- Gravy Analytics sızıntı listesinden iPhone’da yüklü 3 uygulamayı tespit ettikten sonra, ücretsiz oyun Stack’in reklam trafiğini doğrudan yakalayarak konum ve IP’nin dışarıya hangi yoldan çıktığını izledi
- Konum Servisleri ve uygulama takibi kapalı olsa bile Unity Ads istekleri enlem-boylam, IP, zaman damgası, operatör, IDFV, onay değerleri gibi verileri içeriyordu
- Facebook, adjust.com ve Unity yapılandırma istekleri de IP-zaman damgası ya da ekran parlaklığı, pil, bellek gibi cihaz sinyalleri alarak reklam kimliği olmadan da kullanıcıyı daraltabilir
- IDFA, takip reddedildiğinde boşaltıldı; ancak aynı geliştiricinin uygulamaları arasında IDFV korunuyor ve IP, konum, kullanıcı aracısı ile çeşitli kimlikler reklam ekosistemine akmaya devam ediyor
- Reklam teklif verileri, MAID konum verileri ve
MAID <> PIIveri setleri birleştirildiğinde, bir kişinin hareket geçmişi adı, telefon numarası ve adresiyle ilişkilendirilebilir
Sızıntı listesinden başlayan doğrudan takip deneyi
- Gravy Analytics’in büyük ölçekli konum verisi sızıntısı, App Store ve Google Play’deki 2.000’den fazla uygulamanın kullanıcı onayı olmadan konum verisi topladığını içeriyordu
- Açık listedeki uygulamalardan iPhone’da yüklü en az 3 tanesi bulundu ve bu, dışarıdan kendi konum verilerinin satın alınıp alınamayacağını doğrulayan bir deneye dönüştü
- Deney ortamı şöyleydi
- Fabrika ayarlarına döndürülmüş iPhone 11 ve yeni Apple ID
- Charles Proxy ile gelen-giden trafiğin kaydedilmesi
- HTTPS trafiğinin şifresini çözmek için iPhone’a SSL sertifikası kurulması
- KetchApp’in basit oyunu Stack
- Stack çalıştırılınca ilk 1 dakika boyunca istek yağdı ve neredeyse her an birden fazla istek gönderildi
Unity Ads isteğine konum ve IP ekleniyor
https://o.isx.unity3d.comadresine gönderilen Unity Ads isteği, Konum Servisleri kapalıyken bile konum verisi içeriyordu- İstek gövdesinde 200’den fazla anahtar vardı; örnek değerler şunlardı
- Zaman damgası
2025-01-18T23:27:39Z - Ülke kodu
ES - Reklamın gösterileceği alan adı gibi görünen
sports.bwin.es - Banner ağı gibi görünen
molocoads-eu-banner - IP adresi
cip - Cihaz modeli
iPhone12,1 - Bağlantı türü Wi-Fi
- Operatör
Yoigo ifv, yani IDFV- Enlem-boylam
- Sunucu IP’si
- Kullanıcı takip onay değeri olarak görünen
uc: 1
- Zaman damgası
- Bu akış Stack → Unity → Moloco Ads → Bwin reklamı şeklinde ilerledi ve oyunun içinde de gerçekten Bwin reklamı gösterildi
- Konum çok hassas değildi ancak aynı posta kodu bölgesi içindeydi; o sırada iPhone Wi-Fi’ye bağlıydı ve SIM yoktu
Facebook ve Unity yapılandırma istekleri de cihaz sinyalleri alıyor
- Meta uygulamaları yüklü olmadığı, Facebook hesabı uygulamaya veya Apple ID’ye bağlanmadığı halde Facebook ile ilgili istekler IP ve zaman damgası içeriyordu
- Söz konusu istekte
