- ABD'de kapsamlı bir federal kişisel veri gizliliği yasası bulunmazken, cep telefonu uygulamalarından toplanan kişisel veriler hedefli reklamcılık endüstrisi üzerinden devlet gözetimi aracına dönüşüyor
- Devlet, normalde mahkeme kararı veya arama emri gerektiren kullanıcı verilerine bile veri brokerlarından satın alarak erişebildiği için şirket gözetimi ile kamu gücü gözetimi arasındaki sınır bulanıklaşıyor
- Wall Street Journal araştırmasına göre Near Intelligence, reklam amaçlı veri brokerlarından 1 milyardan fazla cihaz verisi satın aldı ve bunu devlet yüklenicileri aracılığıyla federal askerî ve istihbarat kurumlarına aktaran sözleşmeler yaptı
- Konum verileri, protestolara katılanları, belirli tesisleri ziyaret edenleri, gazetecilerle muhbirler arasındaki temasları izlemek için kullanılabildiğinden, mahremiyet ihlalinin ötesinde misilleme ve yanlış teşhis riskini de büyütüyor
- Çözüm olarak, devletin arama emri olmadan elde edemeyeceği verileri satın almasını engelleyen Fourth Amendment is Not For Sale Act ile kapsamlı bir tüketici verisi gizlilik yasasının çıkarılması gösteriliyor
Reklam verilerinin devlet gözetimine dönüşme yolu
- ABD'de kapsamlı federal kişisel veri gizliliği mevzuatı yok ve hedefli reklamcılık endüstrisi, cep telefonu uygulamalarında toplanan kişisel verilere dayanarak çalışıyor
- Şirket gözetimi ile devlet gözetimi arasındaki çizgiyi zayıflatan temel unsur, verinin satın alınma yapısı
- Veri tamamen şifrelenmediyse veya kullanıcı tarafından doğrudan yerelde saklanmıyorsa, devlet iletişim ve bilişim şirketlerinden bu verileri alabiliyor
- Geleneksel olarak bunun için mahkeme kararı gerekiyordu, ancak artık reklam teknolojisi sektöründen veri satın alan brokerlardan devletin doğrudan veri satın aldığı örnekler artıyor
Near Intelligence vakası
- Wall Street Journal araştırması, Near Intelligence adlı şirketin veri ticareti yapısını ortaya koydu
- Near Intelligence, normalde reklamverenlere satılan kişi ve cihaz verilerini brokerlardan satın alıyor
- Şirket, 1 milyardan fazla cihaz hakkında veri satın aldığını açıkladı
- Devlet yüklenicileriyle sözleşme yaptı ve bu veriler federal askerî ve istihbarat kurumlarına aktarıldı
- Devlet, normalde güçlü gerekçe gösterip arama emri alması gereken konum bilgilerine de bu yolla erişim hakkı satın alabiliyor
- Pek çok akıllı telefon uygulaması geliştiricisi, gelir elde etmek için kullanıcı verilerini en yüksek fiyatı verene satmak istiyor ve alıcılar arasında devlet de yer alabiliyor
Arama emri olmadan konum takibinin yaratabileceği zarar
- Polis, bu tür gözetim araçlarıyla protestolara katılan kişilerin cihazlarını tespit edip onları uyudukları eve kadar takip ederek ek gözetim, taciz veya misilleme hedefi hâline getirebilir
- Yalnızca belirli bir yerin içinde bulunmuş cihazları izlemek de mümkün
- göçmenlik avukatlığı ofisleri
- üreme sağlığı klinikleri
- ruh sağlığı tesisleri
- Gazeteciler ile muhbirlerin gizlice buluştuğu durumlar da bu araçlarla gözetlenebilir
- Kolluk kuvvetleri mensuplarının gözetim teknolojilerini kişisel kötü niyetli nedenlerle kötüye kullandığı örnekler de var
Aşırı polislik yapılan bölgeler ve yanlış teşhis riski
- Bu tür gözetim, polis faaliyetinin yoğun olduğu bölgelerde yaşayan ve çalışan kişileri polisin şüphe hedefi olmaya daha açık hâle getiriyor
- Bir soygunun yaşandığı pizzacının yanında bulunmuş olmak ya da grafitinin yakınında kahve molası vermek bile, suç mahalline yakın cihazlar arasında sınıflandırılmanıza ve ek gözetim hedefi olmanıza yol açabilir
Fog Data Science ve mevzuat çağrısı
- Near Intelligence vakası, EFF'nin Fog Data Science üzerine yaptığı araştırmadan 1 yıl sonra ortaya çıktı
- Fog Data Science, eyalet ve yerel kolluk kuvvetlerine yüz milyonlarca Amerikalının hassas ve sürekli konum bilgilerine erişim sağlayan bir şirketti
- Bu veriler akıllı telefon uygulamalarından toplandıktan sonra şeffaf olmayan veri brokerları tarafından bir araya getiriliyordu
- Erişim kolaydı ve çoğu zaman arama emri olmadan sağlanıyordu
- Kongre'nin kapatması gereken temel açık, veri brokerı boşluğu
- Fourth Amendment is Not For Sale Act, ABD hükümetinin normalde arama emri gerektiren verileri satın almasını engellemeyi amaçlayan iki partili bir yasa tasarısı
- Foreign Intelligence Surveillance Act Section 702 Aralık 2023'te sona erecek ve yenileme tasarısına veri brokerı sınırlamaları eklemek için bir fırsat bulunuyor
- Kongre ve eyalet yönetimleri ayrıca kapsamlı bir tüketici verisi gizlilik yasası da çıkarmalı
- Şirketler kullanıcı verilerini daha az toplarsa, devletin bu şirketlerden satın alabileceği veri de azalır
- Devletin normalde arama emri gerektiren bilgilere satın alma yoluyla dolanarak erişememesi için kurumsal baskı gerekiyor
1 yorum
Hacker News yorumları
Yazının ortaya koyduğu soruna katılıyorum ama mobil operatörlerin konum verisi satmasını engelleyecek bir baskı da olması gerekmez mi diye düşünüyorum.
