1 puan yazan GN⁺ 2024-01-31 | 1 yorum | WhatsApp'ta paylaş
  • Senatör Ron Wyden’ın kamuoyuna açıkladığı belgeler, NSA’in internet kayıtları satın aldığını ortaya koydu; bu kayıtlar kullanıcıların hangi web sitelerini ziyaret ettiğini ve hangi uygulamaları kullandığını açığa çıkarabilir
  • Wyden, istihbarat kurumlarının veri brokerlarından Amerikalıların kişisel verilerini satın alma uygulamasına son verilmesini ve yalnızca FTC standartlarını karşılayan yasal veri satışlarına izin verilmesini talep etti
  • NSA, ABD içindeki cep telefonlarından toplanan konum verilerini satın alıp kullandığını reddetti, ancak yurt içi internet iletişimi ile Amerikan IP’lerini içeren yurt dışı iletişime ait ticari netflow içerik dışı verilerini satın alıp kullandığını kabul etti
  • Bu bilgilerin kamuya açıklanması neredeyse 3 yıl sürdü ve ancak Wyden, NSA direktör adayı atamasını bloke ettikten sonra açıklama onayı verildi
  • Veri brokerları üzerinden hükümetin kişisel veri satın alması, mahkeme ve arama emri gerekliliklerini dolanabilir; bu da Amerikalıların mahremiyetini ve iç denetimli gözetim kontrollerini zayıflatır

NSA’in internet kayıtları satın almasının doğrulanması

  • Senatör Ron Wyden’ın açıkladığı belgeler, NSA’in Amerikalıların internet kayıtlarını satın aldığını doğruluyor
  • Bu internet kayıtları, kullanıcıların hangi web sitelerini ziyaret ettiğini ve hangi uygulamaları kullandığını ortaya çıkarabilir
  • Wyden, Ulusal İstihbarat Direktörü Avril Haines’e gönderdiği mektupta, istihbarat kurumlarının veri brokerlarından yasa dışı biçimde elde edilmiş Amerikalıların kişisel verilerini satın almasını engelleyecek bir politika benimsenmesini talep etti
  • Wyden, “ABD hükümeti, Amerikalıların mahremiyetini açıkça ihlal eden gölgeli bir endüstriyi finanse etmemeli ve ona meşruiyet kazandırmamalıdır” dedi

Veri brokerlarının yarattığı arama emri etrafından dolaşma yolu

  • Hükümetin veri brokerlarından yurt içi verileri satın alması zaten defalarca yaşandı
  • Federal kurumlar ve yerel kolluk kuvvetleri, özel şirketlerin sağladığı yurt içi verileri satın aldı; bu da Yüksek Mahkeme’nin koyduğu sınırlamaları aşan bir mekanizma olarak işleyebilir
  • Hükümet, Third Party Doctrine ilkesini uygulayabileceğini savunuyor, ancak birçok uygulama ve hizmet kullanıcıların yeterince farkında olmadığı bir durumda veri topluyor
    • Basit görünen bir mobil oyun bile telefonun konumunu sorgulayıp bunu belirli bir cihaz kimliğiyle ilişkilendirebilir
    • Bu tür toplama işlemleri kullanım şartlarının derinliklerinde gizlenmiş olabilir

Wyden’ın açıklama süreci ve talepleri

  • Wyden, NSA’in yurt içi internet metadata satın alımına ilişkin bilgilerin açıklanması için onay almanın neredeyse 3 yıl sürdüğünü söyledi
  • Savunma Bakanlığı, Mart 2021’de Wyden’ın ekibinin Amerikalıların kişisel verilerini satın alan Savunma Bakanlığı birimlerinin tespit edilmesine yönelik talebine bilgi sağladı
  • Ardından Mayıs 2021’de Wyden, gizli olmayan bilgilerin açıklanması için onay istedi ancak Savunma Bakanlığı bunu reddetti
  • Ancak Wyden, NSA direktör adayının atamasını bloke ettikten sonra söz konusu bilginin açıklanmasına onay verildi
  • Wyden’ın mektubu, istihbarat topluluğundaki (IC) her birimden şunları talep ediyor
    • Veri brokerlarından yapılan veri satın alımlarına yönelik soruşturma başlatılması
    • Veri brokerlarının iş uygulamalarına ilişkin FTC soruşturması
    • Veri brokerlarından satın alınan kişisel verilerin listesinin sunulması

