Mert SARICA
Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü’nün sayfasında yer alan bilgiye göre, T.C. Kimlik Numarası 11 basamaktan oluşan bir numaradır. Son iki rakamı doğrulama sayısıdır. Bu son iki basamak ilk dokuz basamaktan bir algoritma ile hesaplanmaktadır. Doğrulama sayısı algoritması, sadece bir numaranın tarafımızdan verilen bir T.C. Kimlik Numarası olup olmadığı hakkında bilgi vermektedir. Bu algoritma T.C. Kimlik numaralarının doğruluğunu kontrol etmeleri için diğer kamu kurum ve kuruluşları ile de paylaşılmaktadır.
Kredi kartı numarası ise en az 16 en fazla 19 haneden oluşan bir numaradır. İlk rakam kuruluşun kategorisini (banka, havayolu, vs.) , sonraki 5 rakam kredi kartı kuruluşunu (visa, mastercard vs.) ve bankayı sonraki 9 rakam ise banka tarafından müşteriye özel üretilen bir sayıdır. Son rakam ise doğrulama sayısıdır.
Doğrulama sayısı içeren her numara bir algoritmaya göre üretilmektedir. Örneğin kredi kartı numarası Hans Peter Luhn tarafından yaratılan halka açık Luhn algoritmasına göre üretilmektedir. Halka açık olması nedeniyle sizde bu algoritmaya göre geçerli bir kredi kartı numarası üretebilir veya üretilmiş bir numarayı doğrulayabilirsiniz.
Yazının ilk paragrafını okuduktan sonra TCKN doğrulama algoritması sadece kamu kurum ve kuruluşları ile paylaşıldığı için herhangi bir kişi tarafından TCKN üretilmesinin mümkün olamayacağını düşündünüz ve yanıldınız.
Google arama motoru üzerinde “TCKN algoritması” anahtar kelimesi ile arama yaptığınızda doğrulama algoritmasının bir çok web sayfasında yer aldığını görebilirsiniz. Web sayfaları üzerinde yaptığım ufak bir araştırma neticesinde TCKN doğrulama algoritmasını açıklayan en eski içerik 1 Eylül 2008 tarihinde bu sayfada oluşturulmuş. Sayfada yer alan bilgiler ışığında aynı kredi kartında olduğu gibi geçerli bir TCKN üretmek mümkündür.
Kredi kartı numarası ile TCKN arasındaki en büyük farkların ne olduğuna gelecek olursak;
- Luhn algoritmasına göre oluşturulan bir kredi kartı numarasının size ait bir kredi kartı numarası olma ihtimali her zaman vardır fakat kredi kartı üzerinde yer alan son kullanma tarihi ve CVV2 bilgilerinin finansal işlemlerde kontrol edilmesi sayesinde art niyetli kişiler tarafından sizin adınıza harcama yapılmasının önüne geçilmektedir.
- TCKN doğrulama algoritmasına göre oluşturulan bir TCK numarasının size ait bir numara olma ihtimali her zaman vardır fakat kredi kartı işlemlerinde kullanılan son kullanma tarihi ve CVV2 gibi ek kontrollerin aksine TCKN ile gerçekleşen işlemlerin bazılarında bu tür ek kontroller bulunmamaktadır. Bu nedenle art niyetli kişiler bu sayfalar üzerinden size ait TCK numarası ile özlük bilgilerinize (isim, soyad, yerleşim yeri) ulaşabilmektedirler!
- Kredi kartı numarasından müşterinin kişisel bilgilerine halka açık bir uygulama, web servisi üzerinden erişmeniz mümkün değildir fakat TCKN için ne yazıkki aynı şeyi söylemek mümkün değil.
Durum böyle oluncada aşağıdaki gibi haberler ile karşılaşınca insan hiç şaşırmıyor fakat aşağıdaki haberin diğerlerinden bir farkı bulunuyor.
Haberde TC kimliklerinin algoritmasının çözüldüğüne, algoritma ile ilgili olarak internet sitelerinde yer alan bilgilerin aynısına ve T.C. Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü yetkililerinin yaptığı “TC kimlik numaralarında herhangi bir algoritma yok” açıklamasına yer verilmiş. Yukarda anlattıklarım ışığında haberi okuyacak olursanız neyin doğru neyin yanlış olduğunu ayırt edebileceğinizi varsayarak haber üzerine yorum yapma gereği duymuyor, art niyetli kişilerin TCKN üreterek kişisel bilgilerine nasıl ulaşılabileceğini teknik detay vermeden gözler önüne sermek ve bu sayede kredi kartı numarasından daha değerli olan TCK numarası ve kişisel bilgileri çetelerin eline geçmiş olan bir vatandaş olarak ilgilileri daha güvenli bir sistem oluşturmaları adına göreve çağırmak istiyorum.
Öncelikle internet sitelerinde yer alan algoritmaya göre rastgele TCKN üreten bir program hazırladım ve bu programın kendi TCK numaramı ne kadar süre içinde üretebildiğine baktım ve yaklaşık 40 dakika sonunda ürettiğini gördüm.
