Hassas konum bilgilerinin satışına yasak çağrısı

• ABD reklam teknolojisi temelli gözetim sistemi Webloc, dünya genelinde en fazla 500 milyon mobil cihazdan hassas konum verisi toplayıp satıyor
• Bu veriler cihaz tanımlayıcıları, koordinatlar ve uygulama profillerini içeriyor; ABD polisi, ordu ve federal kurumlar dahil çeşitli devlet kuruluşları tarafından satın alınıp kullanılıyor
• Webloc, Penlink'in Tangles platformu ile entegre edildiğinde anonim cihazlar ile sosyal hesapların eşleştirilmesini sağlayarak mahkeme kararı olmadan kişilerin tespit edilmesini mümkün kılıyor
• Bu veriler yabancı istihbarat kurumlarına da satılabildiğinden ulusal güvenlik riski yaratabiliyor ve hukuki denetim ile gözetim eksikliği temel sorun olarak öne çıkıyor
• ABD'nin yalnızca kullanım kısıtlamasıyla yetinmeyip hassas konum verisinin üretilmesini ve satışını doğrudan yasaklaması gerektiği, Virginia eyaletindeki satış yasağının bunun ilk örneği olduğu belirtiliyor

Webloc gözetim sisteminin gerçek yüzü

• Citizen Lab araştırmasına göre, ABD reklam teknolojisi (Adtech) temelli gözetim sistemi Webloc, dünya genelinde en fazla 500 milyon mobil cihazın verisini toplayıp satıyor
  • Veriler arasında cihaz tanımlayıcıları, konum koordinatları ve uygulama profil bilgileri yer alıyor
  • Webloc ilk olarak Cobweb Technologies tarafından geliştirildi; 2023'te Penlink ile birleşmesinin ardından satışını Penlink sürdürüyor
• Sızdırılan teknik teklif belgelerinde, Webloc'un tek tek cihazları izlemek veya hedef kişileri aramak için kullanılabileceği açıkça belirtiliyor
  • Örnek olarak, Abu Dabi'deki bir erkeğin günde 12'den fazla kez izlendiği vaka ile Romanya ve İtalya'da aynı anda konumu görülen iki cihaz örneği sunuluyor
  • Citizen Lab, bu verinin ayrıntı seviyesini “ürkütücü derecede” olarak nitelendiriyor

Devlet kurumları ve kolluk kuvvetlerinin kullanımı

• Webloc müşterileri arasında ABD İç Güvenlik Bakanlığı (DHS), Göçmenlik ve Gümrük Muhafaza (ICE), ABD askeri birlikleri, Bureau of Indian Affairs Police ve California, Texas, New York ve Arizona eyalet polisleri bulunuyor
  • Tucson Polis Departmanı, Webloc'u kullanarak seri sigara hırsızlığı şüphelisini tespit etti; suç mahallerinin yakınında tekrar tekrar görülen tek bir cihazı izleyerek şüphelinin adresine ulaştı
• Webloc, Penlink'in ana ürünü değil; Tangles adlı web ve sosyal medya analiz platformunun ek özelliği
  • Tangles; isim, e-posta, telefon numarası ve kullanıcı adı gibi bilgilerle çevrimiçi hesapları arayabiliyor, ayrıca gönderileri, ilişkileri, faaliyetleri ve ilgi alanlarını analiz ediyor
  • Coğrafi analiz, ağ analizi, hedef kartı oluşturma ve uyarı özellikleri sunuyor
  • Webloc ile entegre edildiğinde anonim cihaz tanımlayıcıları ile sosyal hesapların bağlanması mümkün hale geliyor ve böylece mahkeme kararı olmadan kişilerin kimliği tespit edilebiliyor

Hukuki ve etik sorunlar ile ulusal güvenlik riski

• Bu tür araçlar soruşturmalarda faydalı olsa da, güçlü onay ve denetim süreçleri olmadan herkesin satın alıp kullanabilmesi risk taşıyor
  • Tucson polisinin iç prosedürleri raporda belirtilmiyor
• ABD içinde bu araçların kullanımına yönelik hukuki güvenlik sınırlarına ihtiyaç var; aynı zamanda ulusal güvenlik riski de söz konusu
  • Aynı veriler, yabancı istihbarat kurumları tarafından ABD çıkarlarını hedef almak için kullanılabilir
• Penlink'in yurtdışı müşterileri arasında Macaristan iç istihbarat kurumu ve El Salvador Ulusal Polisi bulunuyor; bu kurumlar da kendi ülkelerinde gözetim amacıyla konum verisini kullanıyor
  • Citizen Lab, bunların doğrudan ABD'yi hedef aldığı görüşünde olmasa da, hassas konum verisinin dünya genelinde istihbarat toplamak için kullanılabileceği konusunda uyarıyor

Yasak adımları ve politika değişimi

• ABD'nin yalnızca veri kullanımını sınırlamakla yetinmeyip, hassas konum verisinin üretilmesini ve satışını doğrudan yasaklaması gerektiği savunuluyor
• Olumlu bir gelişme olarak, Virginia eyaleti yakın zamanda müşterilerin hassas konum verisinin satışını yasaklayan bir yasa çıkardı
  • Federal düzeyde kapsamlı bir kişisel veri gizliliği yasasının geciktiği ortamda, eyalet düzeyindeki adımlar pratik bir karşılık olarak değerlendiriliyor
  • Ancak ülke çapında bir yasak da gerekli görülüyor