NSA’in reddettikleri ve kabul ettikleri

  • NSA, 2023’te Wyden’a gönderdiği mektupta, ABD içinde kullanıldığı bilinen cep telefonlarından toplanan konum verilerini, mahkeme emri olsun ya da olmasın, satın almadığını veya kullanmadığını belirtti
  • Bu ret yalnızca konum verileriyle sınırlı; Wyden’ın kaygı duyduğu internet kayıtlarının tamamının satın alınmadığı anlamına gelmiyor
  • Aynı mektupta NSA, ticari olarak erişilebilen netflow içerik dışı verilerini satın alıp kullandığını kabul etti
    • Tamamen yurt içi internet iletişimiyle ilgili veriler
    • Bir tarafı Amerikan internet protokol adresi, diğer tarafı ise yurt dışında olan internet iletişimine ilişkin veriler
  • Bu kabul, NSA’in yurt içi gözetim kapsamının veri brokerı pazarı üzerinden genişleyebileceğini gösteriyor

Section 702 ve yurt içi gözetim endişeleri

  • NSA, Section 702 kapsamında yapılan toplama faaliyetleriyle Amerikalıların veri ve iletişimlerini “istemeden” süpürebilen bir kurum olarak zaten biliniyor
  • FBI’ın Section 702’yi yurt içi gözetim için tekrar tekrar kötüye kullandığı bağlamı da birlikte anılıyor
  • Bu durumda NSA’in veri brokerlarından ayrıca veri satın almasına neden ihtiyaç duyduğu sorusu ortada kalıyor
  • Eleştirinin odağı, NSA’in kanıtlanmış bir ulusal güvenlik ihtiyacı nedeniyle değil, toplayabileceği yeni bir yol ortaya çıktığı için daha fazla veri topluyor gibi görünmesi
  • Veri brokerları üzerinden Amerikalı verilerinin satın alınması hükümetin rutin işi haline gelirse, gözetim yetkileri üzerindeki gerçek denetim daha da zorlaşır

1 yorum

 
GN⁺ 2024-01-31
Hacker News yorumları
  • Hükümetin yeterli gerekçe olmadan vatandaş bilgilerine erişmesi, satın alma yoluyla olsa bile, Dördüncü Değişiklik’in lafzına olmasa da ruhuna aykırı görünüyor. Günümüzde “arama ve el koyma” olmadan da bir kişi hakkında devasa miktarda bilgi toplanabildiği için, Dördüncü Değişiklik’i çağa uyarlayacak bir anayasa değişikliğine ihtiyaç var gibi. Veri toplama çağımızın en büyük meselelerinden biri; ama en azından hükümetin vergilerimiz ya da borçlarımızla haklarımızı yasal yoldan dolanmaması gerektiği konusunda çoğu kişi hemfikir olur sanırım.

