Meta'nın “Localhost Tracking” tekniği, 32 milyar euroya kadar (47 trilyon won) para cezası riskiyle karşı karşıya

 (zeropartydata.es)
8 puan yazan GN⁺ 2025-06-11 | 5 yorum | WhatsApp'ta paylaş
  • Meta, Android sandbox'ını aşan bir izleme yöntemi (“localhost tracking”) geliştirerek VPN, gizli mod veya çerez silme gibi önlemlerden bağımsız şekilde kullanıcının gerçek kimliği ile web gezinti faaliyetlerini birbirine bağlayarak izledi
  • Bu teknikte Meta uygulaması (arka planda) ile tarayıcı içindeki Meta Pixel betiği yerel ağ portları üzerinden bilgi alışverişi yapıyor; kullanıcı giriş yapmamış olsa bile _fbp çerezi hesabıyla ilişkilendiriliyor
  • Bu yöntemle web tarayıcısı davranışları ile gerçek Facebook/Instagram hesapları eşleştiriliyor ve kullanıcı onayı olmadan büyük ölçekli kişisel veri birleştirmesi yapılıyor
  • GDPR, DSA, DMA gibi Avrupa'nın başlıca veri koruma yasaları aynı anda ihlal edildiğinden yaptırımlar birikimli uygulanabilir; bu da en fazla 32 milyar euroya kadar ceza ihtimali doğuruyor (yaklaşık %4, %6, %10 ciro oranları)
  • 9 aydan uzun süre boyunca, dünya genelindeki büyük web sitelerinin fiilen %22'sinde (ABD'de 17 binden fazla site dahil) kullanıcı onayı olmadan geniş çaplı izleme yapıldı ve yüz milyonlarca kişinin verisi “açık bir açıklama olmaksızın” ilişkilendirilerek toplandı
  • Tekrarlanan ihlaller, pazar hakimiyetinin kötüye kullanılması ve teknik kaçınma niyetinin açık olması nedeniyle, tarihte ilk kez birikimli en yüksek cezanın uygulanması ihtimali dahi tartışılıyor
  • iOS, PC ve uygulamanın kurulu olmadığı kullanıcılar gibi yalnızca bazı gruplar etkiden kurtulabiliyor

Meta'nın “localhost tracking” teknolojisi

  • Meta, “localhost tracking” adlı yenilikçi ama tartışmalı teknikle, Android sandbox sisteminin kullanıcı kaynaklarının tanımlanmasını engellemek için kasıtlı olarak koyduğu korumaları aşıyor
  • Facebook/Instagram uygulaması arka planda telefonda belirli TCP/UDP portlarını açıp “listening” durumunda tutuyor (giriş yapılmış olması gerekiyor)
  • Kullanıcı aynı cihazda tarayıcıyla bir web sitesine girdiğinde (ör. haber sitesi, e-ticaret sitesi), o sitede Meta Pixel kuruluysa çerezler ve etkinlik bilgileri anında toplanıyor
    • VPN, gizli mod, çerez silme gibi gizlilik önlemleri kullanılsa bile etkisiz kalıyor
  • Tarayıcıdaki Meta Pixel betiği, WebRTC (aslında video/ses iletişimi için) ile SDP Munging adlı bir hileyi kullanarak _fbp çerezini doğrudan uygulamaya gönderiyor
  • Aynı anda aynı bilgiyi ayrı olarak Meta sunucularına da gönderiyor; böylece çevrim içi ve çevrim dışı çift yönlü bağlantılı izleme mümkün oluyor
  • Facebook/Instagram uygulaması _fbp değerini alıp, hesap benzersiz tanımlayıcısıyla birlikte bunu yeniden Meta GraphQL sunucusuna iletiyor
    • Sonuç olarak web tarayıcısı ziyaret kimliği ile gerçek Facebook/Instagram kullanıcı hesabı, web ziyaret etkinliği ile gerçek kimliği 1:1 eşleştirerek güçlü biçimde birleştiriliyor

Sorun neden bu kadar ciddi?

