1 puan yazan GN⁺ 2023-10-23 | 1 yorum | WhatsApp'ta paylaş
  • ABD'de kapsamlı bir federal kişisel veri gizliliği yasası bulunmazken, cep telefonu uygulamalarından toplanan kişisel veriler hedefli reklamcılık endüstrisi üzerinden devlet gözetimi aracına dönüşüyor
  • Devlet, normalde mahkeme kararı veya arama emri gerektiren kullanıcı verilerine bile veri brokerlarından satın alarak erişebildiği için şirket gözetimi ile kamu gücü gözetimi arasındaki sınır bulanıklaşıyor
  • Wall Street Journal araştırmasına göre Near Intelligence, reklam amaçlı veri brokerlarından 1 milyardan fazla cihaz verisi satın aldı ve bunu devlet yüklenicileri aracılığıyla federal askerî ve istihbarat kurumlarına aktaran sözleşmeler yaptı
  • Konum verileri, protestolara katılanları, belirli tesisleri ziyaret edenleri, gazetecilerle muhbirler arasındaki temasları izlemek için kullanılabildiğinden, mahremiyet ihlalinin ötesinde misilleme ve yanlış teşhis riskini de büyütüyor
  • Çözüm olarak, devletin arama emri olmadan elde edemeyeceği verileri satın almasını engelleyen Fourth Amendment is Not For Sale Act ile kapsamlı bir tüketici verisi gizlilik yasasının çıkarılması gösteriliyor

Reklam verilerinin devlet gözetimine dönüşme yolu

  • ABD'de kapsamlı federal kişisel veri gizliliği mevzuatı yok ve hedefli reklamcılık endüstrisi, cep telefonu uygulamalarında toplanan kişisel verilere dayanarak çalışıyor
  • Şirket gözetimi ile devlet gözetimi arasındaki çizgiyi zayıflatan temel unsur, verinin satın alınma yapısı
    • Veri tamamen şifrelenmediyse veya kullanıcı tarafından doğrudan yerelde saklanmıyorsa, devlet iletişim ve bilişim şirketlerinden bu verileri alabiliyor
    • Geleneksel olarak bunun için mahkeme kararı gerekiyordu, ancak artık reklam teknolojisi sektöründen veri satın alan brokerlardan devletin doğrudan veri satın aldığı örnekler artıyor

Near Intelligence vakası

  • Wall Street Journal araştırması, Near Intelligence adlı şirketin veri ticareti yapısını ortaya koydu
  • Near Intelligence, normalde reklamverenlere satılan kişi ve cihaz verilerini brokerlardan satın alıyor
    • Şirket, 1 milyardan fazla cihaz hakkında veri satın aldığını açıkladı
    • Devlet yüklenicileriyle sözleşme yaptı ve bu veriler federal askerî ve istihbarat kurumlarına aktarıldı
  • Devlet, normalde güçlü gerekçe gösterip arama emri alması gereken konum bilgilerine de bu yolla erişim hakkı satın alabiliyor
  • Pek çok akıllı telefon uygulaması geliştiricisi, gelir elde etmek için kullanıcı verilerini en yüksek fiyatı verene satmak istiyor ve alıcılar arasında devlet de yer alabiliyor

Arama emri olmadan konum takibinin yaratabileceği zarar

  • Polis, bu tür gözetim araçlarıyla protestolara katılan kişilerin cihazlarını tespit edip onları uyudukları eve kadar takip ederek ek gözetim, taciz veya misilleme hedefi hâline getirebilir
  • Yalnızca belirli bir yerin içinde bulunmuş cihazları izlemek de mümkün
    • göçmenlik avukatlığı ofisleri
    • üreme sağlığı klinikleri
    • ruh sağlığı tesisleri
  • Gazeteciler ile muhbirlerin gizlice buluştuğu durumlar da bu araçlarla gözetlenebilir
  • Kolluk kuvvetleri mensuplarının gözetim teknolojilerini kişisel kötü niyetli nedenlerle kötüye kullandığı örnekler de var

