Dünyada Neler Oluyor?

Veri Koruma alanı ülkemizde ivme kazanan bir hızla gelişirken, dünya çapındaki yenilikler Kişisel Verileri Koruma Kurumu’nun (“Kurum“) radarında kalmaya devam ediyor.

Daha önce defaten karşılaştığımız örneklerden Kurum’un Avrupa Veri Koruma Tüzüğü (General Data Protection Regulation, “GDPR”) düzenlemeleri başta olmak üzere dünya gündemine ayak uydurduğuna ve hızlı hareket eden veri gizliliği dünyasının gereklerini yakalamaya çalıştığına şahit oluyoruz.

Dünya gündemini GRC Legal Hukuk Bürosu olarak yakından takip ediyor ve güncelden seçkileri bu içeriğimizle bilgilerinize sunuyoruz.

Aşağıda yer alan haberler 2022 Aralık – 2023 Ocak aylarına aittir.

Fortnite x FTC

Federal Ticaret Komisyonu (Fedaral Trade Comission, “FTC”), popüler oyun Fortnite’ı yaratan Epic Games’ten iki dava için rekor anlaşmaları güvence altına aldığını söyledi. Video oyun şirketi Epic Games çocukların mahremiyeti ve oyuncuları satın alma konusunda aldatıcı yöntemlere sevk etmesiyle ilgili şikayetleri çözmek için toplamda 520 milyon dolar ödeme yapacak.

FTC başkanı Lina Khan yaptığı açıklamada, “Epic, gençler ve çocuklar da dahil olmak üzere Fortnite kullanıcılarını aldatıcı gizliliği ihlal eden varsayılan ayarlar ve aldatıcı arayüzler kullandı” dedi.

Epic Games, ebeveynlerine haber vermeden veya onların rızasını almadan 13 yaşından küçük Fortnite oyuncularının kişisel bilgilerini toplayanlara 275 milyon dolar para cezası ödemeyi kabul etti. Bir FTC kuralının ihlaline verilen en büyük cezayı teşkil ediyor.

Şirket ayrıca sözde karanlık düzen (dark patterns) ve faturalandırma uygulamalarından mağdur olan müşterilere 245 milyon dolar geri ödeme yapıyor. Karanlık düzen, kullanıcıları yapmak istemedikleri şeyleri yapmaya teşvik etmek için kullanılan aldatıcı çevrimiçi tekniklerdir.

FTC, “Fortnite’ın mantığa aykırı, tutarsız ve kafa karıştırıcı düğme yapılandırması, oyuncuların tek bir düğmeye basarak istenmeyen ücretlere maruz kalmasına neden oldu” dedi. Oyuncular, oyun bir yükleme ekranındayken, oyunu uyku modundan uyandırmaya çalışırken veya yalnızca bir öğeyi ön izlemeye çalışırken yakındaki bir düğmeye basarak ücretlendirilebiliyordu. FTC, “Bu taktikler, tüketiciler için yüz milyonlarca dolarlık yetkisiz ödemelere yol açtı” dedi.

Şirket, “Onlarca yıl önce yazılan tüzükler, oyun ekosistemlerinin nasıl çalışması gerektiğini belirlemiyor. Yasalar değişmedi ancak uygulamalar gelişti, dolayısıyla uzun süredir devam eden sektör uygulamaları artık yeterli değil.” dedi.

Tiktok x Forbes

Video paylaşım platformu TikTok’un ana şirketi ByteDance tarafından yapılan bir iç soruşturma, çalışanların Şirket’i takip eden çok sayıda gazeteciyi takip ederek, ByteDance çalışanlarıyla aynı yerlerde olup olmadıklarını belirlemek amacıyla bunların IP adreslerine ve kullanıcı verilerine uygunsuz bir şekilde eriştiklerini ortaya çıkardı.

Forbes tarafından incelenen materyallere göre, ByteDance, şirketin Çin ile devam eden bağlantılarını ifşa eden bir dizi makalenin ardından, Şirket içindeki sızıntıların kaynağını ortaya çıkarmak için tasarlanan bu gizli gözetim kampanyasının bir parçası olarak, çok sayıda Forbes gazetecisini takip etti.