bidder_token_infovebt_extrasiçinde IP ve zaman damgası yer alıyordu; bunun dışında da birçok veri birlikte gönderiliyordu - Unity’nin
https://configv2.unityads.unity3d.comyapılandırma isteğinde konum veya ad gibi doğrudan kişisel bilgi yoktu; ancak çeşitli cihaz durumu verileri bulunuyordu- OS sürümü, bağlantı türü, etkinlik zaman damgası
vendorIdentifier- Kablolu kulaklık olup olmadığı
- Ses seviyesi
- CPU sayısı
- Sistemin açılış zamanı
- Pil durumu
- Ekran parlaklığı
- Kullanılabilir bellek ve toplam bellek
- Saat dilimi
- Depolama alanı
- Ağ operatörü
advertisingTrackingId
- adjust.com da IP ve zaman damgası alan “provider”lardan biriydi; ancak istek gövdesi ayrıca analiz edilmedi
IDFA reddi yalnızca bazı kimlikleri engelliyor
ifvveya IDFV, ID for Vendor anlamına gelir ve geliştirici bazında benzersiz bir kimliktir- Başka bir KetchApp oyunu yükleyip istekler kontrol edildiğinde
ifvdeğeri Stack ile aynıydı advertisingTrackingId, yani IDFA, uygulamalar arası takibe izin verildiğinde uygulamalarla paylaşılan geliştiriciler arası kimliktir- Stack uygulamasında takip izni açılıp kapatılarak karşılaştırma yapıldığında, takip reddedilmiş durumdayken IDFA
000000-0000...olarak ayarlanıyordu - Takip izninin değiştirdiği şey IDFA paylaşımıydı; IP, konum, zaman damgası gibi veriler ise gönderilmeye devam ediyordu
- Aynı geliştiricinin 10 uygulamasını kullanıp bunlardan birinde takibe izin verilirse, o geliştiricinin uygulamalarından toplanan veriler IDFA ile güçlendirilebilir
- İsteklerde
tid,sid,device_id,uidgibi çeşitli kimlikler vardı;device_idveuidFacebook ile de paylaşılıyordu
Reklam teklif verilerinin izlediği yol
- Konumun sızdığı isteğin yolu Stack →
o.isx.unity3d.com→ Moloco Ads → Bwin reklamvereni şeklindeydi - Unity Ads, uygulama SDK’sı üzerinden veri toplayan bir SSP rolü üstleniyor
- Uygulama geliştiricisi SDK’yı kurup reklam geliri elde edebilir
- Ayrıca reklam borsasına kayıt olmak veya veri toplama mantığını bizzat oluşturmak gerekmez
- Moloco, Unity, Applovin, Chartboost gibi çeşitli SSP’lerden veri alıp reklamverenlerle bağlayan bir DSP ağı olarak tanıtılıyor
- Reklam partneri olan şirketler, teklif verme sürecinde verilere erişebilir; normal reklam borsası teklifleri verirken aynı zamanda veri toplayan bir yapı da mümkün olabilir
- Reddit’teki adops gönderisi ve yorum, bidstream sağlayıcısı olan SSP ile entegre olunursa teklif verilerine erişilebileceğini ve satıcı doğrulama sorumluluğunun SSP’de olduğunu açıklıyor
Veri aracıları ve MAID konum verileri
- Verilerin dışarı çıktığı yol doğrulandıktan sonra, satış yerleri aranırken Datarade bulundu
- MAID ile ilgili veriler arandığında yüzlerce seçenek çıktı ve Redmob veri setinin fiyatı yıllık 120.000 $ olarak gösterildi
- Redmob örneği web sitesi isteğiyle alınamadı; ancak Databricks Marketplace üzerinde herkese açıktı