Aşırı polislik yapılan bölgeler ve yanlış teşhis riski

  • Bu tür gözetim, polis faaliyetinin yoğun olduğu bölgelerde yaşayan ve çalışan kişileri polisin şüphe hedefi olmaya daha açık hâle getiriyor
  • Bir soygunun yaşandığı pizzacının yanında bulunmuş olmak ya da grafitinin yakınında kahve molası vermek bile, suç mahalline yakın cihazlar arasında sınıflandırılmanıza ve ek gözetim hedefi olmanıza yol açabilir

Fog Data Science ve mevzuat çağrısı

  • Near Intelligence vakası, EFF'nin Fog Data Science üzerine yaptığı araştırmadan 1 yıl sonra ortaya çıktı
    • Fog Data Science, eyalet ve yerel kolluk kuvvetlerine yüz milyonlarca Amerikalının hassas ve sürekli konum bilgilerine erişim sağlayan bir şirketti
    • Bu veriler akıllı telefon uygulamalarından toplandıktan sonra şeffaf olmayan veri brokerları tarafından bir araya getiriliyordu
    • Erişim kolaydı ve çoğu zaman arama emri olmadan sağlanıyordu
  • Kongre'nin kapatması gereken temel açık, veri brokerı boşluğu
  • Kongre ve eyalet yönetimleri ayrıca kapsamlı bir tüketici verisi gizlilik yasası da çıkarmalı
    • Şirketler kullanıcı verilerini daha az toplarsa, devletin bu şirketlerden satın alabileceği veri de azalır
  • Devletin normalde arama emri gerektiren bilgilere satın alma yoluyla dolanarak erişememesi için kurumsal baskı gerekiyor

1 yorum

 
GN⁺ 2023-10-23
Hacker News yorumları
  • Yazının ortaya koyduğu soruna katılıyorum ama mobil operatörlerin konum verisi satmasını engelleyecek bir baskı da olması gerekmez mi diye düşünüyorum.
    Akıllı telefon uygulaması geliştiricilerini işaret etmek de değerli, ama ISP’ler akıllı telefon olmasa bile konumu bilebilir ve aslında hukuken bunu bildirebilecek durumda da olmalıdır (https://en.wikipedia.org/wiki/Communications_Assistance_for_... vb.).
    EFF’nin ikincisini yasamayla engelleme girişimlerini artık anlamsız mı gördüğünü merak ediyorum.

