Avrupa Parlamentosu Kıbrıslı Rum Milletvekili Fidias Panayiotou ve partisi Doğrudan Demokrasi Kıbrıs’ın kullandığı Agorà mobil uygulaması, gerekli kişisel veri koruma önlemlerinin eksikliği nedeniyle yaklaşık 40.000 kullanıcının kişisel bilgilerini kamuya açık bir şekilde ifşa ediyor.
Bağımsız bir denetimde ortaya çıkan ve CIReN tarafından doğrulanan güvenlik açığı, geçtiğimiz Perşembe günü Panayiotou’ya iletildi. Ancak uygulamanın ‘sorumlu veri denetleyicisi’ olan Panayiotou, Avrupa Birliği Genel Veri Koruma Yönetmeliği (GDPR) uyarınca öngörülen 72 saatlik süre içerisinde Veri Koruma Komiseri’ne bildirimde bulunmadı ve kullanıcıları bilgilendirmedi.
Bu haberin yayınlandığı an itibariyle, 39.937 kullanıcının doğum tarihi, cinsiyeti, telefon numarası, ve e-posta adresi açık şekilde ifşa olmuş durumda. Partinin iç seçimlerinde aday olan, veya aday olmak için başvuruda bulunan kişiler söz konusu olduğunda ise, tam adları, ikamet ettikleri şehir ve profil resimleri de dahil olmak üzere, ifşa edilmiş daha da fazla kişisel bilgi mevcut.
Güvenlik açığını keşfeden ve isminin gizli kalmasını isteyen araştırmacı, denetim bulgularını geçen Perşembe günü Kıbrıs Veri Koruma Komiseri Maria Christofidou ile de paylaştı. CIReN, güvenlik açığının varlığını ve boyutunu bağımsız olarak doğruladı.
Söz konusu güvenlik açığı, Agorà’nın, uygulamayı sunucularına bağlayan Uygulama Programlama Arayüzü’nün (API), veri talep etmek için kullanılan belirli web adresleri olan korumasız ‘uç noktalar’ içermesinden kaynaklanıyor. Bu açık, herkesin kullanıcıların kişisel bilgilerine serbestçe erişmesine olanak tanıyor.
Agorà uygulaması, kullanıcıların Panayiotou’nun Avrupa Parlamentosu üyesi olarak izlediği politikaların yanı sıra, Ekim 2025’te kurduğu Doğrudan Demokrasi Kıbrıs partisinin politikalarına da oy vermelerine olanak tanıyan bir platform. Uygulama, özellikle yaklaşan meclis seçimlerinde partinin adaylarını belirlemek için kullanılmıştı.
GDPR’nin 32. maddesi, “veri sorumlusu ve veri işleyicisi, kişisel verilere takma ad verilmesi ve şifreli olarak saklanması de dahil olmak üzere, var olan riske uygun güvenliği sağlamak için uygun teknik ve organizasyonel önlemleri uygulamakla yükümlüdür” hükmünü içeriyor.
Kullanıcıların kişisel verilerinin ifşa edilmesine yol açan yetersiz güvenlik önlemleri, Panayiotou’nun, uygulamanın ‘veri sorumlusu’ olarak yükümlülüklerini ihlal ettiğini gösteriyor.
Influxio hukuk bürosunun ortağı avukat Maria Berrada, CIReN’e yaptığı analizde, “Bana göre bu, özellikle kişisel verilerin güvenli olmayan API uç noktaları aracılığıyla ifşa edildiği ve uygulamanın kendi gizlilik bildirimi ile çeliştiği göz önüne alındığında, GDPR’nin bütünlük ve gizlilik ilkesinin (Madde 5(1)(f)) ve güvenlik yükümlülüklerinin (Madde 32) ciddi bir ihlalidir” dedi.
Veri açığının uygulama piyasaya sürüldüğünden beridir mi devam ettiği ve verilere kaç kişinin erişim sağladığı belirsiz.