- Redmob örnek açıklaması, dünya genelinde 1,5 milyardan fazla cihazı kapsayan konum verisi sunduğunu ve MENA, Afrika, APAC gibi bölgesel veriler de sağlayabildiğini belirtiyor
- “low latency”, uygulamanın konumu en son paylaştığı andaki konumun bilinebileceği anlamına gelir; bu zaman 5 saniye önce de olabilir
- Örnek verilerde
appsütunu bulunuyor ve bu, veri kaynağının uygulama olduğunu ortaya koyuyor yodsütunu doğum yılı olabilir; ancak gerçek anlamı veya kaynağı doğrulanmadı
MAID ile kişisel olarak tanımlanabilir bilgilerin birleştirilmesi
- Yalnızca konum hareket geçmişiyle bir kişiyi takip etmek için MAID veya
ifadeğerini ad, adres, telefon numarası gibi gerçek kişisel bilgilerle ilişkilendirebilmek gerekir - Datarade’de
MAID <> PIItüründe veri setleri de mevcut - AGR Marketing Solutions örnek tablosu Google Docs üzerinden sunuluyor ve tam ad, e-posta, telefon numarası, fiziksel adres, gayrimenkul sahipliği bilgisi ve IDFA içeriyor
- Bu yapıda MAID konum verileri ile
MAID <> PIIverileri birleştirilerek hareket geçmişi kişisel bilgilerle ilişkilendirilebilir
Belirli bir kişinin hareket geçmişinin bulunma şekli
- Ücretsiz uygulama kullanıp hareket ettiğinizde konum verileri daha değerli bir veri haline gelir
- Uygulama takibine izin verseniz de reddetseniz de IP, konum, kullanıcı aracısı ve coğrafi bilgi kombinasyonu birçok üçüncü tarafa sızabilir
- Sahte bir DSP ve veri aracıları verileri saniyeler içinde alabilir
- Satın alınan
MAID <> PIIverileri üzerinden ad veya telefon numarası IDFA, IP adresi ve kullanıcı aracısıyla ilişkilendirilebilir - Ardından konum geçmişinden oluşan Mobility data içinde önceki adımdaki değerlerle filtreleme yapıldığında belirli bir kişinin hareket geçmişi bulunabilir
- Tüm akışı özetleyen flowchart, uygulamalar, reklam ağları, aracılar ve kişisel bilgi veri setleri arasındaki bağlantıyı gösteriyor
- Her bir işlem birimi yasal veya yasal gibi görünebilir; ancak birleşik yapı bir bütün olarak kişisel konum takibini mümkün kılıyor
1 yorum
Hacker News yorumları
Büyük gizlilik sorunu, ne yaparsak yapalım iletişim bilgilerinin satılmasını engellemenin makul bir yolu olmaması
Kuzenim TikTok’u açıp “tüm kişileri paylaşacağım”a bastığı anda benim adım, telefon numaram ve e-postam da hepsinin içine karışıyor
Gerçekten bu tür verileri satın aldığımız da oluyor. Müşteri hizmetlerinde tıkanırsak pazaryerinde bir yöneticiyi bulup birkaç kuruşa iletişim bilgilerini satın aldıktan sonra cep telefonundan arıyoruz; çoğunlukla işe yarıyor ama büyük ölçüde ters tepebiliyor. CashApp bu yüzden hesabımı kapattı
Yetki sahibi insanların mevcut yapıyı yeniden düşünmesini sağlayacak neredeyse tek yol bu olabilir. Red Reddington’ın e-postası olmadığını söylediğinde insanlar gülmüştü, ama böyle durumlara bakınca anlaşılıyor
https://mobiledevmemo.com/wp-content/uploads/2024/09/image.p...