Gözetim taktiklerine yönelik soruşturma sonucunda ByteDance, kendilerinden sorumlu ekibe liderlik eden baş iç denetçisi Chris Lepitak’ı görevden aldı. Lepitak’ın bağlı olduğu ve doğrudan ByteDance CEO’suna bağlı olan Çin merkezli yönetici Song Ye istifa etti.

Forbes ile paylaşılan bir e-postada Liang, “Durumdan haberdar olduğumda derin bir hayal kırıklığına uğradım… ve eminim siz de aynı şeyi hissediyorsunuz,” diyor ve ekliyor: “İnşa etmek için büyük çabalar harcadığımıza dair kamu güveni, birkaç kişinin görevi kötüye kullanması nedeniyle önemli ölçüde sarsılacak. … Bu durumun hepimize ders olacağına inanıyorum.”

Forbes ile paylaşılan ikinci bir e-postada TikTok Baş Hukuk Müşaviri Erich Andersen ise “Şirketlerin davranış kuralları ihlallerini soruşturma yetkisine sahip bir iç denetim grubuna sahip olması standart bir uygulamadır. Ancak bu durumda kişiler, TikTok kullanıcı verilerine erişim elde etmek için yetkilerini kötüye kullandı.” diyor.

Forbes, Çin merkezli bir ekip tarafından denetlenen gözetim taktiklerini ilk olarak 2022 Ekim ayında ByteDance’de bildirdi ve yorum yapmaları istenen ByteDance ve TikTok, gözetlemeyi reddetmedi. Ancak makale yayınlandıktan sonra Şirket Twitter’da TikTok’un hiçbir zaman ABD hükümeti üyelerini, aktivistleri, tanınmış kişileri veya gazetecileri hedeflemediğini ve makalenin belirttiği şekilde ABD’li kullanıcıları izlemediğini belirtti.  Forbes ile paylaşılan iç e-postada Liang, TikTok’un Forbes’in bildirdiği gibi tam olarak bu şekilde kullanıldığını kabul etti.

Project Raven olarak bilinen soruşturma, 2022 yazında BuzzFeed News’in Çin merkezli ByteDance çalışanlarının, TikTok’un iç toplantılarının 80 saatten fazla ses kayıtlarına dayanarak ABD kullanıcı verilerine defalarca eriştiğini ortaya çıkaran bir haber yayınlamasının ardından başladı.

Forbes tarafından incelenen ByteDance belgelerine göre Project Raven, şirketin Baş Güvenlik ve Gizlilik Ofisi’ni içeriyor, TikTok’un Küresel Yasal Uyumluluk (Global Legal Compliance) Başkanı tarafından biliniyordu ve Çin’deki ByteDance çalışanları tarafından onaylandı. Daha önce BuzzFeed News’te çalışan üç Forbes muhabiri; Emily Baker-White, Katharine Schwab ve Richard Nieva takip edildi.

Forbes İçerik Lideri (Chief Content Officer “CCO”) “Bu, özgür basın fikrine ve onun işleyen bir demokrasideki kritik rolüne doğrudan bir saldırıdır” dedi ve ekledi: “ByteDance’den doğrudan bir yanıt bekliyoruz çünkü bu, TikTok kullanıcılarından derledikleri bilgilerle ne yaptıklarına dair temel soruları gündeme getiriyor.”

Makalenin yayınlanmasının ardından TikTok sözcüsü Hilary McQuaide, “Artık ByteDance’te çalışmayan bazı kişilerin suistimali, kullanıcı verilerine erişim elde etme yetkilerinin korkunç bir şekilde kötüye kullanılmasıydı. Bu uygunsuz davranış kabul edilemez ve kullanıcılarımızın güvenini kazanmak için TikTok genelindeki çabalarımıza aykırıdır.” dedi. ByteDance sözcüsü Jennifer Banks, “ByteDance, Şirket’in davranış kurallarını ihlal eden bu yanlış yönlendirilmiş planı kınıyor” diye ekledi.