    • Bu, geriye doğru üçüncü taraf doktrinine uzanıyor. Veriyi bir üçüncü tarafa verdiğiniz anda artık “makul bir mahremiyet beklentisi” kalmadığı, dolayısıyla bunun arama sayılmadığı varsayılıyor. Evinizin hemen yanındaki çöp kutusu hâlâ kontrolünüz altında olduğu için hakkınız vardır; ama çöp kamyonu alsın diye yol kenarına koyduğunuz anda bu haktan vazgeçmiş sayıldığını belirten içtihada da benziyor. Bunun iyi olduğunu söylemiyorum; aksine hoşuma gitmiyor, ama mevcut ABD içtihadı böyle işliyor. Bunu değiştirmek için Kongre’nin yeni bir yasa çıkarması ya da anayasanın değiştirilmesi gerekir; “nasıl olmalı” konusundaki fikirler, hukukla desteklenmedikçe fazla anlam taşımaz.
    • Bu veri toplama ve kullanma faaliyetlerinin büyük bölümünün fiilen arama ve el koyma kapsamına girdiğini düşünüyorum. Tek fark, bunu hükümetin değil özel şirketlerin yapması; kişisel olarak bunun yalnızca hükümetin yapmasından daha kötü olduğunu düşünüyorum.
    • Ne yazık ki Dördüncü Değişiklik oldukça dar yorumlanıyor. Daha somut bir mahremiyet hakkını açıkça belirten ek bir hüküm olsa iyi olurdu. “Yasadışı” aramaları engellemek nihayetinde olaydan sonra mahkemeye gitmek zorunda kalmak demek; bu da neredeyse anlamsız. Dördüncü Değişiklik sahip olması gereken gücün ancak %10’u kadarına sahipmiş gibi geliyor.
    • Başka birinin polisle sizin hakkınızdaki bilgileri gönüllü olarak paylaşması eskiden beri yasaldı; o kişinin bir işletme işletip işletmemesi de fark etmiyor. Şu anda polisi arayıp lumb63’ün HN’de 2024-01-30T14:14:13 tarihinde yorum yaptığını söyleyebilirim; daha ayrıntılı bilgi biliyorsam onu da söyleyebilirim. Polis bunu yasal olarak dinleyebilir. Tanıdığım biri hakkında bildiğim herhangi bir şeyi söyleyebilirim; bunun neden yasa dışı olması gerektiğini anlamıyorum. Bu durumun Dördüncü Değişiklik’le ilgisi yok; Dördüncü Değişiklik, hükümetin bilgiyi zorla almasını engelleyen hükümdür.
    • “Haklar”, Haklar Bildirgesi’nde yer alanlar bile, her gün çiğneniyor. Gizli silah taşıyarak eyalet sınırını geçmeyi deneyin; bir narkotik köpeği tepki verdikten sonra K-9 polisine arabanızı arayamayacağını söylemeyi deneyin; ya da ifade özgürlüğüne dayanarak hakaret sayılabilecek sözler yaymayı deneyin. “Hak” diye bir şey yok; yalnızca kişinin içinde bulunduğu yer ve zamanda savunabildiği şeyler var.
  • Kurumların ticari olarak temin edilebilen verileri satın almasının neden bu kadar daha tartışmalı olduğunu pek anlamıyorum. Asıl daha büyük sorun, bu verilerin en başta toplanması ve parasını veren herkese sunulması gerçeği değil mi?

    • Birkaç olasılık düşünülebilir. Birincisi, sıradan insanlar açısından şirketlerin bu tür bilgilere sahip olması zaten özünde kabul edilebilir değil. İkincisi, kurumlar bu bilgiyi vergi mükelleflerinin parasıyla satın aldığı için, bizim onaylamayabileceğimiz bir piyasayı büyütmüş oluyorlar. Üçüncüsü, devlet kurumlarının uyması gereken kurallar var; bu kurumlar kuralları dolanır ya da açık ararsa, kuruma duyulan güven zarar görür. Dördüncüsü ve belki de en önemlisi, devlet kurumlarının özel şirketlerin yapamadığı işleri yapma yetkisi ve gücü var. Soruşturma başlatabilir, savcıdan hukuki tavsiye alabilir, dava açabilir, arama emri çıkarabilir, celp gönderebilir, tutuklayabilir, alıkoyabilirler; bunların hepsi müdahaleci ve pahalıdır, avukat masraflarından hapis cezasına kadar çeşitli kötü sonuçlara yol açabilir.
    • Hükümet şiddet tekeline sahip olduğu için daha farklı ve daha sınırlayıcı kurallara tabi olmalıdır. NSA’in özel verileri satın almasının hukuken durumu nedir bilmiyorum; ama kendi vatandaşlarını gözetlememesi gerektiği yönündeki yasanın ruhuna aykırı gibi geliyor.
    • Hükümeti özel kılan şey, herkesi etkileyen yasalar yapabilen geniş yetkisidir. Örneğin Birinci Değişiklik’teki “Kongre ifade özgürlüğünü kısıtlayan yasa yapamaz” hükmü hükümete uygulanır; ama ilkokul üçüncü sınıf dersliğinde küfür yasağı kuralı koymaya uygulanmaz. Özel bir grubun belirli ifadeleri yasaklaması, hoşunuza gitmezse başka yere gidebileceğiniz için makul olabilir; fakat hukuk ve hükümet eylemleri alanında çok daha dikkatli olmak gerekir. Hükümet, toplumda güç kullanımı üzerinde tekele sahip tek aktördür ve büyük güç büyük sorumluluk gerektirmelidir.
    • Hükümet bilgiyi insanları kovuşturmak için kullanabilir; şirketler bunu yapamaz. Ayrıca hükümet, egemen bağışıklığı ve kamu görevlisi dokunulmazlığı nedeniyle kötü niyetli eylemlerden dolayı şirketlere kıyasla çok daha az sorumlu tutulur.
    • Özel şirketler hükümetin onayı olmadan sizi hapse gönderemez ya da temel özgürlüklerinizi elinizden alamaz; hükümet ise bunu yapabilir. Haklar Bildirgesi ve anayasa genel olarak sizi özel kişilerden değil, hükümetin aşırılıklarından korumayı amaçlar; özel kişiler arasındaki meseleler ise çoğunlukla eyalet ve yerel düzeydeki genel yasalarla ele alınır. ABD’de bu tür hukuki ayrım her zaman vardı.
  • Makalede NSA için “ülke içi gözetim yapacak yeterli kapasitesi varsa ve bunu gerçekten de sık sık yapıyorsa, neden kendi kitlesel toplama ağından daha meşru biçimde elde edebileceği şeyi satın alıp toplama tekniklerinin bir kısmının ifşa olma riskini alsın?” denmiş; ama NSA’in, para ve bilgi takası tekniğini düşmanların öğrenmesinden endişe etmesine gerek olduğunu sanmıyorum. Veri aracılarını hacklemek, özgün tekniklerin ifşa olma ihtimalini daha çok artırır.

