- Stanford kampüsünde popülerlik kazanan anonim sosyal uygulama Fizz'i iyi niyetle inceleyen öğrenciler, veritabanının tamamına okuma-yazma erişimi ve anonimleştirilmemiş kullanıcı ve gönderi bilgileri buldu
- Araştırmacılar bir güvenlik açığı ifşa raporu ve düzeltme önerileri gönderdi; Fizz'in sorunu gidermesi için açıklamayı ertelemeyi de kabul ettiler, ancak sonrasında tutum hukuki tehditlere dönüştü
- Fizz, eyalet ve federal yasa ihlalleri, hukuki ve cezai sorumluluk ile 20 yıl hapis ihtimalinden söz ederek bulguların açıklanmamasını talep etti
- Araştırmacılar, Electronic Frontier Foundation'dan Kurt Opsahl ve Andrew Crocker tarafından ücretsiz hukuki temsil aldı ve susturma baskısına boyun eğmedi
- İyi niyetli güvenlik araştırmalarında bile amaç, kapsam ve eylem kayıtlarını tutmak; veri saklama, sızdırma ve hesap manipülasyonundan kaçınmak; hukuki tehditlere tek başına karşılık vermemek daha güvenlidir
Fizz'de bulunan güvenlik sorunu
- Stanford öğrenci girişimi Fizz'in anonim sosyal medya uygulaması kampüste popülerlik kazanıyordu ve uygulama kendisini “100% secure”a yakın ifadelerle tanıtıyordu
- Kullanıcıların hassas hikâyeler paylaştığı bir alan olduğu için, güvenliğe ilgi duyan öğrenciler bu bilgilerin gerçekten güvende olup olmadığını kontrol etmek istedi
- Birkaç saat içinde Fizz veritabanına tam okuma-yazma erişimi sağlanabildi
- Veritabanında kullanıcı ve gönderi bilgileri tutuluyordu
- Bu bilgiler tamamen anonimleştirilmiş durumda değildi
- Araştırmacılar, Fizz'de neredeyse hiç güvenlik koruması olmadığı sonucuna vardı
Sorumlu açıklamadan hukuki tehdide
- Araştırmacılar bulgularını bir güvenlik açığı ifşa raporu halinde derleyip Fizz'e e-postayla gönderdi
- Raporda bulunan sorunlar ve düzeltme önerileri yer alıyordu; ayrıca Fizz'in düzeltme için zaman kazanabilmesi adına belirli bir açıklama erteleme tarihine kadar bunları kamuya açık biçimde paylaşmayacaklarını önceden kabul ettiler
- Fizz ilk başta rapor için teşekkür etti ve sorunu düzeltmenin en yüksek öncelikleri olduğunu söyledi; birkaç hafta boyunca bazı güncellemeler de gönderdi
- Daha sonra tavır değişti ve araştırmacılara eyalet ve federal yasa ihlalleri ile hukuki ve cezai sorumluluktan söz eden tehditler gönderildi
- Tehditlerde 20 yıl hapis ihtimali de yer alıyordu
- Temel talep, bulguların açıklanmamasıydı
- Yapı, sessiz kalmayı kabul etmeleri halinde hukuki işlem başlatılmayacağı şeklindeydi ve yanıt süresi 5 gündü
- Araştırmacılar bunu korkutarak susturma girişimi olarak değerlendirdi
EFF'nin hukuki desteği ve çözüm
- Araştırmacılar ağlarından yardım istedi ve birkaç gün içinde Electronic Frontier Foundation'dan Kurt Opsahl ve Andrew Crocker ile bağlantı kurdu
- İkili araştırmacıları ücretsiz temsil etmeyi kabul etti; araştırmacılar da açıklama sürecini ve ilgili belgeleri avukatlara anlattı
- Hukuki tavsiye aldıktan sonra araştırmacılar Fizz'in tehditlerine boyun eğmemeye karar verdi