Banks, ByteDance’in Forbes gazetecilerini Baker-White’ın ötesinde izlediğine dair kanıt bulamadığını, ancak soruşturmanın devam ettiğini söyledi. Forbes tarafından incelenen iç şirket materyalleri, Schwab ve Nieva’nın da gözetlendiğini gösteriyor.

Banks ayrıca, Küresel Yasal Uyumluluk başkanı Catherine Razzano’nun Ekim ayı sonuna kadar gazetecilerin gözetlenmesinden haberi olmadığını belirtiyor. Ancak Forbes tarafından incelenen iç materyaller onun Project Raven sızıntı soruşturmasından önce durumdan haberdar olduğunu gösteriyor.

Senatör Mark Warner, Forbes’a “Bu yeni gelişme, sosyal medya platformunun, Çin’deki TikTok mühendislerinin ve yöneticilerinin, milletvekillerine ve kullanıcılara bu verilerin korunduğuna dair tekrarlanan iddialarına rağmen ABD kullanıcılarının özel verilerine tekrar tekrar erişmesine izin verdiğine dair ciddi endişeleri güçlendiriyor” dedi. ABD Adalet Bakanlığı’nın ayrıca bir yılı aşkın süredir ABD kullanıcı verilerini ByteDance ve Çin Kominist Partisi’nden korumanın yollarını aradıkları sözünü veriyor ve “bu çözümle öne çıkmanın zamanı geldi, yoksa Kongre yakında adım atmak zorunda kalabilir.” diyor.

Andersen tarafından gönderilen bir iç yazışmaya göre ByteDance, çalışanlarından birkaçının TikTok aracılığıyla “eski bir BuzzFeed muhabiri ve bir Financial Times muhabirinin” yanı sıra “muhabirlerle bağlantılı az sayıda kişinin” verilerini aldığını tespit etti. Denetim, ABD hükümetine karşı açılan davada TikTok’u temsil eden hukuk firması Covington&Burling tarafından gerçekleştirildi. Covington yorum isteğine yanıt vermedi.

Açığa alınan TikTok’un Baş İç Denetçisi Chris Lepitak’ın kovulmasına ek olarak ByteDance, bulgular sonucunda ABD ve Çin’deki iki TikTok çalışanını daha işten çıkardı. Lepitak, yorum talebine hemen yanıt vermedi. Andersen iç yazışmada, “Yanlış yönlendirilmiş plana doğrudan katıldığı veya denetlediği tespit edilen kişilerin hiçbiri ByteDance’te çalışmaya devam etmiyor” diyor.

TikTok CEO’su Shou Zi Chew, çalışanlara gönderdiği e-postasında, “Veri güvenliğini inanılmaz derecede ciddiye alıyoruz” yazdı ve şirketin ABD kullanıcı verilerine Çin merkezli erişimi sınırlayacak olan Project Texas’ı ekledi. İlk olarak Baker-White tarafından bildirilen proje, bu taahhüdün bir kanıtıydı.

2021’de TikTok dünyanın en çok ziyaret edilen web sitesi oldu, ByteDance şu anda Hazine Bakanlığı’nın ABD’deki Yabancı Yatırım Komitesi (Committee on Foreign Investment in the US, “CFIUS”) ile Amerikalıların kişisel kullanıcı verilerini işleme biçimini yönetecek bir ulusal güvenlik sözleşmesi müzakere ediyor. Project Texas’ın bir parçası olarak Şirket, Oracle tarafından yönetilen bir veri merkezinde saklanmak üzere bazı kullanıcı bilgilerini eyalet dışına taşımak için çalışarak Çin ile olan bağlarla ilgili endişeleri gidermeye çalıştı.

Forbes, gazetecilere yönelik gözetim kampanyasını denetleyen ByteDance iç denetim ve soruşturma ekibinin, Çinli çalışanların Amerikan kullanıcı verilerine erişimini sınırlama çabalarını denetlemekle görevlendirilen TikTok küresel güvenlik şefi Roland Cloutier’i de soruşturduğunu bildirdi. Cloutier, Temmuz 2022’de istifa etti.

TikTok’ta departmanları yöneten en az beş üst düzey çalışan, karar verme sürecini anlamlı bir şekilde etkileyemeyeceklerinin açığa çıkması üzerine şirketten ayrıldı. TikTok ve ByteDance, çalışan soruşturmaları veya ayrılmalar hakkında yorum yapmayı reddetti.