Daha sonra üretilen TCK numaramdan kişisel bilgilerime erişmenin yolunu ararken çok geçmeden bir devlet kurumu üzerinde yer alan TCKN sorgulama uygulaması ile isim ve soyad bilgilerime ulaşabildim.
Bunun dışında sorgulama sayfalarında keşfettiğim bazı eksikliklerin ve hatalı tasarımların art niyetli kişilerin işlerini daha da kolaylaştırabileceğini düşünüyorum bu nedenle konu ile ilgili olarak yetkililer benimle iletişime geçerlerse kendileri ile bu eksiklikleri paylaşabilirim.
T.C vatandaşı olarak kişisel bilgilerime erişilmesine imkan tanıdığı için hassas bilgi sınıfına giren TCK numaramın devletin tüm organlarında aynı hassasiyet ile saklanması ve Luhn algoritması gibi halka açık bir algoritma ile kontrol edilebilmesi sebebiyle sadece benim bildiğim ve sahip olduğum ek bilgiler ile kontrol edilerek (kredi kartı işlemlerindeki son kullanma tarihi ve CVV2 kontrolleri gibi) ilgili sistemler/sorgular üzerinde yer alan işlemlerimin gerçekleştirilebilmesini temenni ederim. Aksi durumda benzer haberler okumaya devam edeceğimizden hiç şüphem yok.
Bir sonraki yazıda görüşmek dileğiyle şimdiden herkesin 30 Ağustos Zafer Bayram’ını kutlarım.
Mert SARICA
13 comments
“Bunun dışında sorgulama sayfalarında keşfettiğim bazı eksikliklerin ve hatalı tasarımların art niyetli kişilerin işlerini daha da kolaylaştırabileceğini düşünüyorum” sanırım captcha kullanmıyorlar sorgulama sırasında buda adamın basit betik yardımıyla ürettiği her tckno için ilgili web uygulamasından doğrulatıp bulduğu kişisel verileri toplaması anlamına geliyor eğer yanılmıyorsam değil mi?
Yanılıyorsun, captcha kullanılıyor :)
:) bazı eksiklikler ve hatalı tasarımlar diyince captcha’nın olmadığını düşündüm, herhalde çok kötü düşündüm :> neyi ima ettin peki? güvensiz captcha falan mı?
Söyleyecek olsaydım yazıda açıklardım, kötülerin ekmeğine yağ sürmeyelim :)
Gerçekten tekbaşına TC Kimlik bilgimin birilerinin eline geçmesi bu kadar tehlikeli mi bilmediğim için soruyorum..
Teşekkürler.
TCKN’den yola çıkan biri en basitinden adınıza, soyadınıza, doğum yılınıza, kayıtlı yerleşim yeri bilgilerinize ulaşabiliyorsa ve çeşitli kamu kurum ve kuruluşlarında gerçekleştirilebilen sorgulamalar ile size ait daha fazla bilgi toplanabiliyorsa ve bu bilgiler kişiye özel bilgiler ise benim için olduğu gibi sizin içinde tehlikeli olduğunu düşünüyorum.
Mert,
Gecen hafta kredi karti ile “cicek gubresi” aldim, “fatura kesmemiz lazim” diye tutturdular. Faturayi kafalarina gore birisi icin kesmelerini istedim, “olmaz oyle, kredi kartinin sahibi icin olmali” dediler. 2 paket cicek gubresi alayim derken TCKN’mi biraktim. :)
Son donemde her merhaba diyen TCKN soruyorken TCKN’nin gizliliginden falan bahsetmeye (algoritmasindan da bagimsiz) bile luzum yok ne yazik ki.
slm.
Fıkra gibiymiş :) Ben yinede kendi rızamız dışında TCKN’nin herhangi bir kişi tarafından bizi fişlemek amacıyla kullanılabilmesinin önüne geçilmesi gerektiğini düşünüyorum. ABD’de sanmıyorumki SSN bu şekilde kullanılabilsin.
Algoritması o kadar saçma birşeymiş ki programını yazmak düşündüğüm kadar zor olmadı. Biraz google da aratınca daha önceden de TCKN doğrulayan ve üreten programları
farklı dillerde bulabiliyorsun. Ama bunlar tek bir TC no baz alınarak üretilmiş. Ayrıca bu konu sayesinde insanların GSM şirketlerinin kontör kartlarındaki algoritmayı da çözmeye uğraştıklarının farkına vardım. işleri güçleri yok mu yahu bu insanların ? kötüler (:
Sorun şu ki onların işleri güçleri bu ve vatandaşın kimlik bilgileri üzerinden kazanç sağlıyorlar ve yetkililerin kontrolleri sıkılaştırmaları gerekiyor.
mert saçmalamışsın o pythonda yazdıgın kodda çok saçma
Bencede saçma ama işe yarıyor sorun orada :)
Açıkçası birçok yerde kimlik doğrulama için kullanılan bu verinin bu kadar ortalıkta gezmesi ve üretilebilmesi ürkütücü
Gerçek kişilere fatura kesilirken TCKN isteniyor, mevzuat gereği sanıyorum.