Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü’nün sayfasında yer alan bilgiye göre, T.C. Kimlik Numarası 11 basamaktan oluşan bir numaradır. Son iki rakamı doğrulama sayısıdır. Bu son iki basamak ilk dokuz basamaktan bir algoritma ile hesaplanmaktadır. Doğrulama sayısı algoritması, sadece bir numaranın tarafımızdan verilen bir T.C. Kimlik Numarası olup olmadığı hakkında bilgi vermektedir. Bu algoritma T.C. Kimlik numaralarının doğruluğunu kontrol etmeleri için diğer kamu kurum ve kuruluşları ile de paylaşılmaktadır.

Kredi kartı numarası ise en az 16 en fazla 19 haneden oluşan bir numaradır. İlk rakam kuruluşun kategorisini (banka, havayolu, vs.) , sonraki 5 rakam kredi kartı kuruluşunu (visa, mastercard vs.) ve bankayı sonraki 9 rakam ise banka tarafından müşteriye özel üretilen bir sayıdır. Son rakam ise doğrulama sayısıdır.

Doğrulama sayısı içeren her numara bir algoritmaya göre üretilmektedir. Örneğin kredi kartı numarası Hans Peter Luhn tarafından yaratılan halka açık Luhn algoritmasına göre üretilmektedir. Halka açık olması nedeniyle sizde bu algoritmaya göre geçerli bir kredi kartı numarası üretebilir veya üretilmiş bir numarayı doğrulayabilirsiniz.

Yazının ilk paragrafını okuduktan sonra TCKN doğrulama algoritması sadece kamu kurum ve kuruluşları ile paylaşıldığı için herhangi bir kişi tarafından TCKN üretilmesinin mümkün olamayacağını düşündünüz ve yanıldınız.

Google arama motoru üzerinde “TCKN algoritması” anahtar kelimesi ile arama yaptığınızda doğrulama algoritmasının bir çok web sayfasında yer aldığını görebilirsiniz. Web sayfaları üzerinde yaptığım ufak bir araştırma neticesinde TCKN doğrulama algoritmasını açıklayan en eski içerik 1 Eylül 2008 tarihinde bu sayfada oluşturulmuş. Sayfada yer alan bilgiler ışığında aynı kredi kartında olduğu gibi geçerli bir TCKN üretmek mümkündür.

Kredi kartı numarası ile TCKN arasındaki en büyük farkların ne olduğuna gelecek olursak;

  • Luhn algoritmasına göre oluşturulan bir kredi kartı numarasının size ait bir kredi kartı numarası olma ihtimali her zaman vardır fakat kredi kartı üzerinde yer alan son kullanma tarihi ve CVV2 bilgilerinin finansal işlemlerde kontrol edilmesi sayesinde art niyetli kişiler tarafından sizin adınıza harcama yapılmasının önüne geçilmektedir.
  • TCKN doğrulama algoritmasına göre oluşturulan bir TCK numarasının size ait bir numara olma ihtimali her zaman vardır fakat kredi kartı işlemlerinde kullanılan son kullanma tarihi ve CVV2 gibi ek kontrollerin aksine TCKN ile gerçekleşen işlemlerin bazılarında bu tür ek kontroller bulunmamaktadır. Bu nedenle art niyetli kişiler bu sayfalar üzerinden size ait TCK numarası ile özlük bilgilerinize (isim, soyad, yerleşim yeri) ulaşabilmektedirler!
  • Kredi kartı numarasından müşterinin kişisel bilgilerine halka açık bir uygulama, web servisi üzerinden erişmeniz mümkün değildir fakat TCKN için ne yazıkki aynı şeyi söylemek mümkün değil.

Durum böyle oluncada aşağıdaki gibi haberler ile karşılaşınca insan hiç şaşırmıyor fakat aşağıdaki haberin diğerlerinden bir farkı bulunuyor.

TCKN

Haberde TC kimliklerinin algoritmasının çözüldüğüne, algoritma ile ilgili olarak internet sitelerinde yer alan bilgilerin aynısına ve T.C. Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü yetkililerinin yaptığı “TC kimlik numaralarında herhangi bir algoritma yok” açıklamasına yer verilmiş. Yukarda anlattıklarım ışığında haberi okuyacak olursanız neyin doğru neyin yanlış olduğunu ayırt edebileceğinizi varsayarak haber üzerine yorum yapma gereği duymuyor, art niyetli kişilerin TCKN üreterek kişisel bilgilerine nasıl ulaşılabileceğini teknik detay vermeden gözler önüne sermek ve bu sayede kredi kartı numarasından daha değerli olan TCK numarası ve kişisel bilgileri çetelerin eline geçmiş olan bir vatandaş olarak ilgilileri daha güvenli bir sistem oluşturmaları adına göreve çağırmak istiyorum.

Öncelikle internet sitelerinde yer alan algoritmaya göre rastgele TCKN üreten bir program hazırladım ve bu programın kendi TCK numaramı ne kadar süre içinde üretebildiğine baktım ve yaklaşık 40 dakika sonunda ürettiğini gördüm.

TCKN

Daha sonra üretilen TCK numaramdan kişisel bilgilerime erişmenin yolunu ararken çok geçmeden bir devlet kurumu üzerinde yer alan TCKN sorgulama uygulaması ile isim ve soyad bilgilerime ulaşabildim.

TCKN

Bunun dışında sorgulama sayfalarında keşfettiğim bazı eksikliklerin ve hatalı tasarımların art niyetli kişilerin işlerini daha da kolaylaştırabileceğini düşünüyorum bu nedenle konu ile ilgili olarak yetkililer benimle iletişime geçerlerse kendileri ile bu eksiklikleri paylaşabilirim.

T.C vatandaşı olarak kişisel bilgilerime erişilmesine imkan tanıdığı için hassas bilgi sınıfına giren TCK numaramın devletin tüm organlarında aynı hassasiyet ile saklanması ve Luhn algoritması gibi halka açık bir algoritma ile kontrol edilebilmesi sebebiyle sadece benim bildiğim ve sahip olduğum ek bilgiler ile kontrol edilerek (kredi kartı işlemlerindeki son kullanma tarihi ve CVV2 kontrolleri gibi) ilgili sistemler/sorgular üzerinde yer alan işlemlerimin gerçekleştirilebilmesini temenni ederim. Aksi durumda benzer haberler okumaya devam edeceğimizden hiç şüphem yok.

Bir sonraki yazıda görüşmek dileğiyle şimdiden herkesin 30 Ağustos Zafer Bayram’ını kutlarım.