100 bin kişi bir YouTuber’ın kilit hackleme videosunu izledi ve kilit şirketi ona dava açtı – Yapılabilecek en kötü seçim

 (arstechnica.com)
1 puan yazan GN⁺ 2025-10-28 | 1 yorum | WhatsApp'ta paylaş
  • Bir YouTuber, bir kilidin güvenlik açığını gösteren bir video yayımlayınca, ilgili üreticinin hukuki yollara başvurmasıyla tartışma büyüdü
  • Şirket ilk başta esprili ve profesyonel bir yanıt videosu yayımladı, ancak daha sonra agresif sosyal medya açıklamaları ve dava ile kamuoyundaki tepkiyi büyüttü
  • Mahkeme henüz gizlilik talebi (seal request) hakkında bir karar vermedi ve şirketin tutum değişikliği eleştiriliyor
  • Olay, Streisand etkisinin tipik bir örneği oldu; bilgiyi gizleme girişimi tersine daha fazla ilgi çekti
  • Sonuç olarak şirketin elinde yalnızca zaman ve para kaybı ile olumsuz tanıtım kaldı; olay hem hukuki hem de politika açısından başarısız bir örnek olarak değerlendiriliyor

Davanın arka planı ve gizlilik talebi tartışması

  • McNally’nin avukatı, şirketin gizlilik talebine (seal request) sert şekilde karşı çıkarak, şirketin daha önce ilgili konuda hiçbir kaygı göstermediğine dikkat çekti
    • Avukat, “Proven ancak davada geçici tedbir (preliminary injunction) alamadıktan sonra birden gizliliğin gerekli olduğunu iddia etmeye başladı” dedi
    • Ayrıca Proven’ın sosyal medyada “McNally’ye dava açtığını” duyurarak kendinden emin bir tanıtım yaptığı ve takipçilerini davayı aramaya kadar teşvik ettiği vurgulandı
  • Mahkeme hâlâ bu gizlilik talebi hakkında karar vermiş değil

Şirketin ilk tepkisi ve olumlu yaklaşımı

  • Proven, ilk olarak McNally’nin videosunu gördükten sonra yapıcı bir yanıt videosu hazırlayıp yayımladı
    • Video, sunucunun Liquid Death içeceği içerken esprili bir açılış yapmasıyla başladı ve “son birkaç gündür biraz tartışma vardı” ifadesini kabul etti
    • Ardından “geri bildirimden korkmuyoruz” diyerek eleştiriyi kabul eden bir tutum sergiledi
  • Videoda kendi kilitlerinin çalışma prensibi anlatıldı ve ‘shimming’ saldırısının gerçekçi ihtimali ile bağlamı sunuldu
    • Bu tür saldırılardan endişe duyan kullanıcılara daha pahalı, yüksek güvenlikli bir core seçebilecekleri belirtildi
  • Bu yaklaşım, hızlı, profesyonel ve savunmacı olmayan örnek bir uygulama olarak değerlendirildi

Tartışmanın büyümesi ve Streisand etkisi

  • Ancak daha sonra Proven, agresif sosyal medya açıklamaları ve dava açmasıyla durumu daha da kötüleştirdi
    • Bu yaklaşım hem hukuki hem de politika açısından yanlış bir karar olarak değerlendirildi ve şirketin imajına ciddi zarar verdi
  • Sonuçta olay, Streisand etkisinin öne çıkan örneklerinden biri oldu; bilgiyi gizleme çabası tersine daha fazla dikkat çekti
    • Proven’ın açtığı dava, McNally’nin videosu ile konunun daha da geniş kitlelere yayılmasına yol açtı

