Google telefon numaramı paylaştı

 (danq.me)
1 puan yazan GN⁺ 2025-05-27 | 1 yorum | WhatsApp'ta paylaş
  • Kısa süre önce Three Rings kullanıcıları yazarı tekrar tekrar aradı; nedenini araştırınca Google arama sonuçlarında yazarın kişisel cep telefonu numarasının göründüğü ortaya çıktı
  • Bu numara geçmişte Google’ın kimlik doğrulama sürecinde verilmişti ve herhangi bir onay olmadan arama sonuçlarındaki Google Business Profile içine eklenmişti
  • Yazar hemen işletme profilinden numarayı kaldırarak görünürlüğü durdurdu, ancak değişikliğin nedenine dair bir açıklama alamadı
  • Yakın zamanda başka bir bankada da kişisel veri sızıntısı yaşayan yazarın, kişisel verileri korumanın zorluğuna dair güvensizliği büyümüş durumda
  • Bu olay, kullanıcı onayının önemini gösterirken aynı zamanda kullanıcı hatalarının veya özensiz onay pencerelerinin PII sızıntılarını hızlandırabileceğine işaret ediyor

Olayın özeti

  • Yazar bu ayın başında, kurduğu Three Rings gönüllü yönetim yazılımının kullanıcılarından birinden telefon aldı
  • Resmî olarak telefon desteği sunulmuyordu, ancak geçmişte kullanıcıları bizzat geri aradığı çok olmuştu
  • Bu yüzden bazı kullanıcıların kişisel cep telefonu numarasını kaydetmiş olabileceğini düşündü

Tekrarlanan aramalar ve ortaya çıkan soru işaretleri

  • Aynı ay içinde üçüncü benzer telefon gelince, yazar numarasının nerede yayımlandığından şüphelenmeye başladı
  • Dördüncü aramada, arayan kullanıcının bağlı olduğu kuruluşun adını bilmediğini söyleyince numarayı nerede bulduğunu sordu
  • Karşı taraf, "Google’da 'Three Rings oturum açma' diye aratınca çıkıyor" diye yanıt verdi

Google arama sonuçları üzerinden kişisel verinin açığa çıkması

  • Kendisi aratıp doğruladığında, Three Rings CIC’nin Google Business Profile sayfasında yazarın kişisel iletişim numarasının yer aldığını gördü
  • Herkesin 'ara' düğmesiyle doğrudan yazarın kişisel numarasını arayabilmesi mümkün durumdaydı
  • Yazar normalde Google aramayı neredeyse hiç kullanmadığı için, başka biri haber vermese bunu fark etmeyebilirdi

Google’ın kişisel veri yönetim biçimi

  • Yazar geçmişte Google’ın kimlik doğrulama sürecinde bu numarayı vermişti, ancak bunun herkese açık olmasına onay vermemişti
  • Google’ın yakın zamanda numarayı keyfî biçimde Google Business Profile üzerinde göstermeye başladığı anlaşılıyor; bunun tam zamanı ve nedeni de belirsiz
  • Yazar işletme profilinden numarayı silince, görünürlük hemen durdu
  • Ancak numara silinince aynı anda "Telefon numarası Google tarafından değiştirildi" mesajı da kayboldu; bu yüzden değişikliğin nedeni veya süreci anlaşılamadı

Yakın tarihli başka bir finans kurumu vakası ve kullanıcı kaygısı

  • Geçen ay bir banka (Halifax), yazarla ilgisi olmayan başka bir kişiye kredi sözleşmesi bilgilerini göndermişti
  • Art arda yaşanan iki kişisel veri sızıntısı deneyimi nedeniyle yazar, acaba yanlışlıkla bir onay penceresini işaretleyip işaretlemediğinden şüphe etmeye başladı
  • Kişisel veri onay metinlerinin gerçekte anlaşılmasının zor olduğunu ve insanların farkında olmadan ‘kabul ediyorum’ düğmesine bastığı ortamı hicvediyor

Özet ve çıkarımlar

  • Bu olay, beklenmedik mahremiyet ihlallerinin herkesin başına gelebileceğini gösteriyor
  • Google ve finans kurumları gibi büyük platformlarda kişisel verilerin kullanımı ve ifşasının yönetimine dair kullanıcı güveni yeniden gündeme geliyor
  • Kullanıcı hatası, dikkatsizlik veya sistemlerin keyfî senkronizasyonu nedeniyle PII (kişisel olarak tanımlanabilir bilgi) sızıntısı riski sürüyor
  • Onayın anlamıyla gerçek veri işleme uygulamaları arasındaki uçurum hâlâ varlığını koruyor
  • BT şirketleri ile kullanıcıların, kişisel verileri güvenli biçimde yönetebilmek için daha şeffaf ve daha anlaşılır yönlendirmelere ihtiyacı var

