Dünyada Neler Oluyor?
İçindekiler
ToggleVeri Koruma alanı ülkemizde ivme kazanan bir hızla gelişirken, dünya çapındaki yenilikler Kişisel Verileri Koruma Kurumu’nun (“Kurum“) radarında kalmaya devam ediyor.
Daha önce defaten karşılaştığımız örneklerden Kurum’un Avrupa Veri Koruma Tüzüğü (General Data Protection Regulation, “GDPR”) düzenlemeleri başta olmak üzere dünya gündemine ayak uydurduğuna ve hızlı hareket eden veri gizliliği dünyasının gereklerini yakalamaya çalıştığına şahit oluyoruz.
Dünya gündemini GRC Legal Hukuk Bürosu olarak yakından takip ediyor ve güncelden seçkileri bu içeriğimizle bilgilerinize sunuyoruz.
Hükümet x Çinli İnternet Devleri
Çin, dünyadaki en büyük internet kullanıcı tabanına ve e-ticaret, oyun ve akıllı telefonlar için devasa bir pazara sahip olduğundan bu alanlarda faaliyet gösteren teknoloji şirketleri son yıllarda katlanarak büyüyor.
Kullanıcıların görecekleri içerikleri ve bunları hangi sırayla göreceğini düzenleyerek sosyal medya platformlarının büyümesinde etkin bir rol oynayan ve kritik bir öneme sahip olan algoritma verilerinin ayrıntıları Alibaba, Tiktok’un sahibi ByteDance ve Tencent gibi Çinli internet devleri tarafından Çin’in regülatörleriyle paylaşıldı. Amerikan menşeili Meta ve Alphabet tarafından ise bu verilerin ticari sır olduğu savunuluyor.
Çin Siber Uzay İdaresi, 30 adet algoritmanın açıklamalarını içeren bir liste yayınlayarak verinin kötüye kullanımını engellemek için algoritma listesinin rutin olarak güncelleneceğini belirtti. Listelenen algoritmalar arasında Alibaba’nın sahibi olduğu e-ticaret sitesi Taobao’ya ait bir algoritma da yer alıyor. Taobao’nun algoritmasının “dijital ayak izleri ve geçmiş arama verileri aracılığıyla kullanıcılara ürün veya hizmetler önerdiği” açıklandı.
TikTok’un Çin versiyonu olan ByteDance’e ait Douyin için algoritmasının, kullanıcıların ilgi alanlarını; tıkladıkları, yorum yaptıkları, “beğendikleri” veya “beğenmedikleri” şeyler aracılığıyla ölçtüğü açıklandı.
Fazlasıyla iş sırrı içeriyor olduğundan paylaşılandan çok daha kapsamlı bir aktarım gerçekleştirildiği ve bunların halka açıklanmadığı da önem arz eden görüşler arasında.
Twitch x Hacker
Amazon‘un sahip olduğu bir video oyunu akış platformu olan Twitch, önemli boyutta bir veri ihlalini kabul etti. Twitch tarafından, bir bilgisayar korsanının hizmet sunucularını ihlal ettiği açıklandı. Twitch “kötü niyetli bir üçüncü tarafça erişilen bir Twitch sunucusu yapılandırma güncellemesindeki hata nedeniyle” yanlışlıkla internette kamuya açıklanan bilgilerle erişim elde edildiğini kabul etti.
Şirket temsilcileri, müşterilere “tam kredi kartı numaralarının açıklanmadığı” ve “oturum açma bilgilerinin açığa çıktığına dair hiçbir belirti bulunmadığı” konusunda güvence verdi.
Yapılan bu veri ihlali, 4chan isimli mesaj panosunda paylaşılırken “Birinci Bölüm” olarak isimlendirildiğinden devamı atakların geleceği konusunda imada bulunulduğu düşünülüyor.
İhlalin belirli kullanıcı hesaplarını etkileyen kodları paylaşmaktan çok, Twitch’in iç bilgilerinde gerçekleştiği görülüyor. Hindistan’daki Check Point Yazılım Teknolojileri ve Güney Asya Bölgesel İş birliği Derneği‘nin genel müdürü, kaynak kodundaki herhangi bir sızıntının tehlikeli olduğunu ve ciddi sonuçlara yol açabileceğini belirtti. Acronis‘in siber koruma araştırmalarından sorumlu başkan yardımcısı, açığa çıkan bilgilerin Twitch’in neredeyse tüm dijital ayak izini açığa çıkarabileceği için bunu şimdiye kadarki en önemli veri ihlallerinden biri olarak nitelendirdi.
Google x Kürtaj
650’den fazla Google çalışanı, Şirket’ten işçilerin ve halkın üretken haklarını korumak için ek adımlar atmasını isteyen bir dilekçe imzaladı. Dilekçe, Google’ın ana şirketinin çalışanlarını temsil eden Alphabet İşçileri Sendikası‘na göre, 15 Ağustos’ta CEO Sundar Pichai de dahil olmak üzere Google’daki üst düzey yöneticilere gönderildi. Yöneticiler henüz dilekçeye yanıt vermedi.