Akıllı telefon uygulaması geliştiricilerini işaret etmek de değerli, ama ISP’ler akıllı telefon olmasa bile konumu bilebilir ve aslında hukuken bunu bildirebilecek durumda da olmalıdır (https://en.wikipedia.org/wiki/Communications_Assistance_for_... vb.).
EFF’nin ikincisini yasamayla engelleme girişimlerini artık anlamsız mı gördüğünü merak ediyorum.
https://www.eff.org/issues/cell-tracking
İnsanların “sahip olduğu” cihazları kilitleyip karşı önlemler kullanmalarını engellemek de yasaklanmalı.
Bu verinin özel sektör tarafından kullanımı, devletin kullanımı kadar, belki daha da endişe verici. Devlet en azından çoğu durumda demokratik hesap verebilirliğe tabi.
O zaman şirketimin ABD mobil operatörleriyle yakın ilişkileri vardı ve çoğunlukla aile güvenliği adı altında beyaz etiket uygulamalar yapıyorduk. Ancak pek çok kullanıcı çocuklarından çok eşlerinin ya da sevgililerinin konumuyla ilgileniyordu.
Benzer dönemde OAuth 1a çıktı ve bu ilişkiyi kullanarak, rızaya dayalı biçimde uygulama geliştiricilerine konum satacak bir platform sunmanın iyi olacağını düşündüm. Gizlilik özelliklerini de bolca eklemeyi planlıyordum.
Sonuçta az da olsa başarı yakalayan tek bir uygulama geliştiricisi oldu; gizliliğe daha az önem veren veri toplayıcı şirketler sonraki nesil uygulama geliştiricileriyle işbirliği yapınca ürünün geleceği kalmadı. Anılar eğlenceli.
Bildiğim kadarıyla tipik bir VoIP araması, karşı tarafı SIP ile çaldırır (kısmen güvenlidir), ICE/STUN/TURN ile iki taraf en doğrudan yolu bulur, sonra da gerçek ses akışını birbirlerine gönderir.
İstemci ses akışını basitçe şifrelemiyor mu? Yoksa operatörler ilk SIP sıçramasından sonra her şeyi ortadaki adam saldırısı gibi mi araya girip alıyor? Bu, “donanım tap’i ya da switch/router mirror port’u ile ağ verisinin bir kopyasını özel IP probe’a iletme” şeklindeki salt okunur gözetim yöntemiyle pek uyuşmuyor gibi görünüyor.
Mağduru suçlamak gibi duyulabilir. Yine de telefonu kapatma seçeneği var.
AdInt kavramı da bakmaya değer. https://www.theregister.com/2023/09/16/insanet_spyware/ adresinde bahsedilmişti; nasıl çalıştığı, İsrail gazetesi Haaretz’in özgün araştırmasında https://archive.ph/7dbaV daha ayrıntılı anlatılıyor.
Daha önce paylaşılmıştı ama sadece 2 yorum vardı: https://news.ycombinator.com/item?id=37542097
Bu işin insanların düşündüğünden çok daha kötü biteceğini düşünüyorum.
Şirketlerin devletle işbirliği yapması faşizmin tanımı değil mi? Öyleyse şu anda gördüğümüz şey tam olarak bu değil mi diye düşünüyorum.
Snowden ifşalarından sonra birçok ülkenin zafiyetleri stokladığını ve önemsiz amaçlara bile uygulayabileceği bir dijital güç uçurumu biriktirdiğini öğrendik.
