İstanbul Büyükşehir Belediye (İBB) Başkanı Ekrem İmamoğlu, gazeteci Merdan Yanardağ ve kampanya direktörü Necati Özkan hakkında "siyasal casusluk" suçlamasıyla hazırlanan iddianameye karşı hazırlanan uzman görüşü, verilerin kaynağına dair çarpıcı tespitler içeriyor. 4 Temmuz 2025'te tutuklanan Hüseyin Gün’ün itirafları üzerine genişletilen soruşturmada, delil olarak sunulan e-posta ve şifrelerin İBB'nin iç ağından değil, herkesin erişebileceği "Darkweb" veri tabanlarından elde edildiği belirtildi.
"Veriler İBB Sisteminden Çalınmadı"
Necati Özkan’ın avukatı Erkam Erdem tarafından, Adli Bilişim Mühendisi ve bilirkişi uzmanlarına hazırlatılan mütalaada, iddianameye konu olan ekran görüntülerinin teknik analizi yapıldı. Uzmanlar, söz konusu verilerin İBB bilgi sistemlerine yapılan bir siber saldırı veya içeriden sızdırma sonucu elde edilmediğini tespit etti.
Rapora göre, Hüseyin Gün’ün ifadesinde geçen ve monitörden fotoğrafı çekilen listeler, İBB çalışanlarının kurumsal e-posta adreslerini kullanarak üye oldukları "MySpace", "Sanal Müze" ve "turkeyforyou.com" gibi üçüncü taraf internet sitelerine ait. Bu sitelerin 2008-2016 yılları arasında "Peace" ve "Sanix" kod adlı bilgisayar korsanları tarafından hacklendiği ve kullanıcı verilerinin 2017 ve 2019 yıllarında Darkweb (Karanlık Ağ) üzerinde satışa çıkarıldığı vurgulandı.
Emniyet ve Adalet Bakanlığı Verileri de Aynı Listede
Uzman görüşünde dikkat çeken en önemli detaylardan biri, sızıntının kapsamı oldu. Raporda, söz konusu veri setlerinin sadece İBB’yi hedef almadığı; TBMM, Adalet Bakanlığı, Milli Eğitim Bakanlığı, Emniyet Genel Müdürlüğü ve TÜBİTAK gibi kritik devlet kurumlarına ait binlerce e-posta ve şifrenin de aynı sızıntı paketleri içinde yer aldığı kaydedildi. 2019 yılında yapılan bir taramada, 57 farklı devlet kurumundan 27 binin üzerinde kamu görevlisine ait verilerin de benzer şekilde siber korsanların eline geçtiği belirtildi.
"Leak" Aramasıyla Bulundu
İddianamede yer alan delil fotoğraflarını inceleyen uzmanlar, verilerin özel bir casusluk faaliyetiyle değil, internetteki sızıntı veritabanlarında "leak*" (sızıntı) anahtar kelimesiyle yapılan basit bir arama sonucu listelendiğini ortaya koydu. Ekran görüntülerindeki "leak-myspace_20170910" gibi dosya isimlerinin, 2017 yılındaki MySpace sızıntısıyla birebir örtüştüğü ifade edildi.
Wickr ve ByLock Kıyaslamasına Teknik İtiraz
Mütalaada, soruşturma kapsamında gündeme gelen ve şüphelilerin kullandığı iddia edilen "Wickr" mesajlaşma uygulamasına da değinildi. Wickr'ın Amazon Web Services bünyesinde bulunan, uygulama mağazalarından herkesin indirebildiği, uçtan uca şifreli standart bir iletişim aracı olduğu belirtildi.
Raporda, Yargıtay’ın "ByLock" kararlarına atıfta bulunularak, ByLock'un sadece örgüt mensuplarınca kullanılan kapalı devre bir sistem olduğu, Wickr'ın ise küresel çapta bireysel ve ticari kullanıma açık olduğu vurgulandı. Bu nedenle Wickr kullanımının, ByLock ile aynı kapsamda değerlendirilmesinin teknik açıdan doğru olmadığı görüşüne yer verildi.