Mayıs ayında Yüksek Mahkeme’nin Roe ile Wade arasındaki kararı bozmayı planladığını gösteren bir görüş taslağının sızdırılmasından kısa bir süre sonra Google, kürtaj kliniklerine yapılan ziyaretleri “ziyaret ettikten hemen sonra” kullanıcıların konum geçmişinden sileceğini ve kolluk kuvvetlerinin “aşırı geniş” taleplerine karşı çıkacağını açıkladı.
Ancak çalışanlar, şirketten kullanıcıların verilerini korumak için daha fazla önlem almasını talep ediyor. Dilekçedeki talepler arasında, Google’ın “sağlıkla ilgili tüm faaliyetler için anında kullanıcı veri gizliliği kontrolleri kurması, örneğin kürtaj erişimi aramalarının asla kaydedilmemesi, kolluk kuvvetlerine teslim edilmemesi veya bir suç olarak değerlendirilmemesi” yer alıyor.
Ayrıca Google’dan kürtaj sağlayıcıları için yanıltıcı arama sonuçlarını düzeltmesi de isteniyor. Yakın tarihli bir Bloomberg araştırması, Google Haritalar’da kürtaj klinikleri için yapılan aramaların, genellikle hastaları kürtajdan caydırmaya çalışan sözde kriz gebelik merkezleri için sonuçlar verdiğini buldu.
Google x Çocuk Resimleri
Bir babanın doktora göstermek için çocuğunun çıplak fotoğraflarını çekmesi, Google tarafından kriminal aktivite olarak fişlendi. Baba, oğlunun fotoğraflarını çektikten iki gün sonra telefonuna bir bildirim geldi ve hesabı, “Google’ın politikalarını ciddi şekilde ihlal eden ve yasa dışı olabilecek zararlı içerik” nedeniyle devre dışı bırakıldı. 10 yıla yakın kişisel e-posta, iletişim ve fotoğraf arşivi kilitlendi.
Habere göre yürümeye başlayan çocuğunda bir şeylerin ters gittiğini fark etmiş olan Mark, oğlunun şişkinlik oluşmuş olan penisinin fotoğrafını doktora göstermek istemişti. Şubat 2021’de gerçekleşen bu olayda aile pandemi nedeni ile doktora direkt gitmek yerine ön konsültasyon için fotoğraf göndermek istedi. Üstelik bu talep bizzat doktordan gelmişti. Mark’ın eşi telefonu ile oğlunun kasık bölgesinin birkaç yakın çekim fotoğrafını sağlık hizmeti sağlayıcısının mesajlaşma sistemine yüklemek üzere kendi iPhone’una mesaj attı.
Bu faaliyet Mark’ı çocuk pornosu ticareti yapan örgütleri hedef alan özel bir polis soruşturmasının parçası haline getirdi. Talihsiz baba, çocukların cinsel istismarı materyallerini değiş tokuş eden insanları tuzağa düşürmek için tasarlanmış bir algoritmik ağa yakalanmıştı.
Sömürülen veya cinsel istismara uğrayan çocukların görüntüleri, teknoloji devleri tarafından her yıl milyonlarca kez tespit ediliyor. 2021’de Google tek başına 600.000’den fazla çocuk istismarı materyali bildiriminde bulundu ve bunun sonucunda 270.000’den fazla kullanıcının hesabını devre dışı bıraktı.
Teknoloji endüstrisinin, bu gibi aktivitelerin çevrimiçi alışverişini ciddi biçimde bozmaya yönelik ilk aracı, benzersiz dijital kodlara veya karmalara dönüştürülen, bilinen istismar görüntülerinden oluşan bir veri tabanı olan PhotoDNA idi. Bir fotoğraf küçük şekillerde değiştirilmiş olsa bile, bir eşleşmeyi tespit etmek için çok sayıda görüntüyü hızlıca taramak için kullanılabilmektedir. Microsoft, 2009’da PhotoDNA’yı piyasaya sürdükten sonra, Facebook ve diğer teknoloji şirketleri onu yasa dışı ve zararlı görüntüleri dolaşan kullanıcıları ortadan kaldırmak için kullandı.
2018’de Google, çocukların daha önce hiç görülmemiş istismar görüntülerini tanıyabilen yapay zekalı bir araç geliştirdiğinde daha büyük bir atılım gerçekleşti. Bu, yalnızca istismara uğrayan çocukların bilinen görüntülerini değil, yetkililer tarafından potansiyel olarak kurtarılabilecek bilinmeyen kurbanların görüntülerini bulmak anlamına geliyordu. Google, teknolojisini Facebook da dahil olmak üzere diğer şirketlerin kullanımına sundu.
