Meta’nın Onavo VPN’i, rakip analiz trafiğinin SSL şifrelemesini çözdü

 (documentcloud.org)
2 puan yazan GN⁺ 2024-04-01 | 1 yorum | WhatsApp'ta paylaş

Facebook/Meta toplu davasında ortaya çıkanlar

  • Davacı reklamverenler, mahkemenin belirli iletişimler için suç-sahtekarlık istisnasının geçerli olduğunu kabul etmesini talep ediyor.
  • Bu iletişimler, Facebook’un In-App Action Panel (IAAP) adlı programıyla ilgili ve yaklaşık olarak Haziran 2016 ile Mayıs 2019 arasında yürürlükteydi.
  • IAAP programı, Mark Zuckerberg’in talebiyle başlatıldı ve SSL ortadaki adam saldırısı yöntemini kullanarak Snapchat, YouTube ve Amazon’un SSL ile korunan analiz trafiğini ele geçirip çözerek Facebook’un rekabetçi karar alma süreçlerine bilgi sağladı.

Facebook’un IAAP programı, rakipleri dinleyerek rekabeti hedefledi

  • Mark Zuckerberg, 9 Haziran 2016’da şirketin üst düzey yöneticilerine "Snapchat analizi" başlıklı bir mesaj gönderdi.
  • Şu anda Facebook’un COO’su olan Javier Olivan, bunun önemli pazar analizi sorularından biri olduğunu kabul etti ve teknik olarak karmaşık olduğunu, ayrıca hukuki onay gerektirebileceğini belirtti.
  • Onavo ekibi, bu sorunu çözmek için bir "lockdown effort" planladı ve bunun ekip için parlayacak bir fırsat olduğunu söyledi.
  • Onavo ekibi, iç hukuk danışmanlığının yönlendirmesi altında üst düzey liderlik için bir çözüm önerdi.

GN⁺ görüşü

  • Bu olay, şirketlerin veri gizliliğini ihlal etmesiyle ilgili hukuki sorunları ele aldığı için tüketiciler ve teknoloji topluluğu açısından önemli bilgiler sunuyor.
  • Facebook’un rakip verilerini yasa dışı biçimde topladığı iddiası, kurumsal etik ve hukuki sorumluluk üzerine tartışmaları tetikleyebilir.
  • Bu tür vakalar, diğer şirketlere de bir uyarı niteliği taşırken veri koruma ve kişisel bilgi güvenliğinin önemini vurguluyor.
  • Benzer işlev sunan başka proje veya ürünler arasında güvenliği artırılmış VPN hizmetleri ya da şifreli iletişim araçları bulunuyor; bunlar kullanıcı verilerini korumaya yardımcı olabilir.
  • Teknoloji benimsenirken, ilgili teknolojinin hukuki ve etik standartları karşılayıp karşılamadığı dikkatle değerlendirilmeli; bu olay da şirketlerin teknoloji kullanırken hukuki riskleri değerlendirmenin önemini gösteriyor.

İlgili okumalar

1 yorum

 
GN⁺ 2024-04-01
Hacker News görüşleri

  • Bireysel bir kişi bunu yapmış olsaydı Computer Fraud and Abuse Act (CFAA) kapsamına gireceği yönünde bir görüş var. Meta için ise sonucu görmek gerekecek.

    • Bireysel biri böyle bir şey yapsaydı Computer Fraud and Abuse Act (CFAA) uygulanmasının bekleneceği, ancak Meta söz konusu olduğunda sonucun ne olacağının görülmesi gerektiği belirtiliyor.

  • MITM (ortadaki adam saldırısı) buna 'araştırma' değil 'saldırı' denmesini gerektirir. Bir BT uzmanı etik dışı uygulamalarla karşılaşınca siyasi partiden ayrıldığı deneyimini paylaşıyor.

    • Ortadaki adam saldırısının (MITM) araştırma değil saldırı olarak adlandırıldığı ve etiğe önem veren bir mühendisin Meta'da böyle bir girişimde bulunmayacağı belirtiliyor.

  • Bir uygulamaya (WhatsApp) uçtan uca şifreleme eklediğini kamuya açık şekilde duyururken, başka uygulamalarda gizlice TLS'yi kırmasının ironik olduğu belirtiliyor.

    • Meta'nın WhatsApp'a uçtan uca şifreleme eklediğini duyururken aynı anda başka uygulamalarda TLS'yi gizlice kırmasının ironik bir davranış olduğu eleştiriliyor.

  • FANGs'in (Facebook, Amazon, Netflix, Google) halka karşı büyük ölçekli psikolojik savaşı fiilen cezasız biçimde yürüttüğü ve ara sıra açılan davaların önemsiz kaldığı görüşü dile getiriliyor.

    • FANGs'in halka karşı büyük ölçekli psikolojik savaşı fiilen cezasız şekilde yürüttüğü ve arada bir açılan davaların büyük etki yaratmadığı ifade ediliyor.

  • Meta, 'kötülüğün çevrimiçi imparatorluğu' olarak anılıyor ve şirket geçmişinin ahlaken şüpheli davranışlarla dolu olduğu söyleniyor.

    • Meta'nın 'kötülüğün çevrimiçi imparatorluğu' olarak nitelendirildiği ve şirket geçmişinin ahlaken şüpheli davranışlarla dolu olduğu eleştirisi yapılıyor.

  • Cloudflare'ın SSL termination/offloading yoluyla gerçekte ne yaptığı sorgulanıyor.

    • Cloudflare'ın SSL termination/offloading üzerinden tam olarak ne yaptığına dair soru işaretleri dile getiriliyor.

  • TLS ile SSL'nin karıştırılmaması gerektiği ve hizmet şartlarında belirtilmeden TLS'nin kaldırılmasının CFAA kapsamında cezalandırılması gerektiği savunuluyor.

    • TLS ile SSL'nin karıştırılmaması gerektiği vurgulanırken, hizmet şartlarında belirtilmeden TLS'nin kaldırılmasının CFAA uyarınca cezalandırılması gerektiği ifade ediliyor.

  • Meta, wiretapping law'u ihlal etmediğini reddediyor ancak rızaya dair kanıt sunmuyor. Meta'nın VPN uygulamasının iletişime müdahalesini 'pazar araştırması' diye nitelendirirken ilgili belgeleri açıklamaya neden isteksiz olduğu sorgulanıyor.

    • Meta'nın wiretapping law'u ihlal ettiğini reddetmesine rağmen rızaya ilişkin kanıt sunmadığı, VPN uygulaması üzerinden iletişime müdahaleyi 'pazar araştırması' olarak tanımlarken ilgili belgeleri açıklamaya neden isteksiz olduğunun sorgulandığı belirtiliyor.

  • Belgelere göre planın kullanıcılara haber vermeden deneme amaçlı dağıtım yapmak mı, yoksa kullanıcıların rıza gösterip katıldığı bir süreç mi olduğu soruluyor.

    • Belgelere göre Meta'nın planının kullanıcılara haber vermeden deneme amaçlı dağıtım yapmak mı, yoksa kullanıcıların rıza göstererek katıldığı bir süreç mi olduğu soruluyor.