- Kurt ve Andrew, Fizz'e gönderilecek yanıtı hazırladı; ardından Fizz ekibi bir görüşme talep etti
- Taraflar durumu yapıcı biçimde çözdü ve araştırmacılar, Fizz'in sorunu kullanıcılara proaktif şekilde açıklaması için baskı yaptı
- Fizz sonunda sorunu kullanıcılarına açıkladı
Güvenlik araştırmacılarının uyması gereken ilkeler
- Araştırmayı meşru ve belgelenmiş durumda tutmak gerekir
- Araştırmadan önce amaç net olmalı ve etik sınırların aşılmadığı doğrulanmalıdır
- Araştırmacılar erişebildikleri verileri saklamadı veya sızdırmadı
- Başkalarının hesaplarını manipüle etmedi ve zarara yol açmadı
- Tüm çalışmaları ayrıntılı biçimde belgeledi; bu da güvenlik açığı ifşa raporunun hazırlanmasına ve hukuki yanıta yardımcı oldu
- Sakin bir yaklaşım gerekir
- Hukuki tehdit alınsa bile profesyonelce yanıt vermek gerekir
- Amaç, sorunu büyütmeden durumu çözmektir
- Duygusal e-posta yanıtları yapıcı çözüm olasılığını zedeleyebilir
-
Avukat bulmalısınız
- Hukuki tehditleri tek başınıza ele almaya çalışmak büyük bir hata olabilir
- Fizz'in, araştırmacıların safça tehdide boyun eğmesini beklediği düşünülüyor
- Herkes EFF'den ücretsiz temsil alamayabilir, ancak iyi niyetli güvenlik araştırmacıları için kaynaklar arttığından bunlardan yararlanılmalıdır
1 yorum
Hacker News yorumları
Avukat değilim ama işim gereği hukukun bu tuhaf alanıyla ilgileniyorum; EFF kadrosundaki avukatın burada biraz zorlama bir iddiada bulunmuş gibi görünüyor
Fizz bir istemci/sunucu uygulaması, muhtemelen bir web uygulaması gibi görünüyor; araştırmacıların test ettiği şey de Fizz sunucularında çalışan yazılımdı
Açığı bulduktan sonra araştırmacılar elde ettikleri veritabanı etkinliğini kullanarak bir yönetici hesabı oluşturdu ve bu test için hiçbir zaman izin almamışlardı
Bu olgular doğruysa, bilmediğim bir California yasası olmadığı sürece —ki olsa bile federal hukukun üstünlüğü nedeniyle bunun önemsiz olmayacağını sanıyorum— EFF yanıtındaki iddianın aksine, bunların CFAA’yı oldukça doğrudan ihlal ettiğini düşünüyorum
Ancak hukuki riski azaltan en az üç unsur var: Açıklananlardan ve sonraki davranışlarından bunun iyi niyetli güvenlik araştırması olduğu açık, bu da kovuşturma için cazip bir hedef yapmıyor; anlamlı bir zarar olup olmadığı da belirsiz; ayrıca Fizz küçük ve yeni bir şirket olduğu için işin adli bilişim firmasına ya da sigorta şirketi uzlaşmasına kadar gitmiş olma ihtimali de düşük görünüyor
Ayrıca Fizz avukatlarının araştırmacılardan değerli tavizler koparmak için ceza kovuşturması tehdidinde bulunması, EFF’nin belirttiği gibi eyalet barosu kurallarının ihlali
Burada iyi taraf kazanmış gibi görünüyor, ama buradan çok fazla ders genellemek konusunda temkinliyim. Bu Fizz değil de Dunder Mifflin Infinity’nin sosyal özelliği olsaydı sonuç çok daha sert olabilirdi
https://www.justice.gov/opa/pr/department-justice-announces-...