  • Android tasarımında yasaklanan yerel port dinleme / uygulamalar arası gizli iletişim dolaylı yollarla aşılıyor
  • Kullanıcı uygulamayı açmasa da, web tarayıcısında giriş yapmasa da, VPN, gizli mod, çerez silme gibi savunma araçları işe yaramıyor
  • GDPR gibi veri koruma düzenlemelerine uyum için gerekli açık ve yeterli önceden alınmış onay olmadan veri toplanıyor ve ilişkilendiriliyor
  • Dünyanın en büyük sitelerinin %22'si etkileniyor; 9 ay (Meta) / 8 yıl (Yandex) boyunca milyarlarca kişi rızası olmadan izlendi
  • Toplanan ve birleştirilen veriler: tam tarama geçmişi, sepet ve satın alma kayıtları, web sitesi form girişleri, zamana göre davranış kalıpları, gerçek isimli hesap bağlantısı vb.
  • Yalnızca iOS ve PC kullanımı, uygulamanın yüklü olmaması veya sadece Brave/DuckDuckGo tarayıcılarının kullanılması istisna

Başlıca yasal ihlal kalemleri

  • GDPR: reklam amaçlı kişisel veri işleme için onay gerekir; veri minimizasyonu / gizliliği tasarımdan itibaren sağlama yükümlülüğü ihlal edilmiş olabilir (cironun en fazla %4'ü)
  • DSA (Madde 26): profil üzerinden hassas verilere (eğilimler, siyasi görüş, sağlık vb.) dayalı kişiselleştirilmiş reklam yasaktır (cironun en fazla %10'u)
  • DMA (Madde 5.2): çekirdek platformlar arasında açık onay olmadan kişisel veri birleştirilmesi yasaktır (en fazla %10, tekrarda %20)
    • Hesap bağlantısı için en az üç ayrı onay gerekirken (GDPR, ePrivacy, DMA), yalnızca biri isteniyor (“Pay or OK” şeklinde dayatılan alternatif)
    • Nitekim Nisan 2025'te DMA ihlaliyle bağlantılı olarak 200 milyon euro ceza verilmiş bir örnek zaten bulunuyor

Para cezası ve yaptırım beklentisi

  • GDPR, DMA ve DSA'nın her biri ayrı hukuki koruma alanları ve ceza sistemlerine sahip olduğundan cezalar birikimli hesaplanabilir
  • Teorik azami ceza 32 milyar euro. Meta'nın tekrarlanan ihlalleri, düzenleyicilerle yetersiz iş birliği, pazar hakimiyeti ve kasıtlı kaçınma emareleri göz önüne alındığında emsal niteliğinde ağır yaptırımlar beklenebilir

Sonuç

  • Meta'nın “localhost tracking” tekniği, mahremiyet korumasına ilişkin teknik ve hukuki standartları kötü niyetli biçimde aşmanın çarpıcı bir örneği olarak, küresel ölçekte son derece geniş bir etki alanı ve ciddiyet gösteriyor.
  • GDPR/DSA/DMA kapsamında çoklu ihlal durumu ile pazar hakimiyeti ve tekrar eden ihlal geçmişi birlikte değerlendirildiğinde, tarihin en yüksek seviyedeki birikimli para cezalarından birinin gerçekten uygulanma ihtimali bulunuyor
  • Düzenleyicilerin ilk kez GDPR, DSA ve DMA kapsamında birikimli para cezası (en fazla 32 milyar euro) uygulayıp uygulamayacağına dair küresel ilgi yoğunlaşmış durumda

İlgili okumalar

5 yorum

 
luiseok 2025-06-11

Buna onay veren yönetici düzeyindekilerin içeride nasıl sorumlu tutulacağını doğrusu merak ediyorum.
 
kimjoin2 2025-06-11

iOS güvenli midir diye merak ediyorum..
 
brainer 2025-06-11

S: iOS/diğer platformlar da etkileniyor mu?
C: Şu ana kadar yalnızca Android'de doğrulandı; teknik olarak iOS/masaüstü/akıllı TV gibi platformlarda da potansiyel risk bulunuyor
 
GN⁺ 2025-06-11
Hacker News görüşleri

  • Daha önce tartışılan ilgili başlıklar için, web'den uygulamaya takip meselesi ile Meta ve Yandex'in gizlilik sorunlarını bir araya getiren bir bağlantı derlemesi paylaşılıyor. Şu konular anılıyor: Washington Post'un gizlilik ipuçları (Chrome'u bırakın, Meta uygulamalarını ve Yandex'i silin), Meta'nın Android kullanıcılarını Instagram ve Facebook üzerinden gizlice takip etmesi, araştırmacıların itirazından sonra Android'de mobil port takip tekniğinin durdurulması, Yandex ve Meta'nın WebRTC üzerinden takip verisi sızdırması