  • ABD’de de AB benzeri bir mahremiyet koruması olsaydı keşke. AB’nin sistemi kusursuz değil ama yine de bizde de olmasını isterdim. Anladığım kadarıyla Senatör Chuck Schumer tek başına, komitede anlamlı bir mahremiyet koruma tasarısını engelliyor. Tek kişilik bir mahremiyet yıkım topu gibi görünüyor. Bir yerde iki kızının Meta ve Microsoft gibi şirketlerde yüksek maaşlı işleri olduğunu okumuştum. Asıl mesele şu: mahremiyet koruması daha güçlü olursa şirketlerin satabileceği bilgi de azalır.

    • Kızlarının bu meseleyle ne ilgisi olduğunu anlamıyorum.
  • Vatandaşlık haklarına zarar veren yönleri olsa bile, kurumların ticari veri aracılarını hiç izlemeden bırakması mümkün değil. Çünkü en azından ülke içindeki suç faaliyetleri riskini tahmin edip önleyebilmeleri gerekir.

    • Bu daha çok bir özellik sayılır. En büyük lobi güçleri bankalar ve bu tür veri aracılarını kullanan kuruluşlar. Hükümet onları rahat bıraktığı için kendisi de onları kullanabiliyor; bu da yasayı dolanmanın bir yolu hâline geliyor.
  • Sorun, bunun NSA olması NSA, ABD vatandaşlarını soruşturan bir kurum değil; yurt dışı sinyal istihbaratından sorumlu olmalı. FBI ya da CIA böyle bir şey yapsa bunu beklemek gayet mümkün olurdu; bunun yanlış olup olmadığından da emin değilim. En azından reklam amacıyla veri satın alan diğer aktörlerden daha yanlış olduğunu söylemek zor

    • Tam olarak doğru değil CIA, ABD dışındaki istihbaratı toplamak için kurulmuş bir kurum olduğundan bu verilere erişmek için en az nedeni olan kurum. FBI bir kolluk kuvveti olduğu için, arama emri olmadan o verilere dokunamaz ya da bakamaz; aksi halde devam eden birçok davadaki veri toplama geçersiz hale gelebilir. NSA'nın ABD'ye giren ve ABD'den çıkan iletişim verilerini toplaması gerekiyor. Onlarca yıl önce bu ayrım tamamen netti, ama artık daha az net. Amerikalılar hakkında veri toplamak, o veriyle ne yapıldığına bağlı olarak yasa dışı olmayabilir. Snowden ifşalarında en çok ortaya çıkan nokta, içeriden bir tehdidin Amerikalılar hakkında toplanan NSA verilerini kişisel amaçlarla kötüye kullanmasıydı
    • İnternette yurt dışı tam olarak ne anlama geliyor, bilmiyorum Kara parçaları arasında net çizgiler yok; her şey her yerde
    • NSA'nın Amerikalıları büyük ölçekte gözetlediği gerçeğini 2013'te Snowden ifşa etti 2024'te buna şaşırmak için bahane yok
  • Başta veri aracılarının tüm bu bilgileri satabiliyor olması değil de yalnızca bu olaya öfkelenmeyi hayal etmek zor