“Zarar tutarı”nın büyüklüğünü mağdurun eline bırakıyor; büyük bürokratik kurumlar açısından önemsiz ama mutlak değer olarak büyük kaynakları keyfî biçimde harcatıp, kendilerini utandıran kusurlu bir aktöre ağır cezalar bindirmek için kaynak israf etmeye yönelik çarpık bir teşvik yaratıyor
Böyle bir önlem meşru sınırlar içinde olsa bile, bunun gerekliliğini haber veren kişiye maliyeti yıkmak da uygunsuz. Kamuya açık bir hizmeti ciddi bir açıkla çalıştırdıysanız, bu kişinin uygunsuz davranıp davranmadığından bağımsız olarak başka birinin bunu istismar etmiş olma ihtimalini değerlendirmeniz gerekir
Bu maliyetin nedeni, savunmasız hizmeti işletmeye yönelik kendi eyleminizdir; açığı kendiniz keşfetmiş olsanız bile, hizmet yayına alındıktan sonra katlanmanız gereken bir maliyetti
Davalıya atfedilecek zarar, gerçekten yol açtığı zararla sınırlı olmalı; örneğin erişim hakkını kullanarak müşterilerin finansal bilgilerini elde edip kredi kartı dolandırıcılığı yapmak gibi
Uygulama yapılandırması o kadar kötü ki yalnızca Firebase protokolünü izlemek veritabanına yazma yetkisi veriyorsa, aslında bir güvenlik önleminin aşılmadığı kolayca savunulabilir. Çünkü aşılacak bir güvenlik önlemi zaten yoktu
AT&T’nin iPad veri abonelerinin bilgilerini listelenmemiş bir web sayfasına öylece koyduğu olay aklıma geliyor. Sonucu hatırlamıyorum ama o zaman ilgili kişinin elde edebileceği verileri olabildiğince kazımaya çalıştığını biliyorum; buradakinden farklı
Orijinal metinde bir “mea culpa” yok gibi görünüyor; yazının tonu “bu insanların ne yapmaya çalıştığına inanabiliyor musunuz?” tarzı meme’vari olsa bile umarım derslerini almışlardır
Niyetleri iyi görünüyor, ama yasayı oldukça açık biçimde ihlal etmiş gibi duruyorlar
Geçen yıl DOJ, “iyi niyetli güvenlik araştırması” yapan kişileri kovuşturmamak üzere CFAA kovuşturma politikasını güncelledi [1]
CFAA kötü şöhretli biçimde geniş kapsamlı olduğu için, DOJ politikası güvenlik araştırmalarının yasallığını daha açık hâle getirecek bir yasa değişikliğine kıyasla oldukça yetersiz kalıyor
Yeni bir yönetimde politika değişebileceğinden hâlâ risk var, ama resmîleştirilmeden öncesine göre daha az riskli
[1] https://www.justice.gov/opa/pr/department-justice-announces-...
Sözleşmelerde ya da özellikle tehditkâr hukuki yazışmalarda, metni yazan tarafın içeriği doğru yazmamasının neredeyse hiç sonucuna katlanmamasını anlamak zor.
Çalışan sözleşmelerinde “bu sözleşmenin bir bölümü geçersiz olsa bile geri kalanı geçersiz sayılmaz” gibi ifadeler gördüm. İşveren kendi kurallarını uygulamaya çalışıyor; bu kendi başına makul, ama izin verilmeyen şeyleri yazmanın bir yaptırımı yok. En fazla mahkeme o hükmü geçersiz sayıyor.
Yük okuyucunun üzerinde ve genelde okuyucu çok daha zayıf taraf oluyor.
Burada da bir şirketin “bunun yüzünden 20 yıl federal hapishaneye girebilirsin!” gibi tehdit mektupları gönderebilmesinin gerekçesi ne? Açıkça yalan olmasına rağmen.
Makul içerik sağlama yükü yazanın üzerinde olmalı değil mi? Saçma ve kanıtlanabilir biçimde yanlışsa, “aa, yok sayalım”dan daha büyük olumsuz sonuçları olması gerekmez mi?
Neyin temel olduğu ise dediğin gibi mahkeme tarafından yorumlanır.
Çalışan sözleşmesi örneğinde bölünebilirlik aslında birey olarak seni de korur. Çünkü bazı hükümler geçersiz hale gelse bile, seni koruyan hükümler de dahil olmak üzere anlaşmanın geri kalanı geçerliliğini sürdürür.
Sözleşmenin tamamı geçersiz olursa hiçbir şey yokmuş gibi baştan başlamak gerekir ve muhtemelen işini de kaybedebilirsin. Bir miktar koruma, sıfırdan iyidir.
Her iki tarafın da küçük teknik nedenlerle tüm hukuki yükümlülüklerden sıyrılmasını ya da hukuki denetimden geçemeyecek zehirli hükümleri bilerek eklemesini engeller.
Sözleşmenin bir kısmı geçersiz olursa o kısım kullanılamaz. O kısmın geçersizliği sözleşmeyi temelden değiştiriyorsa sözleşmenin tamamı geçersiz olur. Burada daha ne istendiğini bilmiyorum.
Kötü sözleşme hazırlamaya karşı cezalandırıcı bir tepki öneriyor gibisin; bu da tüm hukuki ve ticari ilişki kurma süreçleri üzerinde caydırıcı etki yaratabileceği için oldukça kötü bir fikir gibi görünüyor.