  • 2014'te Android Twitter uygulamasının cihazımdaki yüklü tüm uygulamaların listesini Twitter sunucularına göndermeye başladığı olayı hatırlatıyor. O zamandan beri, tarayıcıda kullanılabilen servislerde native uygulama yerine ısrarla web sürümünü kullanıyor. Facebook ya da Instagram kullanmadığı için son dönemde nasıl çalıştıklarını bilmiyor. O dönemde Facebook Messenger'ın da tarayıcı ortamında işlevleri bilerek kısıtladığını deneyimlemiş. Son 10 yılda native uygulamalar sayısız izin istedi ve kullanıcılar da çoğu zaman düşünmeden tıklayıp onay verdi. Facebook'un neden benim Wi‑Fi ya da Bluetooth bilgilerimi görebilmesi gerektiğini sorguluyor. Fiziksel mağazalarda bile beacon ile insan takip edildiği örnekler var
    https://en.wikipedia.org/wiki/Facebook_Bluetooth_Beacon . Üzücü olan, native uygulamaların web uygulamalarına göre çok daha akıcı ve performanslı olması

    • Facebook Messenger'ın tarayıcıda bilerek kullanışsız hale getirildiğine dair deneyim paylaşıyor. Messenger Lite'ı da kullanmış ama sonunda o da kapatılmış. Etkinlikler ya da iletişimler yüzünden Facebook'u kullanmaya devam etmek zorunda ama Messenger uygulamasını asla kurmuyor; sonuçta masaüstü modunda zorla kullanmanın sıkıntısını anlatıyor. Akışta da "sana önerilenler" dolup taşıyor, bu yüzden eskisi gibi bağımlılık yaratmıyor. Neden kullanıcıları kaçırmaya çalışıyorlar anlamıyor ama gerçekten öyle hissettiriyor

    • Son birkaç yılda web uygulamalarının bizzat aşırı derecede engellendiğini söylüyor. Zamanın yarısı "uygulamayı yükleyin" açılır pencereleriyle geçiyor, kalan yarısında da zaten çalışmıyor. Daha da hayal kırıcı olan, bugün çoğu native uygulamanın fiilen bir webview olması ve çoğu zaman native UI bile kullanmaması. Pratikte Safari'den farkı yoksa, bırakın doğrudan Safari kullanalım diye yakınıyor

    • O zamanlar biraz aşırı görünse de yalnızca tarayıcı sürümünü kullanmakta ısrar etmiş ve bugün de bundan pişman değil. Bildirim gibi dikkat dağıtıcı şeylerden de kurtulmuş. Apple ya da Google gizliliği gerçekten ciddiye alsaydı durum farklı olabilirdi. F-Droid'de olmayan uygulamalar içinse sadece bekliyor

    • Bu tür uygulama takibi bugün de tamamen yasal. Tüm uygulamalar “güvenlik amacıyla” o anda yüklü uygulama listesini ve yakın zamanda çalıştırılan uygulamaları tarayabiliyor. Aynı durum kişiler için de geçerli. WhatsApp (yönettiği Meta ürünleri içinde kullandığı tek ürün) çok kısa aralıklarla kişi bilgilerini kontrol ediyor ve değişiklik algılanırsa yalnızca farkı sunucuya yüklüyor. Bu tartışmadaki asıl mesele, Meta'nın Google'a “cookie matching” ücreti ödemeden kullanıcı eşlemesini web üzerinden dolanarak yapması

  • Bu sistemde Meta mühendislerinin kod commit'leri, ürün yöneticilerinin ise ticket talepleriyle işlem yaptığına dair kayıtlar var. Bu kişilerin maaşlarının belli bir oranı kadar, Facebook'un gelirinin belli bir oranı üzerinden kesilen ceza benzeri kişisel sorumluluk taşımaları gerektiğini savunan bir görüş var

    • Aslında gerçekten sorumlu tutulması gerekenlerin, bu tür sistemlere izin veren yöneticiler olduğu vurgulanıyor

    • Fikir olarak katılıyor ama yalnızca alt kademe çalışanların sorumlu tutulup üst yönetimin muaf kalması doğru değil. Sorumluluk yukarıya kadar çıkmalı görüşü paylaşılıyor