İlgili okumalar

1 yorum

 
GN⁺ 2025-05-27
Hacker News görüşleri

  • Web sitesinde telefon numarasının herkese açık olduğu ve aynı numaranın Google Play geliştirici profilinde de göründüğü duruma dikkat çekiliyor. Her iki profilin de kişinin kendisi tarafından herkese açık hale getirilmiş bilgiler içerdiği düşünülüyor. Kişisel numara ile iş numarası aynıysa böyle bir sonucun doğal olduğu yorumu yapılıyor. Başta sorunun, Google’ın bu numarayı gizliyken herkese açmış olması gibi göründüğü; ancak Google Play tarafında müşterilerin ulaşabilmesi için bir telefon numarası istenmesinin neden olduğu açıklanıyor

    • Yazının sahibi olduğunu söyleyerek, web sitesinde telefon numarası olmaması gerektiğini ve kendisinin de bulamadığını belirtiyor. Google Play geliştirici profilinde numaranın görünmesinden üzüntü duyduğunu, haber verdiği için teşekkür ettiğini ifade ediyor

  • Geçmişte bir Samsung telefon aldığında, bilinmeyen bir numara aradığında arayan kişinin adını gösteren bir özellik olduğunu paylaşıyor. Muhtemelen bilgiyi başka kişilerin kişi rehberi veritabanından alıyordu. Bir gün komşusu aradığında, numara rehbere kayıtlı olmadığı halde ekranda 'isim GRINDER' yazmış; bunun da başka bir kullanıcının o kişiyi bu şekilde kaydetmiş olmasından kaynaklandığı anlaşılıyor. Komşusunun mahallede açılmış biri olduğu, ancak emlak satışında çalıştığı ve bu bilgi ifşasından çok rahatsız olduğu anlatılıyor. Ayrıca kendisinin o uygulamayı 7 yıldır kullanmadığını da ekliyor

    • Böyle bir şeyin gerçekten yaşanmış olmasına inanmanın zor olduğu tepkisi veriliyor. Bu örnekten çok daha vahim senaryoların da düşünülebileceği kadar tehlikeli göründüğü söyleniyor

    • Bazı Samsung telefonlarda truecaller ya da callapp yüklü olduğu ve bunun bu tür durumlara yol açtığı ekleniyor

  • Hollanda’da şirket işletirken, Google’ın ticaret odası kayıt numarasına dayanarak şirket telefon numarasını güncellediği deneyimi paylaşılıyor. Şirket telefon desteği vermiyor ama yasal olarak kayıt numarasında bir telefon numarası bulundurması gerekiyor. Bu yüzden hemen sesli mesaja düşen bir VoIP numarası kaydedilmiş ve anonsla telefon desteği verilmediği belirtilmiş. Google Business profilinden numara silinmiş olsa da, Google’ın zaman zaman numarayı yeniden otomatik olarak eklediği söyleniyor

  • Birinin sahip olduğu telefon numarasını, şirket profiline faydalı olacağını düşünerek serbestçe eklemiş olabileceği yorumu yapılıyor

    • Ekran görüntüsünde 'Numara Google tarafından güncellendi' ifadesi açıkça yazdığı için bunun kullanıcı girişi olmadığı vurgulanıyor

    • Sıradan kullanıcıların işletme profilindeki numarayı istedikleri gibi güncelleyebilmesi ve Google’ın numara sahibinden izin almadan bunu doğrudan herkese açık hale getirmesinin büyük bir hata olduğu söyleniyor

  • Kendisinin de benzer bir deneyim yaşadığını, gece 2’de telefon aldığını anlatıyor. Eski işinde bir iş ilanı hizmetini yönetirken kendi projesi için Python geliştiricisi ilanı vermiş, ancak iletişim bilgisini gizleme seçeneği yokmuş. Bu yüzden sabah 5 civarında tanımadığı biri birkaç kez arayıp programcı olmanın yolunu sormuş. İlk aramada afalladığı için işe yarar tavsiyeler bile verdiğini hatırlıyor. Şimdi bu tür gizlilik ihlallerine karşı kişisel/iş/diğer amaçlar için ayrı olmak üzere 4 farklı telefon numarası kullandığını söylüyor

    • Garip şekilde aramaların hep sabah 5’te geldiği söylenince, muhtemelen aynı bölgeden arandığı ve saat farkı nedeniyle karşı taraf için bunun mesai başlangıcı olabileceği belirtiliyor

  • Google’ın dava edilmediği zaman ortaya çıkan zararları anlatıyor. Almanya’da lieferando’nun (Takeaway.com grubu) 'restoranadı-şehir.de' gibi alan adlarını topluca kaydedip bunları kendi çağrı merkezine yönlendirdiği, ayrıca Google işletme kayıtlarını da kendi bilgileriyle değiştirdiği söyleniyor. Ardından restoran sahiplerini arayıp, Google’da işletmelerinin bulunamadığını söyleyerek sözleşme imzalamaları için baskı yaptıkları; çağrı merkezi üzerinden sipariş vermek isteyen müşterilere de yanlış yönlendirme yapıldığı ve bunun işletmelere ciddi zarar verdiği anlatılıyor. Bu sahte alan adlarından 130 binden fazla olduğu, yorum yapan kişinin de mağdur restoran sahiplerine veri seti sağlayarak yardımcı olduğu belirtiliyor. Ancak olay başına zarar tutarı yüksek olmadığı ve ABD’deki gibi toplu dava imkanı bulunmadığı için bunun hukuki bir meseleye dönüşmediği söyleniyor. Google’ın durumu bilmesine rağmen büyük holding yapısıyla sorumluluktan kaçtığı eleştiriliyor