Forbes ayrıca, daha önce Çin devlet medya yayınlarında çalıştıklarını gösteren üç yüz ByteDance çalışanının LinkedIn profillerini buldu. Profillerin yirmi üçü ByteDance yöneticileri tarafından oluşturulmuş gibi görünüyordu. O sırada ByteDance sözcüsü Jennifer Banks, daha önce Çin’de devlet veya devlet medyası pozisyonlarında çalışmış kişiler dahil olmak üzere Çin pazarındaki işletmeler için işe alma kararlarının yalnızca kişinin işi yapma konusundaki profesyonel yeteneğine dayalı olarak alındığını söyledi.

ByteDance, belirli kullanıcıları izlemek için bir uygulama kullanan ilk teknoloji devi değil. Hem Uber hem de Facebook’un, uygulamaları hakkında haber yapan gazetecilerin konumlarını takip ettiği bildirildi. Elektronik Gizlilik Bilgi Merkezi tarafından 2015 yılında yapılan bir araştırma, Uber’in şirketi takip eden gazetecilerin yerlerini izlediğini ortaya çıkardı. Uber, bu iddiaya özel olarak yanıt vermedi. 2021 tarihli An Ugly Truth kitabı, Facebook’un gazetecilerin kaynaklarını belirlemek amacıyla aynı şeyi yaptığını iddia ediyor. Facebook, kitaptaki iddialara doğrudan yanıt vermedi.

Ancak ByteDance’in kullanıcıların bilgilerini toplamasını bu vakalardan ayıran önemli bir faktör var: TikTok Haziran ayında kanun yapıcılara, muhtemelen konum da dahil olmak üzere, belirli ABD kullanıcı verilerine erişimin “ABD ile geliştirilmekte olan protokoller uyarınca yalnızca yetkili personelle sınırlı olacağını” söyledi.

Tam TikTok ABD yetkililerini kendisine güvenilebileceği konusunda ikna etmeye çalışırken, Pekin merkezli ana şirket muhabirler hakkında veri elde edecek sistemleri kötüye kullandı. Eleştirmenler, bardağı taşıran bu son damla ile ABD yetkililerinin TikTok’a güvenebilmesinin artık mümkün olmadığına inanıyor.

Facebook x Cambridge Analytica

Facebook’un ana şirketi Meta, bir mahkeme belgesine göre, üçüncü şahısların kullanıcıların kişisel verilerine erişmesine izin vermekle suçlandığı ABD’de uzun süredir devam eden toplu davasında 725 milyon dolarlık bir uzlaşmayı kabul etti.

Reuters tarafından yayınlanan belgede davacılar, mahkemenin 725 milyon dolarlık geri dönüşü olmayan uzlaşmayı önceden onaylamasını talep ediyor. Sunulduğu San Francisco mahkemesi tarafından 2023 Mart’ta yapılacak bir duruşma ile onaylanması gerekiyor.

Belgeye göre uzlaşma, bir veri gizliliği toplu davasında şimdiye kadar elde edilen en büyük gelişme ve Facebook’un özel bir toplu davayı çözmek için şimdiye kadar ödediği en yüksek miktar.

Davacıların tahminlerine göre, etkilenen toplam insan sayısı, 24 Mayıs 2007’den 22 Aralık 2022’ye 250-280 milyon aralığında.

Bir Meta sözcüsü yaptığı açıklamada şunları söyledi: “Topluluğumuzun ve hissedarlarımızın çıkarına en uygun olduğu için bir anlaşmaya vardık. Son üç yılda gizliliğe yaklaşımımızı yeniledik ve kapsamlı bir gizlilik programı uyguladık.”

Ne olmuştu?

Facebook kullanıcıları, sosyal medya devinin kişisel verilerini üçüncü kişilerle paylaştığı iddiasıyla 2018 yılında şirkete tazminat davası açmıştı. Bunlar arasında, Donald Trump’ın 2016’daki başarılı başkanlık kampanyasıyla bağlantılı olan kötü şöhretli İngiliz veri analitiği şirketi Cambridge Analytica da vardı.