    • Bu konu, CS Lewis'in meşhur alıntısını hatırlatıyor. “En kötü kötülükler temiz, halı kaplı, sessiz ofislerde takım elbiseli insanlar tarafından planlanır” fikrinin modern bir örneği olarak Meta gibi büyük şirketler anılıyor

    • Etik olarak kesinlikle sorunlu bir iş olduğu kabul ediliyor ama bazı mühendisler maaş verildiği sürece her şeyi inşa eder. Onlar yapmazsa başkası yapacaktır ve bazen teknik olarak zorlayıcı olması da ilgi çekebilir. Sonuçta sorumluluğun yöneticilere ve parayı sağlayan üst kademeye, yani Zuck gibi para ve çıkarı toplayan kişilere yüklenmesi; paranın izinin sürülmesi gerektiği vurgulanıyor

    • ABD'de yaşayan Amerikalı bir mühendise AB'nin para cezası kesmesinin mümkün olup olmadığı sorgulanıyor

  • Bunun Meta tarafından yapılmış olmasına şaşırmadığını söylüyor. Eskiden, 2010'ların başında, iOS App Store'daki HTTPS trafiğini izleyerek hangi uygulamaların popülerleştiğini erkenden görmüşlerdi; böylece WhatsApp ya da Instagram satın almalarına karar verebildiler. Bugünkü durumda Zuckerberg'in büyük hamlesi, bir sonraki platform (AR, VR) gelene kadar Meta'nın ayakta kalmasını sağlamak gibi görünüyor. Meta yeni platformu ele geçirirse artık makul kurallara uymak zorunda kalmayacağını ve reklam makinesinin internet üzerindeki dokunaçlarını daha da serbestçe uzatabileceğini hesaplıyor. İstenir bir tablo değil ama gerçekçi olarak bunu başarma ihtimalleri yüksek görünüyor

    • Şirketler AR/VR'ın bir sonraki platform olmasını gerçekten çok istiyor ama az sayıdaki oyun meraklısı dışında genel kitlenin bunu gerçekten isteyip istemediği şüpheli. Sinemadaki 3D gözlükler kadar sınırlı ömürlü bir etki yaratacağına dair kuşku var

    • Eski iOS uygulama izleme olayında, kullanıcının enterprise sertifikasıyla dağıtılan bir VPN'i bizzat kurması gerekiyordu ve bu App Store üzerinden gelen bir şey değildi. Kullanıcılar iOS'un korkutucu uyarılarını birkaç kez geçip kurulumu yapmalıydı ama ufak hediye kartları karşılığında bile çok sayıda kişinin buna katıldığı belirtiliyor

    • Meta'nın bu tür şeyleri tekrar tekrar yapabilmesinin nedeni, geçmişteki cezaların tekrar eden ihlalleri durdurmaya yetmemesi

    • Meta'nın VR platformu Quest toplamda yaklaşık 20 milyon adet satmış olsa da, Facebook gibi devasa kullanıcı tabanı isteyen bir şirket için bu sayı çok yetersiz. Quest 2 gibi en çok satan ürünlerden biri bile (14 milyon) 9 ay önce üretimden kalktı. Patlayıcı bir büyümeden çok uzak görünüyor

  • Bu sistemi hayata geçiren mühendisin belki de Hacker News'teki bizlerden biri olabileceği düşünülüyor. Bunu bizzat Zuck'ın yazmadığı tahmin ediliyor

    • Burada (Hacker News'te) mühendislere yaptıkları işin etik yönünü düşünmeleri söylendiğinde sık sık “Ben sadece havalı teknoloji yapmak istiyorum, şirketin bunu nerede kullandığı beni ilgilendirmez” tepkisi geliyor. “Ben sadece bir code monkey'yim; yönetici Torment Nexus yap derse yaparım” türü alaycı bir tutumun da var olduğu söyleniyor

    • Meta'nın böyle bir şeyi yapmak için AI'a ihtiyaç duymasının nedeni, AI'ın itiraz etmemesi diye şaka yapılıyor