Arayüz de insanların düşünmeden “tümüne izin ver”e basmasındansa yalnızca bazı kişilere izin vermeye yöneltecek şekilde tasarlanmış gibi görünüyor
Daha büyük sorun, çevrimiçi perakendecilere verdiğimiz iletişim bilgileri. Uygulamalar üzerinden kişi toplama daha görünür olduğu için basın ve tüketici tepkisi çekiyor; oysa çevrimiçi siparişlerde ad, adres, telefon numarası ve e-postayı doğru girmek gerekiyor ve teslimat/ödeme amaçları nedeniyle bunların gerçek olma olasılığı da yüksek. Bu veriler, “TikTok kişilerinize erişmek istiyor” gibi bir modal olmadan arka planda sessizce veri brokerlarına aktarılabilir
Sonunda bunu tekrar yapmamaları için uyarı verdik; ikinci ihlalde daha sert önlemler aldık. Bazı olaylarda şirketin hukuk ekibi doğrudan devreye girdi, ima yoluyla tehdit ederek istediğini almaya çalışanlar yüzünden kolluk kuvvetleri bile gündeme geldi
Bu yüzden şirketlerin bu şekilde yaklaşan müşterileri neden hızla kilitlediğini anlıyorum
Bu düzeyde ayrıntılı inceleme görmek sevindirici. Gizlilikle ilgili yazılar çoğu zaman teknik derinlikten yoksun oluyor ya da gizlilik endişeleriyle risklerin seviyesini ayırt edemeyip abartıya kaçıyor
Mozilla’nın otomobil gizlilik politikaları araştırmasına çok atıf yapılıyor, ama o daha çok otomobil şirketlerinin avukatlarının gizlilik politikasına koymaları gerektiğine karar verdiği şeylerin derlenmesi gibi. Politika, araç içindeki konuşmaların kaydedilebileceğini ima ediyor ve bunun gerçekten olma olasılığı da yüksek; fakat teknik ayrıntıların içine girmiyor
Örneğin otomobil şirketinin tüm sürüş boyunca tüm sesleri kaydedip aktarıp aktarmadığı, yalnızca rastgele örnekler mi kaydettiği, sadece sesli komut sırasında mı kayıt yaptığı ve bu süreçte tesadüfen gelebilecek veriler için avukatların geniş bir savunma mı yazdığı, verilerin nerede ve ne kadar süre saklandığı, üçüncü taraflara gidip gitmediği, hangi sistemlerin kapatılabileceği ve kapatılırsa işlevler/garanti/sigorta primleri üzerinde etkisi olup olmadığı gibi sorular kalıyor
Bu sorular üreticiye göre neredeyse sonsuz biçimde değişebilir. Birçok gizlilik haberi korkutucu ama dayanağı zayıf en kötü senaryolarda takılı kalıyor; ayrıntı ve iyileştirme yolları yoksa yalnızca sinizm yayıyor
Bildiğim bir otomobil üreticisinde de böyle bir politika vardı. Kurumumuz belirli bir bölge içinde istatistiksel bir temel çizgiye ihtiyaç olduğuna karar verince doğru kişilere birkaç telefon edildi ve çok geçmeden, o dönemde o bölgeden geçen o markaya ait tüm araçların yüksek hassasiyetli hareket rotası haritasını hafif anonimleştirilmiş biçimde aldık
Sigortacılar gerçek ya da varsayımsal birçok nedenle otomobil sigorta primlerini artırır, ancak araçta kayıt cihazı yok diye tek başına primler fırlamaz
Bazı sigorta şirketleri, sigortalının sürüş alışkanlıklarına erişim hakkı aldığında riski daha düşük varsayıp daha ucuz fiyat verebiliyor. Ama bu başka bir soru
Oldukça ilginç pek çok takip akışı var. Kiramı Bilt adlı bir şirket üzerinden ödüyorum; artık Walgreens’te alışveriş yaptığımda Bilt’in satın aldığım kalemlerin tamamını içeren fişi bana e-postayla gönderdiğini fark ettim
Örnekte “Walgreens’te alışveriş yaptınız ve Neighborhood Pharmacy avantajıyla Bilt Points kazandınız” diyerek TOSTITOS gibi ürünleri, fiyatı, puanları ve hariç tutulan ürünleri bile gösteriyor
Dışarıdan bakınca Plan B ya da prezervatif gibi hassas ürünlerin hariç tutulacağını umuyor insan, ama bu verinin Walgreens’ten kira şirketime nasıl aktığını merak ediyorum. Belki de bilmemek ve nakit ya da garantili çek kullanmak daha iyi olabilir
Birkaç ay önceki kısa bir yorum dizisi de var: https://news.ycombinator.com/item?id=41213632
https://support.biltrewards.com/hc/en-us/articles/2901187842...