AB x IDPC

Avrupa Birliği (European Union, “AB”) Kamu Denetçisi (ombudsman) Dr. Emily O’Reilly, İrlanda’nın Big Tech GDPR dosyalarının yakından takip edilmesi çağrısında bulundu. Karar, Avrupa Komisyonu’nun İrlanda’da veri koruma kurallarının nasıl uygulandığını yeterince izlemediği iddialarına yönelik bir yıldır sürdürdüğü soruşturmayı sonuçlandırdı. İlgili şikâyet, İrlanda Sivil Özgürlükler Konseyi’nden (Irish Council for Civil Liberties, “ICCL”) gelmişti.

İrlanda Veri Koruma Otoritesi (Irish Data Protection Commission, “IDPC”) Meta, Google, TikTok ve Twitter dahil olmak üzere İrlanda’da Avrupa merkezi bulunan ABD teknoloji oyuncuları için GDPR kuralları kapsamında baş denetçilik görevi yapıyor.

IDPC, Big Tech’e karşı yapılan GDPR kapsamındaki şikayetleri ele alma şekli nedeniyle eleştirilere maruz kalmıştı. 2022 Ekim ayında, ICCL tarafından yapılan açıklamalarda İrlanda’nın GDPR uygulamasını özenle izlediğini gösteren çok az şey bulunduğu iddia edilmişti. Avrupa Birliği’nin iki ayda bir yaptığı düzenli kontroller eşliğinde Kamu Denetçisi tarafından, DPC’nin belirli vakalarda doldurabileceği bir dizi önceden belirlenmiş kural ve tabloların belirlenmesine yönelik önerilerde bulunuldu.

CNIL x Microsoft

Fransa Veri Koruma Otoritesi (Commission Nationale de l’Informatique et des Libertes, “CNIL”), reklam çerezleri nedeniyle Microsoft’a 60 milyon avro ceza kesti.

CNIL’in para cezasına ilişkin yaptığı açıklamada Microsoft’un arama motoru olan Bing’in, kullanıcılara çerezleri reddetme olanağı vermeyen bir sisteme sahip olduğu belirtildi. Yapılan açıklamada CNIL, kullanıcıların cihazlarına siteyi ziyaret ettiklerinde rızaları olmaksızın çerezlerin yerleştirildiğinin ve bu çerezlerin reklam amacıyla da kullanıldığının tespit edildiğini bildirdi. Bununla birlikte, çerezleri reddetme seçeneğinin bulunmadığı da gözlemlendi.

CNIL, para cezasının şirketin çerezler aracılığıyla topladığı verilerden dolaylı olarak elde ettiği reklam kârları nedeniyle haklı olduğunu söyledi. Şirket’e ayrıca bahsi geçen sorunları düzeltmesi için üç ay süre verildiği ve düzeltmelerin geciktiği her gün için ekstra 60.000 avro para cezası kesileceği belirtildi. Ceza ise şirketin Avrupa’daki merkezinin yer aldığı Microsoft İrlanda’ya verildi. Microsoft ise, bu soruşturma başlamadan önce çerez ayarlarında önemli değişikliklere gittikleri savunmasında bulundu.

Facebook ve Google gibi şirketlerin başlıca gelir kaynaklarından biri olan kişiselleştirilmiş reklam, teknoloji platformları için son derece önemli görülmekle birlikte veri koruma/gizlilik danışmanları bu duruma uzun zamandır karşı çıkmakta. Google ve Facebook da çerez kullanımıyla ilgili benzer ihlaller sebebiyle CNIL’den sırasıyla 150 milyon ve 60 milyon avro para cezası aldığı biliniyor. Bu anlamda çerez uygulamalarının veri koruma otoritelerinin radarında olduğu yorumunu yapmak da zor değil.

NIS 2 Directive

27 Aralık 2022 itibarıyla yürürlüğe giren Direktif, siber güvenlik risk yönetimini iyileştirerek enerji, ulaştırma, sağlık ve dijital altyapı gibi sektörlerde raporlama yükümlülükleri getirdi.