    • İkisine aynı anda öfkelenmemeyi hayal etmek de zor Ancak biri, yüzlerce ya da binlerce ahlaksız ve çoğunlukla anonim aktörün gerçekleştirdiği on binlerce küçük rıza ihlalinin birikmiş sonucu. Diğeri ise vatandaşların kendilerini korusun ve hizmet etsin diye finanse ettiği bir devlet kurumunun işlediği devasa ve apaçık bir anayasa ihlali. İkisi de en ağır cezayı almalı
  • Verinin gerçek dünyadaki belirli bir insanla nasıl ilişkilendirildiğini pek anlayamıyorum Arabamı örnek alırsak, araba benim ama sen kullanırken hız yaparsan hız cezasını sen yersin. Veri de aynı şekilde, bu yazının benim adıma kayıtlı gerçek dünyadaki bir cihazdan gönderilmiş olması mümkün; ama bu, onu gerçek dünyadaki ben kullandım demek değil

    • Herkese açık IP adresini düşünmek yeterli Konum tahmini, IP adresini ülke gibi belirsiz bir aralıktan şehir gibi daha kesin bir bölgeye kadar eşleyebilir. Kabaca bir konumu birkaç başka veriyle birleştirince, belirli bir hesaba karşılık gelen gerçek dünyadaki adaylar ciddi ölçüde daraltılabilir [1]. Önemli bir araştırmaya göre yalnızca üç özellik ABD nüfusunun %87'sini benzersiz şekilde tanımlayabiliyor; başka bir araştırma ise yalnızca bu üç olgunun ABD nüfusunun %63'ünü benzersiz şekilde tanımlayabildiğini söylüyor. Çevrimiçi etkinliğiniz çoksa, bir web sitesinde diğer kullanıcıların size hitap etme biçimi bile cinsiyetinizi ya da yaşınızı ortaya çıkarabilir. Bir web sitesi cinsiyet ya da doğum günü topluyorsa, bu bilgiyi veri aracılarıyla paylaşabilir veya onlara satabilir. Polis, sorun olabilecek çevrimiçi bir eylemin konumunu tek bir haneye kadar daraltırsa, arama emriyle gerçekten gelip o saatte evdeki hangi bilgisayarı kimin kullandığını sorabilir. [1] https://www.eff.org/deeplinks/2023/11/debunking-myth-anonymo...
    • Birden çok sinyal arasında korelasyon kurma yöntemi; burada açıklanıyor: https://restoreprivacy[.]com/rtb-data-leveraged-for-user-sur...
  • Facebook da böyle şeyler yaptı Satın alınabilecek tüm web sitesi verilerini satın aldı ve bunların reklam yayınlamada kullanılabileceğini bildiği için veri satın almayı kârlı bir işe dönüştürdü. ABD hükümeti ya da istihbarat kurumları aynı şeyi yapıyorsa, buna “yasa dışı” ya da yanlış denebilir mi, emin değilim. Devlet yetkilerini büyük ölçüde kullanarak yaptıysa yasa ihlali olurdu, ama yaptığı zaten elde edilebilen şeyleri satın almak

  • İronik olan, bunu yapanın Çin ya da Rusya olmaması Kendi kurumları yaptığında öfkenin neden çok daha az ya da neredeyse yokmuş gibi göründüğünü bilmiyorum

    • Çünkü vergileriniz Çin'in gözetim aygıtına gitmiyor Onların sizi izlemesi doğal; işleri bu. Bizim ülkemiz, en azından görünüşte, vatandaşlarına düşman gibi davranmaması bakımından onlardan farklı olduğunu söyleyegeldi; tabii bunun da ancak bir yere kadar doğru olduğunu söylemek gerek