Güçlü hukuk yazarlarına erişmesi zor olan zayıf tarafın bundan daha çok zarar görmesi de olası. Sözleşme metninde değişiklik pazarlığı yapmak bile müzakereci için bir sorumluluk mayın tarlasına dönüşürse, karşısında tüm bir hukuk ekibi bulunan küçük aktörün sorumluluk yükü daha da orantısız hale gelmez mi?
Hayal ettiğin dünyanın, zayıf taraflar için bugünkünden daha büyük riskler yaratmayacak şekilde nasıl işleyeceğini pek göremiyorum.
İyi niyetli bağlamlarda hukuk ve içtihat hızla değişir; bazen hâkimin keyfine göre farklılaşır ve net içtihadın olmadığı ya da rehberliğin bulanık olduğu birçok hukuk alanı vardır.
Böyle durumlarda küçük bir hüküm mahkemede ayakta kalamadı diye tüm sözleşmenin yeniden müzakere edilmemesi için bölünebilirlik önemlidir.
Örneğin rekabet yasağı hükmü içeren bir iş sözleşmesini düşünürsek, şirket tüm bölgelerde aynı sözleşmeyi kullanabilir; rekabet yasağının yasa dışı olduğu eyaletlerde de bölünebilirlik hükmü sayesinde her yargı çevresi için ayrı sözleşme hazırlamak zorunda kalmaz.
Bir eyalet geçmişte rekabet yasağına izin verirken sonradan bunu yasaklayan bir yasa çıkarırsa, rekabet yasağı hükmü içeren tüm iş sözleşmeleri bir anda geçersiz mi olmalı? Elbette hayır. Bölünebilirliğin rolü budur.
Asıl metindeki tehdidin bağlamını bilmek de zor, ama “bilgisayar ağımıza yetkisiz erişim XYZ yasası kapsamında federal suçtur ve 20 yıla kadar hapis cezası doğurabilir” gibi bir ifade olmuş olabilir.
Sıradan biri için son derece korkutucu, ama teknik olarak yalan değil; çoğu avukat bunun saçmalık olduğunu düşünüp gözlerini devirirdi, fakat yeterince niteleyici ifade eklendiğinde çizginin nerede çekileceği zorlaşır.
Sonuçta bu tür belgeler genelde sıradan insanlar için tasarlanmamış hukuk diliyle avukatlar tarafından yazılır. Üniversite öğrencilerine böyle bir tehditte bulunmak berbat bir şey ve şirket adına bu mektubu yazıp gönderen avukat şirkete son derece kötü tavsiye vermiş demektir.
Baroya şikâyet edilebilir, ama böyle bir durumda ikna edici bir dosya oluşturmak çok zor gibi görünüyor.
Toplu pazarlığın önemli olmasının nedenlerinden biri de bu. Sendika, şirket avukatlarına karşı koyacak hukuki temsilciliği karşılayabilir; bireysel çalışan içinse bu zordur.
Amerikan sistemi “herkes kendi hukuki masrafını öder” yaklaşımına sahip olduğu için mağdurun dava açmasını kolaylaştırır.
Buna karşılık İngiltere’de genelde “kaybeden taraf iki tarafın hukuki masraflarını öder” yaklaşımı vardır; bu da ciddi zarar görmüş olsalar bile birçok davacının dava açmaktan çekinmesine yol açar.
Böyle bir tehditle ne tür bir zarar gördün ve adil tazminat ne kadar? Tazminat almak için avukat tutup dava açmanın maliyeti nedir ve kazanma olasılığı ne kadar?
Tehdit mektubunu gönderen taraf da muhtemelen aynı tür soruları kendine sormuştur.
Karşı tarafın daha fazla kaynağı olduğu için bunun adaletsiz olduğunu düşünüyorsan, bu daha genel bir toplumsal sorundur. Daha çok paran varsa her türlü adalete daha iyi erişebilirsin.
Bu yazı, günümüzde güvenlik açığı açıklama süreçlerinin genel olarak olumlu yönde değiştiğini gösteriyor gibi.
90’larda tüm şirketler böyleydi. Şirketler dava açmakla tehdit ederdi ve açıklamanın kendisi hukuken şüpheli görünürdü. Forumlarda veya BBS’lerde, en başta açıklamanın güvenli olup olmadığı tartışılır; anonim e-posta hesabı gibi öneriler dolaşırdı.
Elbette bugün de bunun bir kısmı hâlâ var. Özellikle eski usul şirketlerde ya da buradaki gibi saf üniversite öğrencileri söz konusuysa; ama genel olarak, açıklama lehine dramatik biçimde değişti.