    • Hiç de öyle değil. EFF de bu yönde çok iyi işler yapıyor.
      https://www.eff.org/issues/cell-tracking
    • Doğru. Bu verinin toplanmasının kendisini engelleyen kurallar olmalı.
      İnsanların “sahip olduğu” cihazları kilitleyip karşı önlemler kullanmalarını engellemek de yasaklanmalı.
      Bu verinin özel sektör tarafından kullanımı, devletin kullanımı kadar, belki daha da endişe verici. Devlet en azından çoğu durumda demokratik hesap verebilirliğe tabi.
    • İlk dönem konum toplama sistemlerinden birini yapmıştım. Belki de ilkiydi, ama emin olmak zor.
      O zaman şirketimin ABD mobil operatörleriyle yakın ilişkileri vardı ve çoğunlukla aile güvenliği adı altında beyaz etiket uygulamalar yapıyorduk. Ancak pek çok kullanıcı çocuklarından çok eşlerinin ya da sevgililerinin konumuyla ilgileniyordu.
      Benzer dönemde OAuth 1a çıktı ve bu ilişkiyi kullanarak, rızaya dayalı biçimde uygulama geliştiricilerine konum satacak bir platform sunmanın iyi olacağını düşündüm. Gizlilik özelliklerini de bolca eklemeyi planlıyordum.
      Sonuçta az da olsa başarı yakalayan tek bir uygulama geliştiricisi oldu; gizliliğe daha az önem veren veri toplayıcı şirketler sonraki nesil uygulama geliştiricileriyle işbirliği yapınca ürünün geleceği kalmadı. Anılar eğlenceli.
    • CALEA geçtikten sonra tüm VoIP ve geniş bant internet trafiğine kadar büyük ölçüde genişletildiğini söyleyen cümle, kolluk kuvvetleri herhangi bir VoIP görüşmesini özgürce dinleyebiliyormuş gibi geliyor. Bunun pratikte nasıl mümkün olduğunu merak ediyorum.
      Bildiğim kadarıyla tipik bir VoIP araması, karşı tarafı SIP ile çaldırır (kısmen güvenlidir), ICE/STUN/TURN ile iki taraf en doğrudan yolu bulur, sonra da gerçek ses akışını birbirlerine gönderir.
      İstemci ses akışını basitçe şifrelemiyor mu? Yoksa operatörler ilk SIP sıçramasından sonra her şeyi ortadaki adam saldırısı gibi mi araya girip alıyor? Bu, “donanım tap’i ya da switch/router mirror port’u ile ağ verisinin bir kopyasını özel IP probe’a iletme” şeklindeki salt okunur gözetim yöntemiyle pek uyuşmuyor gibi görünüyor.
    • Sürekli açık bir GPS alıcısı taşıyıp konumu durmadan üçüncü taraflara iletmenin riskleri konusunda daha iyi eğitim de gerekiyor.
      Mağduru suçlamak gibi duyulabilir. Yine de telefonu kapatma seçeneği var.
  • AdInt kavramı da bakmaya değer. https://www.theregister.com/2023/09/16/insanet_spyware/ adresinde bahsedilmişti; nasıl çalıştığı, İsrail gazetesi Haaretz’in özgün araştırmasında https://archive.ph/7dbaV daha ayrıntılı anlatılıyor.
    Daha önce paylaşılmıştı ama sadece 2 yorum vardı: https://news.ycombinator.com/item?id=37542097

  • Bu işin insanların düşündüğünden çok daha kötü biteceğini düşünüyorum.
    Şirketlerin devletle işbirliği yapması faşizmin tanımı değil mi? Öyleyse şu anda gördüğümüz şey tam olarak bu değil mi diye düşünüyorum.