  • İki sorun görünüyor. Birincisi, Android'de uygulamalar herhangi bir ek izin olmadan port açabiliyor. Ayrıca uygulamalar birbirleriyle de ek izin olmadan iletişim kurabiliyor. İkincisi, tarayıcı herhangi bir domain'in localhost servislerine erişmesine izin veriyor. Geçmişte de localhost'ta çalışan geliştirici servislerine erişimle ilgili güvenlik sorunları olmuştu. Bir şeylerin iyileştirilmesi gerekiyor gibi görünüyor

    • Daha keskin bir ayrımla söylersek, birincisi herhangi bir uygulamanın ek izin olmadan port dinleyebilmesi, ikincisi de herhangi bir uygulamanın ek izin olmadan yerel portlara erişebilmesi. Kişisel olarak bu yüzden masaüstünde tarayıcıyı bir network namespace içine kapatıp denemeler yaptığını söylüyor. Web siteleri benim localhost servislerime kafasına göre erişememeli görüşünde

    • Teknik olarak iki sorun olduğu doğru ama bunlar var diye Facebook'un böyle bir şey yapmasının kabul edilemeyeceği söyleniyor

    • Android uygulamalarının port açması için android.permission.INTERNET izni gerekiyor. Bu izin varsayılan olarak kurulum sırasında otomatik veriliyor; GrapheneOS gibi ayrıca engellenebilen sürümler de var. Şu an için “yalnızca dahili iletişime izin ver” gibi ince ayarlı bir kontrol desteklenmiyor diye biliniyor

    • Sitelerin kullanıcıdan özel bir izin almadan yerel ağa erişememesi için öneriler de var
      https://github.com/explainers-by-googlers/local-network-access

  • Facebook veya Instagram uygulaması Android telefonda kuruluysa, hesap oturumu açıksa ve takip pikseli gibi şeyleri engelleyen ayrı bir ayar yapılmadıysa, bu olaydan etkilenmiş olabilirsiniz. Özellikle VPN ya da gizli modu aşabilmesi ciddi bir sorun gibi görünüyor. Birçok insan bu modlarla tam gizlilik sağladığını sanıyor ama gerçekte bunlar daha çok yeni bir oturumdan ya da başka bir konumdan geliyormuş gibi görünmeyi sağlıyor

    • Ortalama kullanıcı açısından VPN ve özel tarama kullanırken bunun yeterli olduğunu düşünmek makul. Tarayıcının telefondaki uygulamalarla gizlice konuşup tüm davranışları hesaba bağlaması fazlasıyla ileri gidiyor

    • Facebook ya da Instagram uygulamasını gerçekten arka planda açık tutmanın takibi daha da kötüleştirebileceği söyleniyor. Bazı kullanıcılar uygulamaların arka planda çalışmasından aşırı rahatsız olduğu için işi biter bitmez mutlaka kapatmayı tercih ediyor

  • Asıl sorunun WebRTC olduğu belirtiliyor. WebRTC varsayılan olarak kapalı olmalı ve en azından bir izin isteme penceresinin arkasına saklanmalı. Tabii Facebook sohbet gibi bazı işlevleri gerekçe gösterip WebRTC'nin açılmasını isteyecektir ve sonuçta kullanıcıların %99'u bunu kabul edecektir

  • Meta'nın buna gerçekten neden ihtiyaç duyduğu anlaşılmıyor. Zaten fingerprinting gibi takip teknikleri varken bu kadar risk almaları gereksiz görünüyor. Muhtemelen bu yöntem, diğer takip tekniklerinin ne kadar iyi çalıştığını sınayan bir kontrol grubu olarak kullanılıyor ya da çeşitli takip yöntemlerinden biri ifşa edilir ya da kapatılırsa hemen başka bir tekniğe geçebilmek için elde tutuluyordu. Bu kadar kolay yakalanabilecek bir yöntemi kullanmaya devam etmeleri gerçekten aptalca görünüyor

    • Bu tür davranışların nedeni, şirketin sosyopatik bir düşünce tarzıyla çalışması. “Yapılamaz” dendiğinde bunu bir meydan okuma gibi görüp yakalanmadan başarmaya çalışma eğilimindeler

  • “Meta Pixel script'i _fbp cookie'sini WebRTC (STUN) SDP munging yoluyla Instagram ya da Facebook native uygulamasına gönderiyor” açıklamasının gerçekten akıl almaz bir hack olduğu söyleniyor

    • Böyle bir yöntemin nasıl onay alabildiği sorgulanıyor