Mark Google’a ‘yeniden değerlendirme’ için talepte bulundu ancak Google herhangi bir açıklama getirmeden bu talebi reddetti. E-posta ve telefonları bloke olan Mark’a soruşturma için polis ulaşamadı ve sorun daha da karmaşık hale geldi. Konunun anlaşılması üzerine polis soruşturması hızlı şekilde çözüldü ancak Mark Google hesabını geri alamadı.
GDPR x Birleşik Krallık
Hükümetin, Birleşik Krallık veri koruma rejiminde reform yapma planlarından vazgeçmesi için bir imza kampanyası başlatıldı. Kampanyanın içeriğinde “işletmelerin üzerindeki yükleri azaltma yönündeki planların bireysel hakların korunmasıyla bağdaşmadığına ve kişisel verilerin kötüye kullanılmasını kolaylaştırabileceğine inanıldığı” vurgulandı.
Birleşik Krallık veri koruma rejiminin Avrupa Birliği (“AB”) ile uyumlu olmaktan çıkarılmasının, uluslararası alanda faaliyet gösteren işletmeler için ek maliyetler yaratabileceği ve bu uygulananın sonucunda bazı işletmelerin yer değişikliğine dahi gidebileceği tartışılan konu başlıkları arasında yer aldı.
Kampanyada reformlar sonucunda Birleşik Krallık’ın veri koruma rejiminin AB kapsamında yetersiz görülebileceği ve Birleşik Krallık işletmeleri için AB’de faaliyet göstermenin zorlaşabileceği belirtildi.
Google x Googerteller
Bir uygulama geliştirici ve gizlilik uzmanı, bilgisayarlar Google’a her veri gönderdiğinde “bip” sesi çıkaran bir demo uygulaması oluşturdu. Uygulamanın “fazlasıyla ses çıkardığını” söylemek şimdiden mümkün.
Google’ın ekosistemi içerisinde daha iyi bir deneyim sunmak için kullanıcıların arama motorunu ve diğer uygulamaları kullanma şeklini izlediği günümüzde bilinen bir gerçek. Ancak Google Analytics‘in ve Google’ın reklam ağlarının yaygınlığı göz önüne alındığında Google’ın takibinde olan şeylerin bilinenden çok daha fazla olabileceği düşüncesiyle Google’a ne tür verilerin gönderildiğini, verilerin nerede ve ne zaman kaydedildiklerini daha iyi anlamak için; PowerDNS’in orijinal yaratıcısı olarak bilinen Bert Hubert, “Googerteller” isimli yeni bir uygulama geliştirdi.
Googerteller, Google tarafından ücretsiz olarak sağlanan ve Google Cloud bağlantılı olanlar hariç birçok Google hizmetiyle ilişkili IP adreslerinin listesini kullanarak çalışıyor. Bir program kullanırken veya internet üzerinde gezinirken, bilgisayar bu IP adreslerinden birine her bağlandığında “bip” sesi duyuluyor.
Hubert, Twitter hesabından paylaştığı bir demo videosu ile uygulamanın pratikte nasıl kullanıldığını da gösterdi. Videoda Hollanda hükümetinin internet sitesine ait domain yazılmaya başlandığı anda, sistemden uyarı gelmeye başladığı görüldü.
İnternet sitesinde menülerin açılması ve kapatılması dahil olmak üzere sayfadaki neredeyse her tıklamada uyarı sesinin duyulması, Google’a gönderilen verinin ne kadar ciddi bir boyutta olduğunu gösteriyor.
Google ile olan bu bağlantıların bir kısmının Chrome’un Google hizmetleriyle sıkı entegrasyonundan kaynaklanabileceği iddia edilse de, Mozilla’nın geliştirdiği arama motoru Firefox’ta da neredeyse birebir sonuçlar alınması argümanı oldukça zayıflatıyor.
Googerteller şu anda yalnızca Linux tabanlı işletim sistemlerinde (Debian, Ubuntu, Arch, Fedora, vb.) çalışmak üzere tasarlanmış olmakla birlikte kullanıcılar şimdiden uygulamayı Mac ve benzeri başkaca sistemlerde çalıştırmanın akıllı yollarını veya geliştirilmiş çapraz platform sürümlerini paylaşıyor.
Twitter x Zatko
Twitter’ın eski güvenlik şefi, Twitter’ı kullanıcı bilgileri ve spam botlarını yönetme noktasında ciddi açıklar vermekle suçladı.
Deneyimli bir güvenlik şefi olan Peiter Zatko, 2020 yılında Twitter’ın kurucu ortağı ve o zamanki CEO’su Jack Dorsey tarafından, 130 yüksek profilli Twitter hesabını hedef alan toplu bir saldırının ardından şirketin güvenliğini güçlendirmek üzere işe alınmıştı. Zatko, Menkul Kıymetler ve Borsa Komisyonu, Adalet Bakanlığı ve Federal Ticaret Komisyonu’na sunduğu şikayetinde Twitter’ın güvenlik önlemlerinin gücü konusunda Twitter yöneticilerini kullanıcıları, yönetim kurulu üyelerini ve federal hükümeti kasten aldattığı yönünde de açıklamalarda bulundu.