Aşağıdaki FSA/HSA avantajları bölümünde Bilt’in ürün kalemi düzeyinde veri aldığı açıkça belirtilmiş
https://www.biltrewards.com/terms/walgreens
Bilt profilinde başka kredi kartlarıyla bağlantı olup olmadığını gösteren bir bölüm var; kartların en baştan listede görünmesi bile epey ürkütücü
Ben kesinlikle kapattım. Bilt sonuçta büyük bir puan/ödül programı, bağlarsanız puan alabilirsiniz
Bilt’in iş planını hâlâ tam bilmiyorum ama özü, insanların finansal verilerini mümkün olduğunca çok toplamak ve bunun için ev sahipleriyle ortaklık kurmak gibi görünüyor. Kira ödeme aracı olduğu için tamamen ayrılmak da zor; ev sahibine kâğıt çek postalamak gerekebilir
Şimdiye kadar kullandığım herhangi bir yazılımdan daha istilacıydı; bunun yasal olup olmadığını da bilmiyorum. Ama fiili gizlilik haklarının olmadığı ABD’de mümkün olan bir şey
Kullanıcıya bu düzeyde erişimi seçtirmek yerine, hesap oluştururken otomatik kaydediyor, veriyi çekiyor ve daha sonra “opt-out” yapmanıza izin veriyor. Böylece her hâlükârda kişisel ve hassas finansal verilere zaten erişmiş oluyor. Bina kirayı Bilt üzerinden alıyorsa hesap fiilen zorunlu olduğundan, sistem milyonlarca kişinin farkında olmadan verilerini devredeceği şekilde kurulmuş
Bilt’in gizlilik ayarlarında Instant Link dahil kapatılabilecek seçenekler var; hepsini kapatmanızı öneririm. Ancak bu şirketin karanlık uygulamalarına bakınca o ayarların gerçekten uygulandığına inanmak da zor
Method Financial adlı bir şirketin bir şekilde kişisel ve hassas finansal verilerin tamamına gerçek zamanlı erişimi olduğunu biliyor muydunuz? Adını bile duymadığınız bu şirketin bu erişimi en yüksek teklifi verene sattığını biliyor muydunuz? Herhangi bir yerde buna onay verdiğinizi hatırlıyor musunuz? Benim de hiçbirine yanıtım evet değil
[0]: https://www.biltrewards.com
[1]: https://methodfi.com
“Ekran parlaklığını, bellek kapasitesini, mevcut ses düzeyini, kulaklık takılı olup olmadığını neden bilmek gerekiyor?” sorusuna gelince; bu, reklam tekliflerini daha hassas hâle getirmekten çok, uygulamalar arasında kullanıcıyı anonimlikten çıkarmak için entropi eklemeye benziyor
Reklam SDK’sının yeni bir sürümünün yayılması uzun sürer. Genelde yeni sürüm çıktıktan sonra reklam trafiğinin %50’sinin o sürüm veya üstünden gelmesi yaklaşık 6 ay sürer diye bakılır. Ayrıca hangi sürümü çıkarırsanız çıkarın, trafiğin yaklaşık %1’i o sürümden sonra sonsuza dek yükseltilmez