Üye devletlerin NIS2 Direktifi kapsamındaki yükümlülüklerini yerine getirerek tam uyumluluk noktasına gelmesi için ise Direktif’in yürürlüğe girmesinden itibaren 21 aylık bir adaptasyon süreci öngörüldü.

Uygulama alanının genişliği ve etkileri ile ilgili şimdiden pek çok sorunun hedefinde olan NIS2 Direktifi’nin pratiğe nasıl etki edeceği ise şimdilik merak konusu.

ABD x TikTok

TikTok, ABD Temsilciler Meclisi (US House of Representatives) tarafından verilen cihazlarda yasaklandı. 2022 Ağustos ayında uygulamanın “kullanıcılar için yüksek risk teşkil ettiği” konusunda uyarıda bulunan Temsilciler Meclisi İdari İşler Müdürü Catherine Szpindor tarafından, Meclis’ten verilen cep telefonlarına sahip tüm milletvekillerine ve çalışanlara TikTok’u kaldırmaları emredildi.

NBC Haber tarafından edinilen ve ABD Temsilciler Meclisi tarafından da doğrulanan bilgiye göre, Meclis personelinin TikTok uygulamasını herhangi bir Meclis mobil cihazına indirmesine izin verilmiyor. Yapılan açıklamada, “Meclis İdaresi Komitesi’nin, Meclis tarafından yönetilen tüm cihazlardan TikTok’un kaldırılması için CAO Siber Güvenlik Ofisi’ne (“CAO Office of Cybersecurity”) yetki verdiğini teyit edebiliriz.” denildi.

Ne Olmuştu?

2022 yılının ağustos ayında CAO, TikTok’u “müşteri verilerini nasıl koruduğuna dair şeffaflık eksikliği” nedeniyle yüksek riskli bir uygulama olarak etiketleyen bir siber tavsiye yayınladı. Pekin merkezli ByteDance’a ait olan TikTok’un kişisel veriler için aktif olarak içerik topladığı ve bazı kullanıcı verilerini Çin’de depoladığı belirtildi. TikTok ise açıklamasında, verilerinin Çin’de değil, ABD ve Singapur’da tutulduğunu belirtmişti.

CAO’nun bu hamlesi, TikTok’un hükümet ve devlet çalışanları tarafından kullanımının kısıtlanmasına yönelik çok sayıda girişimin ortasında geldi. Geçtiğimiz haftalarda Kongre, TikTok’u devlet cihazlarından yasaklayan hükmün de içerisinde yer aldığı 1,7 milyon dolarlık bir bütçe tasarısını kabul etti. Yasak, Başkan Joe Biden yasayı onaylamasının akabinde yürürlüğe girecek.

Bunun yanında aralık ayında ABD’li Senatör Marco Rubio, TikTok’un ABD’den tamamen yasaklanmasını öngören bir yasa teklifi sundu. Rubio, Pekin kontrolündeki TikTok’u temelli yasaklama zamanının geldiğini söyledi. Biden, daha önce selefi Donald Trump tarafından TikTok’u hedef alan ve TikTok’un ABD’deki işlerini satmasını emreden başkanlık emirlerini iptal etse de ABD dışındaki şirketlerle yapılan iş anlaşmalarını inceleyen ABD Yabancı Yatırım Komitesi’nin de TikTok hakkında bir güvenlik incelemesi yürüttüğü biliniyor. Yakın tarihte edinilen bilgilere göre, TikTok tamamen yasaklanmanın önüne geçebilmek adına ABD’deki işlerini dışarıdan denetime tabi tutmayı teklif ediyor.

Bir başka habere göre ise en az 19 ABD eyaletinin, güvenlik endişeleri nedeniyle uygulamayı devlet tarafından yönetilen cihazlardan kısmen engellediği bildirildi. Bütün bu gelişmelerle birlikte Kongre yasağının ardından Tiktok tarafından yapılan açıklamada, bu hamlenin “ulusal güvenlik çıkarları için hiçbir fayda sağlamayacak siyasi bir jest” olduğu söylendi.

Twitter x Ryushi

Bir veri koruma gözlemcisi, 400 milyondan fazla hesapla bağlantılı özel bilgilere sahip olduğunu iddia eden bir bilgisayar korsanının açıklamasının ardından Twitter’ı araştıracak.