Başvuruda, Twitter’ın 2011 yılında Federal Ticaret Komisyonu ile yaptığı ve kullanıcıların kişisel bilgilerini korumak için kapsamlı bir güvenlik planı oluşturacağını belirttiği anlaşmayı ihlal ettiği iddia ediliyor. Geçen yılın sonlarında yönetim kurulunun risk komitesine yapılan bir sunumda çalışan bilgisayarlarının %92’sinde güvenlik yazılımının kurulu olduğu öne sürülürken, Zatko yöneticilerin şirket bilgisayarlarının üçte birinin hala savunmasız durumda olduğunu dile getirmekten kaçındıklarını belirtiyor.
Twitter CNN’e yaptığı açıklamada Zatko’nun iddialarını yalanlarken Şirket için güvenlik ve gizlilik hususlarının her zaman bir öncelik olduğunu vurgulasa da, Zatko’nun risk komitesi toplantısının şaibeli olabileceğini bildirdikten hemen sonra Twitter’ın şu anki CEO’su Parag Agrawal tarafından görevden alınması da dikkat çekiyor.
Ne olmuştu?
Twitter, hassas nitelikteki kullanıcı bilgilerini işlemesi nedeniyle son aylarda ateş hattındaydı. Geçtiğimiz Ağustos ayının başlarında, eski bir Twitter çalışanının Suudi muhalifleri gözetlemek ve bilgilerini Suudi hükümetine aktarmaktan suçlu bulunması gündemde büyük bir yankı yaratmış, Şirket ayrıca kullanıcı e-posta adresi ve telefon numaralarını güvenlik amacıyla talep etmesine rağmen ilgili kişisel verileri pazarlama amacıyla kullandığı için ABD federal hükümeti tarafından 150 milyon dolar para cezasına çarptırılmıştı.
noyb.eu x Google
noyb.eu, Fransız Veri Koruma Kurumu’na (“CNIL”) Google aleyhinde şikâyette bulundu. Avrupa Adalet Divanı’nın (“CJEU”) pazarlama faaliyetlerine yönelik gönderilen otomatik e-postalarla ilgili kararını uygulamayı reddeden teknoloji devi Google’ın, Gmail aracılığıyla kullanıcıları rıza almaksızın pazarlama/reklam gönderimine maruz bıraktığı iddia ediliyor.
Şikâyette Google’ın, Gmail üzerinden reklam içerikli “istenmeyen” e-postaları/spam iletilerini otomatik olarak kullanıcıların gelen kutularına gönderdiği, bu kapsamda e-posta görünümlü reklam faaliyetlerinin yürütüldüğü belirtilirken, bu gönderimlerin ticari elektronik ileti kapsamında pazarlama/reklam faaliyeti olarak değerlendirilmesi nedeniyle eGizlilik Yönergesi’nin (ePrivacy Directive) uygulama alanı bulacağı vurgulandı.
Avrupa Birliği hukuku çerçevesinde ticari elektronik ileti faaliyetlerinin kullanıcıların rızası ile yürütülmesi gerektiği oldukça açık. Bunun yanında, Adalet Divanı tarafından kullanıcılara iletilen her türlü reklam içerikli iletinin rıza kuralına tabi olacağı da belirtiliyor. Google hakkında bu sefer yapılan şikâyet GDPR’a değil, eGizlilik Yönergesi’ne dayandığından, CNIL‘in, başka bir veri koruma mevzuatına dayanmadan Google hakkında hüküm kurup doğrudan ceza verebileceği gündemde.
Ne olmuştu?
CNIL’in Google ile bir geçmişi olduğunu söylemek mümkün. Google’ın CNIL tarafından açık olmayan gizlilik bildirimleri ve kişiselleştirilmiş reklam faaliyetlerinde dayandıkları hukuki sebeplerin eksikliği nedeniyle 50 Milyon ve Aralık 2021’de ve çerez ihlalleri nedeniyle 150 Milyon Euro para cezasına çarptırıldığı biliniyor.
Kaliforniya x Sephora
Perakende kozmetik devi Sephora, Kaliforniya Tüketici Gizliliği Yasası’nı ihlal ederek tüketicilerin kişisel bilgilerini sattığı ve çerezleri devre dışı bırakma taleplerini işleme koymadığı için 1,2 milyon dolar ceza ile karşı karşıya kaldı.
Kaliforniya Başsavcısı Rob Bonta, düzenlediği basın toplantısında “Sephora’nın eylemlerinin kabul edilemez olduğunu, hedef odaklı reklam ve indirim analizleri gibi faydalar karşılığında kişisel verilerin çevrimiçi üçüncü taraf izleyicilerine sunulmasının tüketicilere açıklanamayacağını” vurguladı.
