENLERİN BİLGİSİ KULLANILAMAYACAK
Sistemimizde 9 Eylül prestijiyle gerekli önlemleri aldık. Vefat eden mezunların bilgileri artık hiçbir halde sistemimiz üzerinden değiştirilemiyor. Ayrıyeten üniversiteler için belirlediğimiz 18.00 olan mesai saatinden sonra hiçbir kullanıcı sistem üzerinden öğrenci mezun edemiyor. Mezun etme süreçleri için birçok doğrulama faktörü devreye girdi. Ayrıyeten sistemde yaptığımız son güncellemeyle kuşkulu süreçlerde de kullanıcı anında uyarılıyor.
HER SİSTEM HACKLENEBİLİR LAKİN BU SÜREÇTE BİZ HACKLENMEDİK
Bu durum yalnızca bizimle çalışan üniversitelerin yaşayabileceği bir durum değil. Tüm üniversiteler için birebir tehdit geçerli. Zira dolandırıcılar ilanlarında ‘istenilen her üniversite için diploma verilir’ biçiminde cümlelerle kendilerini pazarlıyor. Yani rastgele bir üniversitede çalışan bir kişinin şifresine erişmeleri halinde hangi öğrenci işleri bilgi sisteminin kullanıldığının çok ehemmiyeti kalmıyor. Çalıştığımız öbür üniversitelerden bize kuşkulu süreç denetimi yapmamız için rastgele bir talep gelmedi. Zati onlardan talep gelmeden de sistemi güncellemiş olduk. Dolandırıcılar, her sistemin açığını bulabilir. Dünyada hacklenemeyecek bir sistem yok. Sonuçta biz yazılım geliştiriyoruz ancak bu yazılımlar bize ilişkin olmayan platformlarda çalışıyor. Birden fazla kullanıcı Windows işletim sistemini kullanıyor. Münasebetiyle bize ilişkin olmayan bir sistemdeki yazılımımız için hacklenemez argümanında bulunmak imkansız. Lakin şunu söyleyebiliyorum ki, katiyetle bu süreç benim sistemim hacklenerek yapılmadı. Zira yapılan süreçlerin tüm kademelerini ispatlayabiliyorum lakin şayet sistemim hacklenseydi o vakit rastgele bir süreç izine ulaşamazdım.”
YTÜ: İSİMLİ SÜREÇ SÜRÜYOR
YTÜ, hususla ilgili toplumsal medya hesabında şu açıklamayı yaptı:
“Üniversitemiz hakkında birtakım basın yayın organları ve toplumsal medya platformlarında ortaya atılan argümanlara ait olarak, 10 Eylül 2024 tarihinde başlatılan idari ve tüzel süreçler devam etmektedir. Bu süreç titizlikle izlenmekte ve gerekli adımlar atılmaktadır.”
UZMAN GÖRÜŞÜ VERİLER YETERLİ KORUNMALI
Dinçer Karaca, Bilişim Uzmanı:
Bu üslup data tabanlarına erişmek mümkün. Erişildiği takdirde istenilen her bilgi yazılabilir hatta diploma numaraları bile değiştirilebilir. Burada kıymetli olan, bilgi tabanı sunucularının inançlı bir formda saklanması ve değiştirilemez bir teknolojiyle korunuyor olması. Bu sunuculara herkesin erişmesi elbette mümkün değil. Fakat uygun bir hacker açık bulduğu anda bundan yararlanabilir. Lakin bu kolay bir süreç değil. Başka yandan bu diplomaların e-Devlet’te gözükebilmesi hackerın bir kapıdan girip öbür kapıdan çıkabilmesini gerektiriyor. O nedenle sistemin e-Devlet ya da öteki kurumlarla entegre çalışmasından kaynaklı olarak bu durum yaşanmış olabilir.