Bilgisayar korsanı “Ryushi“, bazı ünlülerin verilerini de içerdiği bildirilen verileri iade etmek ve silmek için 200.000 dolar talep ediyor. İrlanda Veri Koruma Komisyonu (Irish Data Protection Commission “IDPC”), Twitter’ın bu güvenlik sorunuyla ilgili olarak veri koruma yasasına uygunluğunu inceleyeceğini söyledi. Twitter iddia hakkında yorum yapmadı.

Verilerin, ünlülere ve politikacılara ait olanlar da dahil olmak üzere telefon numaralarını ve e-postaları içerdiği söyleniyor, ancak verinin boyutu henüz doğrulanmadı. Şimdiye kadar sadece küçük bir “örnek” kamuoyuna açıklandı.

The Guardian, bilgisayar korsanı tarafından yayınlanan veri örneğinde ABD Kongre Üyesi Alexandria Ocasio-Cortez’in verilerinin yer aldığını bildirdi. Kısa bir süre önce Twitter hesabı yetkisiz erişilen yayıncı Piers Morgan’ın verilerinin de yer aldığı bildiriliyor.

Siber suç istihbarat şirketi Hudson Rock, veri satışıyla ilgili alarmı ilk verenin kendisi olduğunu söyledi. Şirketin baş teknoloji sorumlusu Alon Gal, alınan veri miktarının doğrulanmadığını kabul etmekle birlikte, bilgisayar korsanının iddiasını destekleyen bir dizi ipucunun ortaya çıktığını söyledi. Gal, verilerin 5,4 milyon Twitter hesabından ayrıntıların yayınlandığı önceki bir ihlalden kopyalanmış gibi görünmediğini de aktardı.

Alon Gal, “Daha önceki olayda bilgisayar korsanı tarafından sağlanan 1.000 e-posta örneğinden yalnızca 60’ı ortaya çıktı, bu nedenle bu ihlalin farklı ve önemli ölçüde daha büyük olduğundan eminiz” dedi ve ekledi: “Bilgisayar korsanı, veri tabanını bir siber suç forumunda sunulan bir emanet hizmeti aracılığıyla satmayı hedefliyor. Genellikle bu yalnızca gerçek teklifler için yapılır.”

Emanet hizmeti, yalnızca belirli koşullar (verilerin teslim edilmesi gibi) karşılandığında fonları serbest bırakmayı kabul eden üçüncü bir taraftır.

Ryushi, bilgisayar programlarının verileri derlemek için Twitter’a bağlanmasına izin veren sistemdeki bir sorundan yararlandığını söyledi. Twitter, 2022’de sistemdeki zayıflığı düzeltti. Ancak kusurun, beş milyondan fazla hesabı etkileyen önceki ihlalde de kullanıldığına inanılıyor.

En son olayla ilgili olarak BBC’ye gönderilen bir açıklamada IDPC, daha önceki Twitter ihlaliyle ilgili devam eden soruşturmaya dikkat çekti ancak şunları ekledi: “Raporlar, bazı ek veri setlerinin şimdi karanlık ağda (dark-web) satışa sunulduğunu iddia ediyor. IDPC, bu soruşturmada Twitter ile temasa geçti ve Twitter’ın bu güvenlik sorunuyla ilgili olarak GDPR’a uygunluğunu inceleyecek.”

Bilgisayar korsanı, veri kaybının platformlar için ne kadar zarar verici olabileceğinin farkında, verileri satmayı teklif ettiği gönderide Twitter’ı, büyük bir veri koruma cezasından kaçınmak için en iyi şansının verileri geri almak olduğu konusunda uyarıyor.

İngiltere Bilgi Komiserliği Ofisi (Information Commissioner’s Office, ICO), Twitter kullanıcısının kişisel bilgilerinin internette kullanıma sunulmasıyla ilgili medya raporlarından haberdar olduğunu, Twitter’ın veri koruma görevlisi ile diyalog halinde olduğunu, bu konuda soruşturma yapacaklarını ve IDPC ile işbirliği sağlanacağını söyledi.