    • Bunun 15 yıl önce BlackHatWorld’de yaygın kullanılan bir yöntem olduğundan ve şimdi VC şirketlerinin bunu kullanıyor olmasından doğan ironik bir his paylaşılıyor

    • Buradaki asıl sorunun Google’dan çok, şantaj yapan şirketin dava edilmemesi olduğu yönünde itiraz geliyor

    • Google Maps’te sadece bir alan adı kaydederek herhangi bir işletmenin kolayca ele geçirilebilip geçirilemeyeceği soruluyor; Google’ın mülkiyet anlaşmazlıklarını çözmek için özel bir süreci olup olmadığı merak ediliyor

    • Alman medyasında bu olayla ilgili düzgün araştırma yazıları olup olmadığı soruluyor

    • Google’ın kurduğu ekosistemin küçük işletmelere saldırı aracı olarak kullanılmasının ne kadar kolay olduğunun ürkütücü olduğu vurgulanıyor

  • Yazının ana metninde sunulan hikâyenin gerçekte en uygun açıklama olmayabileceği belirtiliyor. Yalnızca yorumlarda bile en az üç alternatif açıklama bulunduğu söyleniyor. Google hesabı verilerini Takeout ile indirmenin, hangi bilgilerin tutulduğunu ve ne amaçla kullanıldığını görmeye yardımcı olabileceği öneriliyor

    • Ancak Google’ın Business Profile için Takeout sunmadığı, şirketlerin çoğu zaman gizlilik yasalarının (GDPR vb.) koruması kapsamında görülmediği ve bu yüzden Google gibi büyük şirketlerin veri dışa aktarma gibi kolaylık araçları sunmadığı açıklanıyor

  • Google Play Store’da kişisel cep telefonu numarasının herkese açık hale geldiği deneyimini paylaşıyor. İşletme numarası doğrulanmazsa hesabın askıya alınacağı uyarısı altında bir aydan uzun süre doğrulama yapmaya çalıştığını, sonunda mecburen kişisel numarasını girdiğini anlatıyor

    • Benzer bir deneyim yaşamış bağımsız bir app publisher olarak, müşteri desteği bile vermediği halde telefon numarasının uygulamanın yanında görünmesinden rahatsız olduğunu söylüyor. Bu politikanın indie app geliştiricileri için yalnızca olumsuz sonuçlar doğurduğunu düşünüyor. Bu yüzden uygulamalarını mağazadan kaldırmaya karar verdiğini anlatıyor

  • Google Search üzerinden herkesin bir işletmenin telefon numarasını değiştirebildiği paylaşılıyor. Tuhaf gelse de gerçekten böyle olduğu belirtiliyor Three Rings CIC telefon numarası düzenleme örneği

    • Google Haritalar kullanıcılarının herkes için düzenleme önerisi gönderebildiği, ancak gönderilen bilgilerin incelenip öyle uygulandığı açıklanıyor. İşletmenin kapanması, adres değişikliği, çalışma saatleri değişikliği gibi birçok unsurun bildirilebildiği; hatta otobüs durakları, tren istasyonları ve tarihî yerler için bile kullanılabildiği belirtiliyor. Bu sistemin 'crowdsourcing' temelli olduğu söyleniyor. Google Business Profile açıklaması ve işletme profili kayıt bağlantısı da paylaşılıyor

  • Yazıdaki görselde numara bulanıklaştırılmış olsa da rakamların hâlâ seçilebildiği söyleniyor

    • Blog sahibi bizzat yanıt vererek, gerçek ekran görüntüsünde Ofcom tarafından resmen ayrılmış 'dramalar için kurgusal numara' kullanıldığını ve bu yüzden güvenlik sorunu olmadığını belirtiyor. Dramalar için resmi telefon numaraları referansı

    • Bulanıklaştırmanın zayıf olduğu ve numaranın hâlâ okunabildiği belirtiliyor; görüntü çok daha fazla bozulmuş olsa bile yapay zeka gibi teknolojilerle bilginin büyük ölçüde geri kazanılabildiği gerçeğine örnek olarak örnek görsel paylaşılıyor

    • Numaranın zaten 07700 987654 olduğu, dolayısıyla kurgusal bir numara olduğunun anlaşılabildiği söyleniyor

    • Sadece blur efektinin hassas bilgileri korumakta yetersiz olduğu, uzmanların daha güvenli engelleme yöntemleri önerdiği belirtiliyor. Özellikle bu görselde özel bir teknik gerekmeksizin numaranın kolayca okunabildiği söyleniyor. Eğer bulanıklaştırma kimliği korumak için yapıldıysa görselin hemen güncellenmesi tavsiye ediliyor

    • Son dönemde AI crawler’ların görseller içindeki metinleri de çıkarıp veri setleri oluşturduğu, bu yüzden özensiz blur uygulanmış görsellerin bile LLM veri kümelerine girme riski taşıdığı endişesi dile getiriliyor