Güvenlik araştırmacılarının kimliğini koruyan özel aracılar, açıklamayı teşvik edip öven büyük şirketler, altı haneli bug bounty’ler, güvenlik araştırmacılarına daha dost hâle gelen yasalar bile var.
Yazar için epey tatsız bir olay olmuş olmalı; ama eskiden bu tür durumların standart, hatta daha kötü olduğunu ve şimdi bir ölçüde nadirleştiğini hatırlatan iyi bir reminder.
Birçok şirket bug bounty’yi benimsediği ve kendilerine karşı bu tür faaliyetleri teşvik ettiği için, ne yazık ki “çocuklara” bunun tamamen yasal, ahlaki ve etik olduğu öğretilmiş oluyor.
Ama bu hikâyede görüldüğü gibi, gerçekte zar atıyorsunuz; bu sefer sadece işler iyi sonuçlanmış.
Hedefin işbirliğini açıkça belirtilmiş bir bug bounty programı üzerinden almadıysanız, anonim e-posta gibi yöntemler hâlâ daha iyi bir fikir olabilir. Ancak bu, güvenlik araştırmacısının “adını duyurmasına” yardımcı olmaz.
Aslında fiilen izinsiz giriş yaptığını kabul etmek anlamına da gelir. Benzetmeyle söylersek, kilitli olmayan bir kapıdan içeri girip sadece buzdolabının içine bakılıp bakılamayacağını kontrol etmiş olsanız bile aynı şey.
Kamuoyu mahkemesinde bir şirketin yalanlarını ortaya çıkarmaya yardımcı olmuş gibi görünebilirsiniz; ama gerçek mahkemede bir suçtan suçlu olduğunuz gerçeği değişmez.
Bu anlamda tipik 90’lar tarzı misillemeden farklı. Öğrenciler açısından oldukça korkutucu olmuş olmalı.
Varlıklı ebeveynlerin devreye girmiş olma ihtimalini de göz ardı etmem; tabii durum veya kişiler hakkında bir şey bilmiyorum.
Müthiş bir hikâye. Stanford Daily makalesinde avukatların karşılıklı gönderdiği mektupların kopyaları var ve oldukça sert. EFF devreye girmeseydi bunları okuyamayacaktık.
https://stanforddaily.com/2022/11/01/opinion-fizz-previously...
Stanford Daily makalesine göre: “O dönemde Fizz, kullanıcı bilgilerini ve gönderileri vb. saklamak için Google’ın Firestore veritabanı ürününü kullanıyordu… Fizz gerekli güvenlik kurallarını ayarlamadığı için herkes veritabanını doğrudan sorgulayabiliyordu… Tüm kullanıcıların telefon numaralarına ve/veya e-posta adreslerine tam erişim vardı; gönderiler ve upvote’lar bu kimlik bilgilerine doğrudan bağlanabiliyordu… Üstelik veritabanının tamamı düzenlenebilir durumdaydı. Herkes gönderileri, karma değerlerini, moderatör durumunu vb. düzenleyebiliyordu.”
Bu gerçekten akıl almaz.
İstemci veritabanına doğrudan yazdığı için genellikle yetki kontrolleri unutuluyor ve istemcinin yalnızca kendi nesnelerine yazacağına güveniliyor.
Uzun zaman önce Firebase kullanıcı değerini
isAdmin=trueolarak değiştirip bir elektrikli scooter şirketinde yönetici erişimi elde etmiştim; sonra da yanlışlıkla kiraladığım scooter’ı Firebase’den silmiştim. O scooter’a sonrasında ne oldu bilmiyorum.Uygulama içindeki harita yalnızca yaklaşık konumu gösteriyordu ve belirli bir zoom seviyesinde pinler kayboluyordu.
mitmproxyile istekleri yeniden yazınca, reşit olmayanların 18 yaş üstünü aramasını veya yetişkinlerin reşit olmayanları aramasını engelleyen filtreler de aşılabiliyordu; konum ve cinsiyet gibi sadece ücretli kullanıcılara açık filtreler de aşılabiliyordu. Ücretli durum sunucu tarafında doğrulanmıyordu.Uygulama ID’sini ve herkese açık frontend uygulamasında bulunan API değerlerini girip, isteğe bağlı olarak oturum ID’sini de destekleyen; yalnızca oturum açmış kullanıcılara görünen hafif güvenlik kuralları kullanan Firestore uygulamalarını da ele alabilen ve JavaScript kodunda bulunan koleksiyon adlarını alıp keşif yapan bir web aracı hayal ediyorum.