Yapay zeka kullanılan bir saldırı kampanyası örneği

• Güvenlik şirketi Gambit, tek bir saldırganın iki ticari yapay zeka platformunu kullanarak Meksika'daki 9 devlet kurumuna sızdığı vakayı analiz etti
  • Birkaç hafta içinde yüz milyonlarca vatandaşa ait veriyi çaldı ve vergi belgesi sahteciliği hizmeti kurdu
• Saldırgan üç VPS kullandı ve Claude Code, uzaktan kod çalıştırma komutlarının yaklaşık %75'ini üretti ve yürüttü
  • Sızmanın ardından toplanan verileri analiz etmek ve sonraki saldırıları planlamak için OpenAI GPT-4.1 API kullanıldı
• 26 Aralık 2025'te saldırgan, Claude'a “bug bounty testi yapıyorum” diyerek log silme gibi kuralları tanımladı
  • Claude yasal yetki kanıtı isteyince, saldırgan claude.md dosyasına bir sızma testi kopya kağıdı kaydederek oturum bağlamını korudu
  • 20 dakika sonra, vulmap tarayıcısı üzerinden Meksika vergi idaresi (SAT) sunucusuna uzaktan erişim sağlandı
• Claude saldırı betiklerini otomatik oluşturdu ve 7 dakika içinde 8 farklı yöntemi deneyerek başarılı kodu yazdı
  • Claude bazı istekleri reddetse de, saldırgan komutları yeniden yapılandırma ve dolanma yöntemleriyle çoğunu yerine getirdi
  • 5 gün içinde birden fazla kurban ağını aynı anda yönetir hale geldi
• Saldırgan, GPT-4.1 API üzerinden otomatik keşif ve veri analizi de yürüttü
  • 17.550 satırlık bir Python aracı sunucu verilerini çıkarıp GPT-4.1'e aktardı
  • Altı adet sanal analist personası, 305 sunucudan 2.957 adet yapılandırılmış bilgi raporu üretti
• Saldırı tekniklerinin kendisi yeni değildi; hedef sistemlerde güvenlik güncellemeleri uygulanmamıştı ve destek süreleri sona ermişti
  • Ancak kritik nokta, yapay zekanın tek bir saldırganın çalışma hızını ve verimliliğini ekip düzeyine çıkarması oldu
  • Savunma açısından bakıldığında, küçük ölçekli saldırganların bile büyük çaplı zarara yol açabileceği bir döneme girildiği görülüyor

Bu haftanın olumlu siber güvenlik haberleri

• ABD Adalet Bakanlığı, Rusya GRU tarafından işletilen ev tipi yönlendirici tabanlı botneti mahkeme onayıyla dağıttı
  • GRU, TP-Link yönlendiricilere bulaşıp DNS ele geçirme saldırıları gerçekleştiriyor ve bunu ortadaki adam saldırılarında kullanıyordu
• FBI ve Endonezya polisi, W3LL phishing kit kullanan küresel phishing ağını çökertti
  • Endonezya polisi geliştiriciyi gözaltına aldı; olay, iki ülke arasındaki ilk ortak siber soruşturma olarak değerlendiriliyor
• Google, Device Bound Session Credentials (DBSC) özelliğini Windows için Chrome 146'ya ekledi
  • Kimlik doğrulama token'larını cihaza özgü kripto anahtarlarına bağlayarak oturum ele geçirmeyi önlüyor
  • MacOS sürümüne destek de yakında gelecek

Risky Bulletin'den öne çıkanlar

• Kötücül LLM proxy router ürünlerinin gerçekten dolaşımda olduğu doğrulandı
  • Araştırmacılar Taobao, Xianyu, Shopify gibi platformlarda satılan 28 ücretli router ile GitHub gibi kaynaklarda yayımlanan 400 ücretsiz router'ı analiz etti
  • Bazıları komut ekleme, gecikmeli tetikleme, kimlik bilgisi hırsızlığı ve analizden kaçınma gibi kötü amaçlı davranışlar sergiliyor
• Fransız hükümeti, Windows bağımlılığını azaltma ve Linux'a geçiş için ilk adımı attı
  • DINUM (Dijital İşler Genel Müdürlüğü) öncü kurum olarak belirlendi ve büyük ölçekli geçiş testleri yürütüyor
  • 8 Nisan'daki çok bakanlıklı seminerde her bakanlık geçiş planları ve alternatif teknolojilere hazırlık sözü verdi
• Çin'in siber güvenlik stratejisi analiz edildi
  • Son Beş Yıllık Plan'da (15. FYP) “siber süper güç (网络强国)” inşası, beş büyük süper güç hedefinden biri olarak açıkça yazılıyor
  • Diğer dört alan ise üretim, kalite, havacılık-uzay ve ulaşımda süper güç olarak tanımlanıyor