İTÜ'den yüzyılın veri sızıntısı: Turnike verileri güvende değil
İTÜ Rektörlüğü tarafından yemekhanelerde QR kod ile hızlı geçiş, 7/24 dijital bakiye yönetimi gibi kolaylıklarıyla duyurulan SoliClub uygulaması, beklenmedik bir güvenlik tehdidini gündeme taşıdı. Sadece yemekhane bakiye işlemlerini yapması beklenen üçüncü parti uygulamadan, öğrencilerin kampüs ana kapılarındaki, kütüphaneler ve yurtlardaki saniyelik giriş-çıkış verilerinin detaylı bir şekilde görüntülenebildiği ortaya çıktı.
Öğrencilerin açık rızasına ilişkin herhangi bir bilgilendirme ya da onay sürecinin görünür olmaması, veri güvenliği tartışmalarını derinleştirdi.
Güvenlik açığı sanılandan daha büyük
Öğrenciler tarafından yapılan testlerde, uygulamanın aynı telefon numarasıyla ikinci bir hesap oluşturmak için hiçbir doğrulama talep etmediği ortaya çıktı. Öyle ki, sisteme girip bir başka öğrencinin tüm hareketlerine ulaşmak için sadece o kişinin öğrenci numarasını bilmek yeterli oluyor. Kampüs ortamında, yoklama ve sınav listeleri aracılığıyla herkesin kolayca erişebildiği bu numaralar; İTÜ'lülerin mahrem verilerini yetkisiz gözlere karşı tamamen korumasız bırakıyor.
Sisteme sadece farklı bir öğrenci numarası girilerek, o kişiye ait yemekhane harcamalarına, turnike kayıtlarına ve böylece yurda giriş-çıkış saatlerine bile saniye saniye ulaşılabildiği görüldü. Yaşanan bu akılalmaz açık, olayı basit bir veri sızıntısı olmaktan çıkarırken; İTÜ yönetiminin öğrencilerinin verilerini izinsiz nasıl bu kadar kolay emanet ettiğini sorgulatıyor.
Anlık hareketler izlenebilir halde
Tanımadığınız bir kişinin nerede olduğunuzu anlık olarak görebilmesi, yaşanan sorunun yalnızca bir veri ihlali olmadığını; aynı zamanda bir can güvenliği tehlikesi olduğunu ortaya koyuyor. Öğrencilerin tüm kampüs hareketleri kart kullanımına bağlanmışken, bu güvenlik açığıyla neredeyse konum bilgilerini adım adım izlenebilir kılan uygulama, kişisel hayatın gizliliğini hiçe sayarak tehlikeli sonuçlara kapı aralıyor.
Ortaya çıkan bu güvenlik zafiyeti yalnızca teknik bir açık olmanın ötesinde; açık rıza, veri yönetimi, sorumluluk ve denetim mekanizmalarına dair ciddi soru işaretleri oluşturuyor. İTÜ yönetiminin konuya ilişkin nasıl bir adım atacağı, öğrencilerin kişisel verilerinin nasıl korunacağı ise belirsiz.