Şirket sözcüsü, Sephora’nın çerezleri “Sephora deneyimleri” ve “Sephora ürün önerilerinin kişiselleştirilmiş olarak sunulması” amacıyla kullandığını belirtti. Açıklamada, tüketicilerin şu anda Sephora internet sitesinin üzerinde “Kişisel Bilgilerimi Satma” bağlantısı ile bu verileri devre dışı bırakabilecekleri belirtildi.
Bonta, Sephora’nın tüketicilerini kişisel verilerinin işlendiğine hatta satıldığına dair bilgilendirilmemesinin ve kendilerine yapılan bildirim ve ihtarlara rağmen ihlali sonlandırma konusunda aksiyon almamalarının durumu ciddi bir boyuta ulaştırdığını dile getirdi.
Veri İzleme Noktası x Büyük Beşli
Yeni bir araştırma, Google, Twitter, Amazon, Facebook ve Apple olarak sayılan beş büyük büyük teknoloji firmasından (“Büyük Beşli”) Google’ın, kullanıcılar hakkında diğerlerinden daha fazla özel veri izlediğini ve en az ise Apple’ın izlediğini iddia ediyor.
Apple, yakın zamanda, özellikle diğer şirketlerden kullanıcıların gizliliğini korumak için Uygulama İzleme Şeffaflığı’nı kullanıma sunmuştu. Ancak yeni bir rapor, Apple’ın hizmetlerini yürütmek için gerekenden daha fazla izlemeden kaçındığını belirtiyor.
StockApps.com’a göre, “Apple sektörde gizlilik konusunda en bilinçli firma ve yalnızca kullanıcıların hesaplarını korumak için gerekli olan bilgileri depolamaktadır. Bunun nedeni, web sitelerinin Google, Twitter ve Facebook kadar reklam gelirine bağımlı olmamasıdır.”
Rapor, Büyük Beşli’den Google’ın kullanıcı başına 39 ayrı veri noktası izlediği, Apple’ın ise yalnızca 12‘sini izlediği bildiriliyor. Beklenmedik bir şekilde Facebook’un yalnızca 14 veri noktasını izlediği belirtilirken, Amazon 23 ve Twitter 24 veri noktası izliyor. Veri noktalarının neler olduğu raporda listelenmiyor olsa da bunların konum detayları, arama geçmişi, üçüncü taraf site aktiviteleri ve Google örneğinde Gmail’deki e-postaları içerdiği belirtiliyor.
StockApps.com’dan Edith Reads, “Çoğu insanın ziyaret ettikleri her web sitesi için birkaç sayfa uzunluğunda olabilen gizlilik politikalarını okumak için zamanı veya sabrı yok. Sonuç olarak, kullanıcılar gizlilik politikası şartlarını kabul ederek Google’ın ihtiyaç duydukları tüm verileri toplamasına izin veriyor.” şeklinde açıklamada bulundu.
Facebook x Cambridge Analytica
Teknoloji devi Facebook, Observer’ın kendisini süreklilik arz eden tartışmalara sürükleyen skandalı ifşa etmesinden dört yıl sonra, Cambridge Analytica’nın on milyonlarca kullanıcının özel verilerine erişmesine izin verdiği için, tazminat davasını önemli ölçüde kabul etti. Bir mahkeme dosyası, Facebook’un ana şirketi Meta‘nın, Facebook’un Birleşik Krallık analiz firmasıyla yasa dışı olarak kullanıcı verilerini paylaştığını iddia eden ve uzun süredir devam eden bir davada, açıklanmayan bir meblağ için prensipte anlaştığını ortaya koyuyor.
CEO Mark Zuckerberg’i Kongre önünde ifade vermeye zorlayan ve sosyal medya firmasının milyarlarca sterlin para cezası almasına yol açarak hisse fiyatını yüz milyar dolardan fazla düşüren olay, bir Cambridge Analytica muhbiri tarafından 2018’de Observer’a yapılan toplu veri kötüye kullanımının ifşasından kaynaklanıyor. Cambridge Analytica Skandalı’nın üzerini kapatmaya çalışan Mark Zuckerberg’in anlaşmaya yaklaştığı tarihin, yemin altında altı saat boyunca çapraz sorgulanmadan hemen öncesine denk gelmesi dikkat çeken detaylar arasında sayılıyor.
Facebook’un, Zuckerberg‘i korumak için Cambridge Analytica skandalı üzerine bir anlaşmada ABD Federal Ticaret Komisyonu’na (“FTC”) olması gerekenden 4,9 milyar dolar daha fazla ödeme yaptığını iddia eden ayrı bir dava bulunmakta olup dava, 5 milyar dolarlık anlaşmanın büyüklüğünün, Facebook kurucusunun FTC şikayetinde adının geçmesini önleme arzusundan kaynaklandığını iddia etti.