Böyle bir dünyada, özellikle de kimsenin fark etmeyeceğini düşünüyorsanız, gereğinden fazla veri toplamak iş açısından mantıklıdır. Toplam/boş disk alanı gibi şeyler de ilk bakışta gerekli görünmeyebilir; ama bir reklamveren “10 GB’lık bir oyunun reklamına günde 1 milyon dolar harcamak istiyorum, ama yalnızca yükleyebilecek cihazlarda gösterilsin” dediğinde cihazın diskinin yalnızca 8 GB olması ya da sadece 100 MB boş alan kalması bilgisi birden yararlı hâle gelir
Disk alanını toplamıyorsanız artık bunu SDK’ya eklemeniz gerekir. Yeni SDK’nın çıkması 1–2 ay, anlamlı trafiğe ulaşması 3 ay, %50’ye varması da bir 3 ay daha sürer. Lineer artış varsayarsak 7 ayda 22,5 milyon dolar kazanırsınız; oysa mantık en baştan mevcut olsaydı aynı dönemde 210 milyon dolar kazanırdınız. İş tarafındaki kişiler için kolay bir seçim
Çözümler var ama hepsinin dezavantajları var. Reklam şirketlerinin toplayabileceği verileri sınırlarsanız reklamın değeri düşer. Şirketler konum gibi değeri düşük, riski yüksek verileri zaten kaldırıyor. Reklam kodunun uygulamadan bağımsız güncellenebildiği bir modeli desteklemenin daha iyi olduğunu düşünüyorum; ama Apple’ın yakın zamanda böyle bir şey yapacağına dair işaret yok, Google’ın yanıtı ise fazla dağınık olduğu için önümüzdeki 4 yılda uygulanabilir görmüyorum
Ek olarak, ekran parlaklığı kullanıcı yaşını çok kaba biçimde tahmin etmeye yarayan bir vekil değişkendir
“LTE ise enlem-boylam çok daha doğru olurdu” ifadesi yanlış. Uygulamalar, konum izni yoksa hücre ID bilgisine erişemez; izin varsa da zaten doğrudan konumu isteyebilir
“Ücretsiz uygulama kesin konumu ve zaman damgasını topluyor” ifadesi de alarmcı ve kendi içinde tutarsız. Çünkü yazar birkaç paragraf yukarıda “paylaşılan konumun o kadar da doğru olmadığını” kabul etmişti
Uygulamanın konum servisleri üzerinden kesin konum istemesi mümkün, ancak söz konusu uygulama böyle bir izin istemiyor. Android’de bu kontrol edilebilir; iOS’ta ise yükleyip çalıştırmadan önce istenen izinleri görmek zor, ama bu tür bir uygulama neredeyse kesin olarak “o kadar da doğru olmayan” konumla sınırlı kalır
Teoride reklam borsaları, IDFA olmadan uygulamalar arası takibi mümkün kılan dolaylı bir ID oluşturmamalı. Ancak bunu zorla uygulatmak zor
“Kullanıcı Advertising Identifier’ı sıfırlarsa, önceki Advertising Identifier’ı ve türetilmiş bilgileri, doğrudan veya dolaylı olarak sıfırlanmış Advertising Identifier ile birleştiremez, ilişkilendiremez, bağlayamaz veya bağlantılandıramazsınız”
https://developer.apple.com/support/terms/apple-developer-pr...