    • Klasik anlamda buna faşizm demek zor, ama tüm bunların kötü biteceğine dair sezgi muhtemelen doğru olabilir.
      Snowden ifşalarından sonra birçok ülkenin zafiyetleri stokladığını ve önemsiz amaçlara bile uygulayabileceği bir dijital güç uçurumu biriktirdiğini öğrendik.
      NSO Group, herhangi bir telefona ek yazılım olmadan fiilen sessizce sızılabileceğini gösterdi; son dönemdeki Canada/India cinayet soruşturması gibi olaylar da güvenli sanılan kanalların nihayetinde ele geçirilebileceğine işaret etti.
      Bugün China’nın ya da NSA’in gerçekte nereye kadar gidebildiğini hayal etmek bile zor. Henüz büyük felaket yaşanmadı, ama gözetim ve internet kontrolünün çizgileri çoktan çekilmiş gibi his giderek güçleniyor. Yine de daha iyimser bir yorumu güçlü biçimde savunabilecek biri varsa duymak isterim.
    • “Devlet ve şirketler işbirliği yaparsa bu faşizm değil mi” şeklindeki tanımı ilk kez duyuyorum.
      Genellikle faşizm; otoriter milliyetçilik, merkeziyetçi diktatör bir lider, militarizm, muhalefetin zorla bastırılması, devletin ya da ırkın çıkarları adına bireysel çıkarların tabi kılınması ve doğal toplumsal hiyerarşilerin var olduğuna dair inancı sürdürmek için propaganda ile tanımlanır.
    • Eskiden böyle suiistimallerin kötü biteceği fikrine katılırdım, ama Snowden ve Wikileaks ifşalarından sonra kurumlarımızın ne kadar nihilist ve kötü niyetli olabileceğini gördüğümüz halde pek bir şey değişmedi.
      Bu ifşaların başlıca etkisi popülizmin yükselişi oldu; fakat Beyaz Saray’ı bir dönem kaybetmek dışında kalıcı bir etkisi olmadı ve o popülist tepki de fiilen bastırıldı.
      Değişim yaratmak istiyorsanız, henüz yalnızca çılgın uç kesimler konuşurken — örneğin 25 yıl önce ya da 25 yıl sonra gibi — daha erken müdahale etmeniz gerekebilir; ancak o zaman sonraki dalgayı başka yöne çevirebilirsiniz.
    • Bugünün web gözetimi, gelecek olanların yanında mütevazı görünecek.
      Quest 3 ve Apple Vision gibi şeyler sadece başlangıç; herkes AR cihazları takıp dolaşmaya başladığında point cloud’dan kaçmanın yolu kalmayacak.
      Bu şirketlerin, kamusal alanlarda herkesin nerede ne yaptığını gösteren gerçek zamanlı bir grafiği olacak; buna hiçbir hizmetlerini hiç kullanmamış insanlar da dahil olacak. Korkutucu.
    • Aksine, bunun tam tersine daha yakın. Faşist bir hükümette yürütmenin piyasayı ve şirketleri fiilen kontrol edeceğini düşünürüm.
      Oysa bu hareket, şirketlerin devleti fiilen kontrol edip onun yerini almaya çalışmasına daha yakın görünüyor. Paydaş kapitalizmi denilen çarpık fikrin doğal sonucuna varmış hali.
  • “Veriler tamamen şifrelenmemişse ya da doğrudan yerelde saklanmıyorsa, devlet bu verileri telekom operatörlerinden veya bilişim şirketlerinden alabilir. Geleneksel olarak bunun için mahkeme kararı gerekirdi, ama devletler giderek verileri reklam teknolojisi sektöründen satın alan veri brokerlarından doğrudan satın alıyor” kısmı kilit nokta
    Reklam teknolojisi sektörüne Meta ve Google’ın da dahil olduğunu düşünüyorum. Ama bazıları “Meta aslında senin verilerini satmıyor” ya da “Google aslında senin verilerini satmıyor” diyerek öfkeleniyor
    Bu şirketler bu ekosisteme katılıyor ve veri brokerlarından satın alıyorsa, veri brokerları kadar kötüler. Meta ve Google bu ilişkiler üzerinden paranın çoğunu kazanıp gözetimi mümkün kılarken eleştiriden muaf azizler gibi davranmamalı

    • Daha da sinir bozucu olan, devletin bu hizmetleri kendi web sitelerinde doğrudan kullanması
      Örneğin dmv.ca.gov ve irs.gov sitelerinin ikisi de genelinde Google kullanıyor
      Devlet kimlik doğrulama, CAPTCHA gibi şeylere ihtiyaç duyduğunda Google’ı çözüm olarak benimsiyorsa yapı çöker
  • “İleri teknolojiye sahip bir demokrasi, ilkel teknolojiye sahip bir diktatörlükten daha az özgürdür” sözünü duymuştum

    • Bunu söyleyen kişi aptalmış. Antik Mısır’da, Engizisyon dönemi İspanya’sında, Nazi Almanyası’nda, GDR’de yaşamın nasıl olduğuna bakmalı
      Bunlar bugünkü İsviçre, Yeni Zelanda, Danimarka, Estonya ve İrlanda’dan teknolojik olarak daha geri kalmıştı ama daha özgür değillerdi [1]
      [1] https://worldpopulationreview.com/country-rankings/freedom-i...
  • Kişisel verilerimin FTC’nin “koruması” ya da “düzenlemesi” gereken bir şey olduğunu düşünmüyorum
    Etkili olabilecek tek yasa, kullanıcıların açık rızası (ör. çerez onayı) olmadan kişisel kullanıcı verilerinin satış noktalarının tamamını tamamen yasaklamak olurdu; ama böyle bir şey asla olmayacak
    Ayrıca bu bu kadar barizse neden hâlâ dava açılmadığını da merak ediyorum. ABD hükümeti zaten Anayasa ve Dördüncü Değişiklik ile bağlı. Ne yaptığını bilmeyen insanların hazırladığı beceriksiz bir yasaya ihtiyaç olduğunu düşünmüyorum