Xinai Electronics x Yüz Tanıma Verileri
İçeriği, devlet gözetiminin her yerde ve yüz tanımanın rutin olduğu Çin için önemsiz görünse de ifşa olan veri tabanının büyüklüğü şaşırtıcı seviyede. Veri tabanında 800 milyondan fazla kayıt tutuluyordu ve bu haziran ayında Şanghay polis veri tabanındaki 1 milyar kayıttan oluşan devasa bir veri sızıntısından sonra, ölçek bazında yılın bilinen en büyük veri güvenliği ihlallerinden birini teşkil etti.
İfşa olan verilerin, Çin Hangzhou merkezli Xinai Electronics adlı bir teknoloji şirketine ait olduğu belirlendi. Şirket, Çin genelinde insanların ve araçların işyerlerine, okullara, şantiyelere ve otoparklara sistemler kurarak erişimini kontrol ediyor. Web sitesi, personel yönetimi ve/veya bina erişiminin ötesinde bir dizi amaç için yüz tanıma sistemleri kullanımını öne çıkarırken, bulut tabanlı araç plaka tanıma sistemi, sürücülerin gözetimsiz garajlarda park etmek için ödeme yapabilmesini sağlıyor.
Güvenlik araştırmacısı Anurag Sen, şirketin Çin’de Alibaba tarafından barındırılan bir sunucuda açıkta kalan veri tabanını buldu ve Xinai güvenlik ihlalini bildirmek için TechCrunch’ın yardımını istedi. Veri tabanının her gün hızla büyüyen endişe verici miktarda bilgi ve Xinai’ye ait çeşitli alanlarda barındırılan görüntü dosyalarının yüz milyonlarca kaydını içerdiğini söyledi. Ne veri tabanı ne de barındırılan görüntü dosyaları parolalarla korunmuyordu ve nereye bakacağını bilen herhangi biri tarafından web tarayıcısından erişilebilir durumdaydı. Ağustos ortasından itibaren veri tabanı erişilebilir durumda değil.
Çin, akıllı şehirlerdeki geniş nüfusu izlemek için yüz tanıma teknolojisini kullanıyorsa da aynı zamanda Pekin’in uzun süredir baskı yapmakla suçladığı azınlık nüfuslarının kitlesel gözetimi için de kullanıyor.
Çin geçen yıl, şirketlerin topladığı veri miktarını sınırlamayı amaçlayan, ancak Çin’i oluşturan polis ve devlet kurumlarını genel olarak muaf tutan, Avrupa’nın GDPR gizlilik kurallarına eşdeğeri olarak görülen ilk kapsamlı veri koruma yasası olan Kişisel Bilgilerin Korunması Yasası’nı yayımladı. Ancak son aylarda iki toplu veri ihlali ile hem Çin hükümeti hem de teknoloji şirketleri, gözetim sistemlerinin topladığı çok miktarda veriyi korumak için kendilerini yetersiz buluyorlar.
Snapchat x Biyometrik Veri
Snapchat’in ana şirketi Snap, kullanıcıların eşsiz biyometrik verilerini izinsiz topladığı ve sakladığı iddiasıyla açılan bir toplu davayı çözmek için 35 milyon dolarlık bir anlaşmayı kabul etti. Davacılar, Snap’in Illinois Biyometrik Bilgi Gizlilik Yasası(“BIPA”)tarafından zorunlu kılınan, yüz tanıma verilerini ve diğer biyometrik bilgileri toplamadan ve saklamadan önce gereken yazılı onayı almadığını söyledi.
2020’de Facebook, fotoğrafları etiketlemek için biyometrik veri topladığı ve BIPA’ya uymadığı iddiasıyla dava edildikten sonra 550 milyon dolarlık bir anlaşmayı; Haziran ayında Google, Google Fotoğraflar’daki yüz tanıma programının yönetmeliği ihlal ettiğini iddia eden bir davayı çözmek için 100 milyon dolar ödemeyi kabul etmişti. Daha bu hafta, ihlal sebebiyle TikTok’a 92 milyon dolarlık bir ödeme için nihai onay verilmişti.
Şirketin iddiaları reddettiği ve Snapchat filtreleri tarafından kullanılan “sınırlı verilerin” bir kullanıcının telefonunda kaldığı ve merkezi bir veri bankasında saklanmadığı söylendi. Snapchat filtreleri, belirli bir kişiyi tanımlamak için kullanılabilecek veya yüz tanımlaması yapmak için kullanılabilecek biyometrik verileri toplamaz şeklinde bir açıklamada ile filtrelerin bir yüzdeki burun ve gözlerin burun ve göz olduğunu algılamaktan ötesini yapmadığı ve dolayısıyla biyometrik veri olarak değerlendirilmemesi gerektiği belirtildi.