İlginç şekilde Fizz’den Ashton Cofer ve Teddy Solomon, hataları ortaya çıkınca PR hasar kontrolü yapmaya çalışmış: https://stanforddaily.com/2022/11/01/opinion-fizz-previously...
Verdikleri yanıt zayıftı ve sonrasında bu olay hakkında yorum yapmayı reddetmiş gibi görünüyorlar.
“Fizz, 7 Aralık 2021’de ‘Security Improvements Regarding Fizz’ başlıklı bir açıklama yayımladı; ancak bu yazının yayımlandığı an itibarıyla ilgili sayfaya Fizz web sitesinden ya da Google aramasından artık ulaşılamıyor” deniyor.
Ayrıca uygulamanın hâlâ “anonim” kullanıcı etkinlikleriyle ilgili kişisel olarak tanımlanabilir bilgiler saklıyor olma ihtimali yüksek görünüyor.
“Dahası, verilerimizin içeride anonimleştirilmiş olup olmadığını hâlâ bilmiyoruz. Kurucular geçen yıl The Daily’ye kullanıcıların geliştiriciler tarafından tanımlanabilir olduğunu söyledi ve Fizz’in gizlilik politikası bunun hâlâ böyle olduğuna işaret ediyor” deniyor.
Buradaki “geliştiriciler” arasında, bu konu hakkında yorum yapmayı reddeden, şirketin ilgili iletişimlerini kaldıran ve başlangıçta tamamen sızdıran bir kovayı “%100 güvenli sosyal medya uygulaması” diye pazarlayıp yakalanınca hukuki tehditlere başvuran o kurucular da yer alıyor olabilir.
Bilgilerimi Fizz’e koymak hiç içimden gelmiyor.
Hukuki tehditlerde bulunup sonuçlarından kaçınabilirken, fiziksel şiddet tehdidinde bulununca hapse girebilmenizin nedeni ne?
Yasal bir eylem yapma tehdidinde bulunmak genel olarak yasaldır. Örneğin yetkililere bildirmekle tehdit etmek yasa dışı değildir.
“Tehdidin sonunda bir talep vardı: Bulduklarımızı asla kamuya açık şekilde anlatmamamız. Özünde, sessiz kalmayı kabul edersek yasal işlem başlatmayacakları anlamına geliyordu.”
Hukuken böyle bir talep, eyalet savcılığı veya polisle konuşmayı da engelleyebilir mi?
“%100 güvenli” olduğunu iddia edip gerçekte güvenli olmadığını, kullanıcıların şirketin ya da asgari düzeyde yetkin bir hacker’ın gözetlemesine karşı hiçbir koruması olmadığını biliyorlarsa, bu en azından dolandırıcılıktır ve suç niteliğinde dinlemeye daha yakındır. Çünkü kullanıcıları, “%100 güvenli” olduğuna inanıp sırlarını servise açmaları için kasıtlı olarak kandırıyorlar.
Bu işin “dostane” biçimde sonuçlanması açıkçası adaletin başarısızlığıdır. Fizz ekibi dolandırıcılıkla suçlanmalı.
ABD’de şirketlere vatandaşlardan daha fazla değer verilir. ABD reklamları yanlış iddialarla doludur.
Kelimelerin anlamı yokmuş gibi davranarak bunu görmezden geliyoruz.
İlginç. Bizim okulda da SideChat adında çok benzer bir platform var; pek farklı olduğunu sanmıyorum.
Geçen yıl “cinsiyeti olumlayan tedavi”nin geçerliliğini sorguladığım için kalıcı olarak engellendiğimden, hakkımda ne kadar şey biliyor olabileceklerini merak ediyorum.
Gazetecilik açısından bakınca, Fizz’i kamuoyunun önünde işaret etmeleri harika. “Fizz kullanıcı verilerini korumadı. Sonra ne oldu?”
Bu “birisi hackledi” değil; Fizz’in söz verdiği şeyi yapamamış olması.
Açığın hâlâ giderilip giderilmediğinin test edilip edilmediğini merak ediyorum.
Ancak kullanıcı verileri, daha önce iddia edildiği gibi içeride tamamen anonimleştirilmiş görünmüyor.