Gizlilik yasalarının daha iyi olduğu ülkelerde gönderilen verinin değişip değişmediğini karşılaştırmak iyi olurdu
“Takip etmemesini iste” dendiği için Advertising Tracking ID’nin 000000-0000 olarak ayarlandığı ve Stack uygulamasındaki takip seçeneğini kapatıp açarak istekler karşılaştırıldığında tek farkın bu olduğu ortaya çıkıyor
Apple’ın “Ask App not to track” şeklindeki tuhaf ifadesinin şüpheye yer bıraktığını düşünmüştüm. Uygulama ID ile takip etmiyor olabilir, ancak gönderilen başka çok fazla veri varsa kolayca kullanıcı parmak izi oluşturulabilir. Benzersiz bir ID olmasa bile, kullanıcıyı vakaların %99’unda tanımaya yetecek kadar veri sağlanabilir
Düzeltilmiş Dead Privacy Theory: Dead Internet Theory, internet etkinliğinin çoğunun botlardan oluştuğunu söyler [0]. Dead Privacy Theory ise neredeyse tüm özel verilerin gerçekte özel olmadığını; veritabanı erişimi olan veri bilimcilerin, yazılım mühendislerinin, analistlerin, veritabanı yöneticilerinin ve üçüncü tarafların isterlerse bunlara erişebileceğini söyler
[0] https://en.wikipedia.org/wiki/Dead_Internet_theory
Ayrıntılar https://developer.apple.com/app-store/user-privacy-and-data-... adresinde
Ekran parlaklığı, açılış zamanı, bellek ve operatör bilgisiyle bile herhangi bir cihazın neredeyse parmak iziyle tanımlanabileceğini düşünüyorum
Hacker News okurken ilginç geliyor. Reklamcılığı ve kişisel verilerin satışı/takibi endüstrisini mümkün kılan ve bundan kâr eden yazılımları yapan BT insanları, aynı zamanda bunu en sert eleştirenler oluyor. İnanması zor
Çoğumuz böyle işler yapan yerlerde çalışmak istemeyiz ama bizim de geçinmemiz gerekiyor. Üstelik o kararda neredeyse hiç etkimiz yok
Geçenlerde şirkette yeni bir IoT ürününün duyurusunu dinledim ve hemen neden Matter gibi açık standart bir protokolü desteklemediğini sordum. Pazarlama ekibinin, müşterilerin uygulamayı görmesini sağlayıp “metrikler” ve üst satış elde etmek istediği için bunun kesinlikle olmayacağı cevabını aldım. Ben de fikrin güzel olduğunu ama bu çöpü kendimin asla kullanmayacağını söyledim; düpedüz görmezden gelindim. Böyle insanlar o kadar az ki kimse umursamıyor. Şirket içinde popülerliğiniz de düşüyor, risk büyük ve faydası da yok. “Savaşma, aralarına katıl ve içeriden değiştir” düşüncesi hatalı
Diğer mühendislik alanlarının çoğunda kamuya açık kurallar ve standartlar, sektör sertifikasyonları var; etik de bunların içine bağlı. Etik ihlali yüzünden yetkinizi kaybederseniz çoğu durumda kariyeriniz fiilen bitebilir
Uzun zaman önce bir sorumluluk izleme sunucusu yapma fikrim vardı. Büyük resim, benzersiz kimlik bilgileri oluşturup bilgilerimi kimin sattığını kaynağına kadar izlemekti.
Bugün de bazı yöntemler var ama yeniden araştırmanın zamanı gelmiş gibi. Evde duran bir sunucuda çalışan bir VPN/proxy+uygulama olarak sunulsa, kendi verilerimi doğrudan toplayıp hesap oluştururken benzersiz kimlik bilgileri eklesem, epey şey öğrenmek mümkün olabilir.
Ortadaki adam gibi davranabileceği için kimlik bilgilerinin kaynağını not olarak bırakıp reklamları gözlemleyerek kaynağa kadar izlemek de mümkün olabilir. “Bu erkek güçlendirici reklamı, lastik satın almanızla bağlantılı” gibi.
Hâlâ elde kabaca çizilmiş çok fikir var ama böyle bir şeyin yapılıp yapılamayacağını merak ediyorum. Böyle şeyleri engellemenin ilk adımı, bunu kimin yaptığını insanlara göstermektir.
https://developers.google.com/authorized-buyers/rtb/openrtb-...
MAID/IDfV’nin PII-ID veritabanına nasıl girdiğini merak ediyorum.
O kısım tamamen eksik gibi. Ben kaçırmış da olabilirim.
Örneğin havayolu, operatör ya da elektrik şirketi gibi yerler, uygulamalarını kullanırken bunu satabilir mi?