Tiktok x Veri İhlali İddiası
Bazı siber güvenlik analistleri, TikTok‘un kişisel kullanıcı verilerini içerdiğine inandıkları depolama alanına erişime izin veren ve güvenli olmayan bir sunucu ihlalini tespit ettiklerine dair Twitter’da bir paylaşım yaptılar. Bundan birkaç gün önce ise Microsoft yetkilileri, TikTok’un Android uygulamasında “saldırganların tek bir tıklamayla kullanıcıların hesaplarını tehlikeye atmasına izin verecek” ve “yüksek önem düzeyine sahip bir güvenlik açığı” tespit ettiklerini ifade etti.
TikTok yetkilileri ise ihlal iddialarının doğru olmadığını belirterek “Güvenli ekibimiz bu iddiaları araştırdı ve söz konusu kodun TikTok’un arka uç kaynak koduyla tamamen alakasız olduğunu tespit etti.” şeklinde bir açıklama gerçekleştirdi.
Microsoft tarafından tespit edilen güvenlik açığı, Android telefonları etkileyebilecek daha dar bir sorundu. Microsoft 365 Defender Araştırma Ekibi’nden Dimitrios Valsamaras, saldırganların “özel videoları yayınlamak, mesajlar göndermek ve kullanıcılar adına videolar yüklemek gibi TikTok profillerine ve hassas bilgilere erişilmesine ve bunların değiştirilmesine izin verilmiş olabilirler” şeklinde bir yazı yayınladı.
Bunun üzerine bir TikTok sözcüsü, şirketin Microsoft’un bulgularına hızlı bir şekilde cevap verdiğini ve “android uygulamasının bazı eski sürümlerinde” bulunan güvenlik açığını düzelttiklerini açıkladı.
Temmuz ayında, TikTok tarafından kullanıcı cihazlarında gerçekleştirilen “aşırı veri toplama” aktivitesi tespit edildiği, uygulamanın cihaz konumunu saatte en az bir kez kontrol ettiği ve hem cihaz hem SIM kartı seri numaralarını toplayan bir koda sahip olduğu söylendi. TikTok bulguları reddedip veri miktarının yanlış ifade edildiğini söyledi.
Instagram x Çocuk Gizliliği
İrlanda Veri Koruma Otoritesi, Meta’nın sahip olduğu sosyal medya platformu Instagram’a GDPR’ı ihlal ettiği için 405 milyon avro para cezası uyguladı. Bu ceza Amazon’a verilen 746 milyon avroluk cezadan sonra GDPR kapsamındaki en yüksek ikinci ceza olmakla birlikte İrlanda Veri Koruma Otoritesinin Meta ile ilgili uyguladığı üçüncü ceza oldu.
WhatsApp için 225 milyon Euro ve Facebook için 17 milyon Euro para cezasından sonra şu anda Meta’ya ait bir şirket için verilen en yüksek tutarlı bu ceza, Instagram’ın çocukların e-posta adreslerini ve telefon numaralarını yayınlaması da dahil olmak üzere çocukların mahremiyetini ihlal etmesinden kaynaklanıyor.
Bir Meta sözcüsü, “Bu soruşturma, bir yıldan fazla bir süre önce güncellediğimiz eski ayarlarla ilgili ve o zamandan beri çocukları güvende ve bilgilerini gizli tutmaya yardımcı olacak birçok yeni özellik yayınladık. 18 yaşından küçük herkes Instagram’a katıldığında hesapları gizli olmakta, yalnızca tanıdıkları ne paylaştıklarını görebilirken yetişkinler kendilerini takip etmeyen gençlere mesaj gönderememekte. Soruşturma boyunca İrlanda Veri Koruma Otoritesi ile iş birliği içerisinde olduk ve nihai kararlarını dikkatlice inceliyoruz.” şeklinde açıklamalarda bulundu.
Sydney x Parmak İzi
Sidney’deki bir lise, birçok veri koruma ve gizlilik uzmanı tarafından gerekçesiz ve orantısız olması nedeniyle eleştirilen; öğrenci hareketlerini izlemek ve vandalizmi önlemek amacıyla tuvalet ve lavaboların girişine parmak izi okuyucuları yerleştirme kararı aldı.
İlgili sistem esasen lisenin yerel okul aile birliği tarzında bir danışma kurulu ile yaklaşık 2 yıl süren istişarelerden sonra hayata geçirildi. Ancak danışma kurulundan çıkan sonuç parmak izi işleme faaliyeti yerine alternatif olarak parmak izinin alfanümerik karaktere dönüştürülmüş versiyonunun kullanmaktı. Biyometrik verilerin karakteristik kod veya numaralara dönüştürülerek işlenmesi de GDPR uyarınca veri işlemeyi meşrulaştıran bir yöntem olmamakla birlikte okul danışma kurulunun görece riski minimize etmeye yönelik bir karar aldığı da bu durumda söylenebilecek gibi görünüyor.
