Türkiye Barolar Birliği'nin (TBB) internet sitesinde bulunan baro levhasında, avukatların kişisel verilerini ifşa edebilecek bir açık avukat Özgür Zurnacı tarafından tespit edildi.

Açığı tespit eden avukat Özgür Zurnacı, "Keşfettiğim açık avukatların T.C. Kimlik No'larını ifşa eden bir açıktı. Açık kapatıldığı için açığın ne olduğunu ve nasıl çalıştığını paylaşmakta bir mahsur görmüyorum." dedi.

Zurnacı'nın tespit ettiği açıkla ilgili paylaşımları şöyle;

"Avukat sorgulama ekranında Form içerisinde sunucuya gönderilen veri şu şekilde; 

ad:  

soyad:  

barosicil :  

baroId: 

Bu form verileri gönderildikten sonra gelen dönüşte avukatın bilgileri yer almaktadır. +++

Sorgunun sonucu döndürülen bu sayfayı tarayıcının  incelediğimde, bir hidden bir input'un içinde sorguya konu avukatın T.C. kimlik numarasının yer aldığını gördüm.

Büyüteçe basıp avukatın detay sayfasına gidilmesi için post edilen form verisi şu şekildeydi: 

detay: 1 

1: Avukatın TC kimlik no'su

Nitekim sayfayı inspect ettiğimde karşıma çıkan hidden input bunu doğruluyordu:

Diğer bir deyişle sistem, avukatların T.C. kimlik numarasını insanlarla paylaşıyordu. Çünkü sisteminiz avukatın bilgilerinin sorgulanmasını hidden input'ta yer alan T.C. kimlik numarası üzerinden yapıyordu."

"İŞİN EN KÖTÜ TARAFI T.C. KİMLİK NUMARALARI HİÇBİR ŞEKİLDE ŞİFRELENMEMİŞTİ"

hukukihaber.net'e konuşan avukat Özgür Zurnacı, "TBB'nin bu veri ihlalini KVKK'ya bildirmesi gerek" dedi.

Zurnacı, "Çok büyük bir ihtimalle de bu zamana kadar birileri bu verileri yazdıkları bir script - bot ile çekti. Bize de üzerine bir bardak su içmek kaldı. 

Meselenin trajikomik tarafı ise, bu kadar fazla KVKK semineri yapan TBB'nin elinde tuttuğu veri hakkında ihmalkâr davranması.

TBB'nin bilişim departmanına mail atarak bu açığı bildirdim ve veri sorumlusu olarak KVKK uyarınca bu durumu KVKK'ya bildirmeleri gerektiğini de belirttim. Şuan herhangi bir dönüş yok. 

Onlar bildirmezse ben bildireceğim. Çünkü bu yaşanan şey ihmalkârlıktan başka bir şey değil." ifadelerini kullandı.