NSO Group, herhangi bir telefona ek yazılım olmadan fiilen sessizce sızılabileceğini gösterdi; son dönemdeki Canada/India cinayet soruşturması gibi olaylar da güvenli sanılan kanalların nihayetinde ele geçirilebileceğine işaret etti.
Bugün China’nın ya da NSA’in gerçekte nereye kadar gidebildiğini hayal etmek bile zor. Henüz büyük felaket yaşanmadı, ama gözetim ve internet kontrolünün çizgileri çoktan çekilmiş gibi his giderek güçleniyor. Yine de daha iyimser bir yorumu güçlü biçimde savunabilecek biri varsa duymak isterim.
Genellikle faşizm; otoriter milliyetçilik, merkeziyetçi diktatör bir lider, militarizm, muhalefetin zorla bastırılması, devletin ya da ırkın çıkarları adına bireysel çıkarların tabi kılınması ve doğal toplumsal hiyerarşilerin var olduğuna dair inancı sürdürmek için propaganda ile tanımlanır.
Bu ifşaların başlıca etkisi popülizmin yükselişi oldu; fakat Beyaz Saray’ı bir dönem kaybetmek dışında kalıcı bir etkisi olmadı ve o popülist tepki de fiilen bastırıldı.
Değişim yaratmak istiyorsanız, henüz yalnızca çılgın uç kesimler konuşurken — örneğin 25 yıl önce ya da 25 yıl sonra gibi — daha erken müdahale etmeniz gerekebilir; ancak o zaman sonraki dalgayı başka yöne çevirebilirsiniz.
Quest 3 ve Apple Vision gibi şeyler sadece başlangıç; herkes AR cihazları takıp dolaşmaya başladığında point cloud’dan kaçmanın yolu kalmayacak.
Bu şirketlerin, kamusal alanlarda herkesin nerede ne yaptığını gösteren gerçek zamanlı bir grafiği olacak; buna hiçbir hizmetlerini hiç kullanmamış insanlar da dahil olacak. Korkutucu.
Oysa bu hareket, şirketlerin devleti fiilen kontrol edip onun yerini almaya çalışmasına daha yakın görünüyor. Paydaş kapitalizmi denilen çarpık fikrin doğal sonucuna varmış hali.
“Veriler tamamen şifrelenmemişse ya da doğrudan yerelde saklanmıyorsa, devlet bu verileri telekom operatörlerinden veya bilişim şirketlerinden alabilir. Geleneksel olarak bunun için mahkeme kararı gerekirdi, ama devletler giderek verileri reklam teknolojisi sektöründen satın alan veri brokerlarından doğrudan satın alıyor” kısmı kilit nokta
Reklam teknolojisi sektörüne Meta ve Google’ın da dahil olduğunu düşünüyorum. Ama bazıları “Meta aslında senin verilerini satmıyor” ya da “Google aslında senin verilerini satmıyor” diyerek öfkeleniyor
Bu şirketler bu ekosisteme katılıyor ve veri brokerlarından satın alıyorsa, veri brokerları kadar kötüler. Meta ve Google bu ilişkiler üzerinden paranın çoğunu kazanıp gözetimi mümkün kılarken eleştiriden muaf azizler gibi davranmamalı
Örneğin dmv.ca.gov ve irs.gov sitelerinin ikisi de genelinde Google kullanıyor
Devlet kimlik doğrulama, CAPTCHA gibi şeylere ihtiyaç duyduğunda Google’ı çözüm olarak benimsiyorsa yapı çöker
“İleri teknolojiye sahip bir demokrasi, ilkel teknolojiye sahip bir diktatörlükten daha az özgürdür” sözünü duymuştum
Bunlar bugünkü İsviçre, Yeni Zelanda, Danimarka, Estonya ve İrlanda’dan teknolojik olarak daha geri kalmıştı ama daha özgür değillerdi [1]
[1] https://worldpopulationreview.com/country-rankings/freedom-i...
Kişisel verilerimin FTC’nin “koruması” ya da “düzenlemesi” gereken bir şey olduğunu düşünmüyorum
Etkili olabilecek tek yasa, kullanıcıların açık rızası (ör. çerez onayı) olmadan kişisel kullanıcı verilerinin satış noktalarının tamamını tamamen yasaklamak olurdu; ama böyle bir şey asla olmayacak
Ayrıca bu bu kadar barizse neden hâlâ dava açılmadığını da merak ediyorum. ABD hükümeti zaten Anayasa ve Dördüncü Değişiklik ile bağlı. Ne yaptığını bilmeyen insanların hazırladığı beceriksiz bir yasaya ihtiyaç olduğunu düşünmüyorum