Digital Rights Watch Program lideri Samantha Floreani, vandalizmi önlemenin gizlilik ihlali için yeterince iyi bir gerekçe olmadığını belirterek sistemin oluşturduğu risklerin, potansiyel faydalardan çok daha ağır bastığı konusunda uyarılarda bulunarak öğrencilerin tuvalet ve lavaboları kullanabilmesi için biyometrik verilerinin işlenmesinin ölçüsüz olacağı yorumunda bulundu.
UBER x Veri İhlali
Uber’in eski güvenlik görevlisi Joe Sullivan ve Uber davası belki de bir veri ihlaliyle ilgili olarak cezai suçlamalarla karşı karşıya kalan yönetici pozisyonunda bir yetkilinin ilk davası olacak.
San Francisco’daki ABD Bölge Mahkemesi, araç paylaşım devinin eski güvenlik şefi Sullivan’ın dünya çapında 57 milyon sürücüsünü etkileyen 2016 veri ihlalini yetkili otoritelere bildirip bildirmediğine dair argümanları dinlemeye başlayacak. İhlal ilk olarak Kasım 2017’de, Uber’in CEO’su Dara Khosrowshahi’nin; hackerların 600.000 ABD Uber sürücüsünün ehliyet numaralarına ve 57 milyon Uber sürücüsünün isimlerine, e-posta adreslerine ve telefon numaralarına erişim sağladığını açıklamasıyla ortaya çıktı.
Khosrowshahi’ninki gibi kamuya bildirimler, birçok ABD eyaletinde kanunen zorunlu olmakla birlikte çoğu düzenleme, bildirimin “mümkün olan en uygun zamanda ve makul olmayan bir gecikme olmadan” yapılmasını zorunlu kılmaktadır. Ancak Khosrowshahi’nin bildirimi ihlalin gerçekleşmesinin üzerinden tam bir yıl geçtikten sonra gerçekleşmişti.
2018’de Uber, 50 eyalet başsavcısı ile ülke çapında yapılan bir anlaşmada veri ihlalini bildirmemesi nedeniyle 148 milyon dolar ödedi. 2019’da iki bilgisayar korsanı, Uber’i hacklemekten ve ardından Uber’in “hata ödülü” güvenlik araştırma programını gasp etmekten suçlu bulundu ve 2020’de Adalet Bakanlığı Sullivan hakkında suç duyurusunda bulundu.
Federal savcılar, güvenlik ihlalini örtbas etmek amacıyla Sullivan’ın ekibine “2016 İhlali hakkındaki bilgileri sıkı bir şekilde kontrol altında tutmaları talimatını” verdiğini ve olayı hata ödül programının bir parçası olarak ele aldığını iddia etti.
Adalet Bakanlığı şikayetinde; yalnızca Sullivan ve eski Uber CEO’su Travis Kalanick’in ihlalin tüm kapsamı hakkında bilgi sahibi olduğu ve bunun hata ödül programı aracılığıyla yetkili bir açıklama olarak ele alınması kararında bir rolü olduğu iddia edildi. Ancak güvenlik endüstrisi, Sullivan’ın ihlalden tek başına sorumlu tutulmayı hak edip etmediği konusunda bölünmüş durumda. Bazıları, diğer şirket yöneticilerinin ve yönetim kurulunun rolünün de araştırılması gerekip gerekmediğini sorgularken, diğerleri Sullivan’ın sorumluluğunun açık olduğunu ifade etmektedir.
Facebook x Oturum Açma
Dell, Best Buy, Ford Motor, Pottery Barn, Nike, Patagonia, Match ve Amazon’un video yayın hizmeti Twitch gibi diğer büyük markalar, Facebook ile oturum açma özelliğini kaldırdı. Dell’in baş dijital ve bilgi teknolojileri sorumlusu Jen Felch, insanların güvenlik, gizlilik ve veri paylaşımı ile ilgili endişeleri içeren nedenlerle sosyal medya kimliği aracılığıyla oturum açmayı kullanmayı bıraktığını belirtti.
Aslında bakıldığında kişilerin kullanıcı adı, şifre oluşturmadan veya başkaca kişisel bilgilerini doldurmadan direkt sosyal medya hesapları aracılığıyla oturum açmaları oldukça pratik bir yol ancak geçtiğimiz yıllardan itibaren özellikle Facebook-Cambridge Analytica ile ortaya çıkan, 2016 başkanlık seçimleri için 87 milyon kullanıcının profillenmesi, devamında yaşanan COVID-19 Pandemisi kapsamında maske veya aşılarla ilgili muhtelif konularla ilgili yanlış bilgilendirmeler ve Facebook’un kasten veya ihmalen sebebiyet verdiği diğer bütün ihlaller bireyler nezdinde “kişisel alan ihlali” olarak yorumlandı ve bireyleri temkinli davranmaya itti. Yukarıda sayılan şirketlerin Facebook oturum açma özelliklerini kaldırmasıyla ilgili temel gerekçeleri de bu oldu.
- Etiketler:
- Dünyada Neler Oluyor