450 milyon Amerikalının kaderi bir sunucuya emanet edildi

ABD Sosyal Güvenlik Kurumu’nda (SSA) görev yapan üst düzey bir yetkili, kurumun en hassas verilerinin güvenliğiyle ilgili dikkat çeken bir iddia ortaya attı. SSA’nın baş veri sorumlusu Charles Borges tarafından yapılan şikayete göre Trump yönetimi altında görev yapan Department of Government Efficiency (DOGE) isimli birim yüz milyonlarca Sosyal Güvenlik kaydını güvenlik kontrollerinden yoksun bir bulut ortamına yükledi.

Sosyal güvenlik verileri buluta taşındı: Peki ya sızarsa?

Borges’in ifadesine göre bu işlem federal gizlilik yasalarını ihlal ederken milyonlarca Amerikalının kişisel bilgilerinin yetkisiz erişime açılma riskini de beraberinde getirdi. Söz konusu veritabanı Sosyal Güvenlik başvurularında kullanılan 450 milyondan fazla kaydı içeriyor. Bu kayıtların içinde başvuru sahibinin adı, doğum yeri, vatandaşlık bilgileri, aile bireylerine ait Sosyal Güvenlik numaraları ve hassas finansal veriler yer alıyor.

Şikayete göre DOGE ekibi verileri kurum tarafından işletilen Amazon tabanlı bir bulut sunucusuna kopyaladı. Ancak bu ortamın bağımsız güvenlik kontrollerinden yoksun olduğu, erişimlerin izlenmediği ve kullanıcı aktivitelerinin denetlenmediği belirtildi. Borges, bu yapı üzerinden kamuya açık servislerin oluşturulabileceğini ve verilerin yetkisiz kişilerin erişimine açılabileceğini ifade etti.

Bu durumun gerçekleşmesi halinde “her Amerikalıya ait sağlık bilgileri, gelir seviyeleri, banka verileri, aile ilişkileri ve biyografik bilgilerin kamuya açık hale gelebileceğini” söyledi.

Böyle bir ihlalin Sosyal Güvenlik programı için “felaket etkisi” olabileceğini ve tüm vatandaşların Sosyal Güvenlik numaralarının yeniden dağıtılmasını gerektirebileceğini dile getirdi.

Borges’in iddiasına göre kurumun bilgi teknolojileri sorumlusu Aram Moghaddassi, verilerin buluta taşınmasını onayladı ve “iş gereksiniminin güvenlik riskinden daha yüksek olduğunu” belirterek tüm riskleri kabul etti. Ayrıca, daha önce kurumun CIO’su olarak görev yapan ve halen SSA’da üst düzey DOGE temsilcisi olan Michael Russo da bu kararı destekledi.

Mart ayında alınan bir federal ihtiyati tedbir, DOGE çalışanlarının veritabanına erişimini geçici olarak engellemişti. Ancak Yüksek Mahkeme’nin 6 Haziran’da kararı kaldırmasının ardından DOGE ekibinin hızlıca onay süreçlerini başlattığı aktarıldı.

SSA sözcüsü Nick Perrine, şikayetteki iddialara doğrudan yanıt vermese de “kişisel verilerin internetten izole edilmiş güvenli ortamlarda saklandığını” açıkladı. Perrine, bu ortama yalnızca yüksek düzey SSA yetkililerinin erişim sağladığını ve bilgi güvenliği ekibinin denetim yaptığını belirtti.

Ayrıca şu ana kadar herhangi bir veri ihlaline dair bulgulara rastlanmadığını ifade etti. Beyaz Saray sözcüsü Elizabeth Huston ise konuyla ilgili soruları SSA’ya yönlendirdi.

Federal kurumlarda bulut tabanlı veri sızıntıları nadir görülse de geçmişte örnekleri mevcut. 2023 yılında ABD Savunma Bakanlığı’na ait binlerce hassas askeri e-posta, Microsoft Azure’un hükümete özel bulut platformundaki bir yanlış yapılandırma nedeniyle kamuya açık hale gelmişti.