Siber güvenlik uzmanı Koen Van Impe, CIReN’e, “Böylesi bir ihlal ciddi bir durumdur” dedi. “Buradaki en büyük tehdit, kötü niyetli kişilerin e-posta adresleri ve telefon numaralarını kullanarak İki Faktörlü Kimlik Doğrulama sürecini atlatma olasılığıdır.” Van Impe, olası olmasa da, ilgili kişisel verilerin kimlik hırsızlığı ve mali dolandırıcılık girişimlerinde kullanılabileceğini de sözlerine ekledi.
Veri Koruma Komiserinin endişeleri
Ekim 2025’te Kıbrıs Veri Koruma Komiseri Christofidou, Agorà uygulamasına ilişkin standart bir etki değerlendirmesi yapılmasını talep etmişti. Siyasi bilgileri işleyen uygulamaların, veri toplama işlemine başlamadan önce GDPR kapsamında etki değerlendirmesinden geçmesi yasal olarak zorunludur.
Talimatlarına uyulmaması nedeniyle, Christofidou, 20 Şubat’ta Panayiotou’nun hukuk ekibine resmi bir mektup göndererek başvurunun askıya alınmasını istedi.
Sosyal medya kanallarından yaptığı açıklamada, Panayiotou, uygulamanın askıya alınmasını reddederek, Christofidou’nun talebini diğer partilerden gelen siyasi baskıya bağlamış ve “uygulamayı kaldırmamızın hiçbir yolu yok” demişti. Ayrıca, herhangi bir sorun varsa “aynı gün içinde çözeceğiz” diye eklemişti.
Veri ihlaliyle ilgili olarak Komiser Christofidou, CIReN’e yaptığı açıklamada, ofisinin, “[araştırmacı tarafından] Perşembe (16 Nisan) günü bilgilendirildiğini ve Panayiotou ve avukatıyla konu hakkında iletişime geçildiğini, ancak henüz yanıt alamadıklarını” söyledi.
Doğrudan Demokrasi Kıbrıs
Panayiotou’nun Ekim 2025’te sosyal medya platformları aracılığıyla duyurduğu Doğrudan Demokrasi Kıbrıs partisinin en önemli özelliği, parti tabanındaki destekçilere verilen önem. Destekçiler, Agorà mobil uygulaması aracılığıyla partinin seçimlerdeki adaylarını, önemli politikaları ve kararları belirlemek için oy kullanabiliyorlar.
Agorà, 2025 yılının başlarında Google Play ve Apple App uygulama mağazalarına eklendi. Uygulama, tanıtım yazılarında “açıklık, şeffaflık ve toplumun katılımı ilkelerinden ilham alan, çığır açıcı bir platform” ve “doğrudan demokrasinin geleceği” olarak lanse ediliyor.
Fidias, partisinin kuruluşunu duyururken ve partiyle ilgili verdiği röportajlarda bu yaklaşımın yeni olmasını ve “daha önce hiç yapılmamış” olmasını sık sık övdü. CIReN bu iddiayı daha önce incelemiş ve yanlış olduğu tespit etmişti.
Agorà uygulaması, Mayıs ayındaki meclis seçimlerinde Doğrudan Demokrasi Kıbrıs partisi adayı ve girişimci Yiannis Laouris tarafından kurulan Kıbrıs merkezli bir uygulama ve web geliştirme şirketi olan Ekkotek Limited tarafından geliştirildi.
Geçtiğimiz ay gazeteci Chrysanthos Tsouroullis ile “Sansürsüz” adlı podcast programına katılan Laouris, kişisel verilerle ilgili ilk başlarda ortaya çıkan bazı sorunlardan bahsetmiş ve şunları söylemişti: “Kişisel verileri saklamadığınızda ve başka bir yerde doğrulandığı anda, birileri sizi kandırıp yeniden kayıt olabilir. Bu, kapatmaya çalıştığımız bir açık, çünkü kişisel verileri saklamak istemiyoruz, ancak kullanıcıları doğrulamak için buna ihtiyacımız var.”
Panayiotou ve Laouris, veri ihlaliyle ilgili yorum taleplerine yayın zamanına kadar yanıt vermedi.