Kişisel duygular ile hukuki değerlendirmeyi karıştırmak

  • Dava belgelerinde alay (ridicule) ve taciz (harassment) ifadeleri tekrar tekrar yer alıyor; bu da olayın şirket ve çalışanlar açısından kişisel bir meseleye dönüştüğünü gösteriyor
    • Şirket tarafı, kendileriyle alay edildiğini veya tehdit edildiklerini hissettiklerini söylerken, savunma tarafı “alay yasa dışı değildir ve telif hakkı ihlali ya da dava gerekçesi olamaz” diye karşı çıktı
  • Çevrimiçi taciz hâlâ ciddi bir sorun olsa da, kişisel duygulara dayanan misilleme amaçlı davalar akıllıca bir tercih olarak görülmüyor
    • Özellikle McNally, zaten çok sayıda takipçisi olan bir influencer ve DMCA kaldırma taleplerine karşı da geri adım atmayıp yanıt videoları üreten biri

Sonuç ve çıkarılacak dersler

  • Proven’ın davası büyük zaman ve maliyet kaybına yol açtı ve olumsuz tanıtım dışında neredeyse hiçbir kazanım sağlamadı
  • Bu olay, şirketlerin eleştirilere yanıt ile hukuki adımlar arasındaki dengeyi nasıl kurması gerektiğini gösteren bir örnek oldu ve
    şeffaf ve esnek bir iletişim stratejisinin önemini yeniden öne çıkardı

İlgili okumalar

1 yorum

 
GN⁺ 2025-10-28
Hacker News görüşü

  • Henüz bilmiyorsanız LockPickingLawyer videolarını mutlaka izlemenizi tavsiye ederim
    Çeşitli şirketlerin zayıf güvenlik iddialarını birkaç saniye içinde çürütüyor
    Çoğu kilidin gerçekte ne kadar güvensiz olduğunu görmek oldukça ilginç
    Acaba ona karşı hiç dava açılmış mı diye merak ediyorum

    • LPL'nin işlettiği Covert Instruments, bu kez dava edilen YouTuber McNally'yi istihdam ediyor
      Muhtemelen bu yüzden Covert Instruments davaya dahil edilmedi
    • LPL'nin yüksek güvenlikli konteyner kilitlerini test ettiği videoyu izlemiştim
      Video 2 dakikaydı, başta “bu sağlamdır herhalde” dedim ama meğer 10 kilidi arka arkaya açtığı sahneymiş
    • LPL, YouTube'un gizli hazinelerinden biri
      1 Nisan videoları da gerçekten komik — örneğin eşinin beaver'ına girdiği video gibi (SFW)
    • Yıllarca LPL videoları izledikten sonra vardığım sonuç, daha ucuz kilitler almaya başladığım oldu
      Becerikli biri için 3 dolarlıkla 300 dolarlık arasında en fazla 1 dakikalık fark var
      Gerçek hırsızı hiçbir kilit durduramaz ama tembel hırsızı her kilit durdurur
    • LPL sayesinde ben de bir lockpick seti alıp basit kilitlerle pratik yaptım
      COVID kapanmaları sırasında ucuz ve eğlenceli bir hobiydi

  • 2007'de Master Lock #175'i bir ataçla açtığım ilk YouTube videosunu yüklemiştim
    1,5 milyon izlenmeyi geçtikten sonra video sebepsiz yere gelirsizleştirildi
    Muhtemelen bir DMCA talebi yüzündendi ama o zamanlar param yoktu, ben de kabullendim
    Sonrasında hesabı kapattım, fakat şimdi bu tür videoların üreticiler üzerinde güvenliği iyileştirme baskısı oluşturduğunu anlıyorum
    Son zamanlarda #175'in toleransları iyileştirildi, bu yüzden artık ataçla açılmıyor ama ince ve yüksek dayanımlı bir pick ile hâlâ aynı yöntemle açılıyor
    “Kilitler sadece dürüst insanları dürüst tutar” sözü tam isabet

    • Gerçek hırsızlar lockpick öğrenmez
      Testere veya kesici aletlerle kilidi çok daha hızlı kırabilirler
    • Master Lock'un sorunu yeni değil
      1980'lerde BBS'ten kilit açmayı anlatan bir dosya indirmiştim
      Hâlâ bu bağlantıda görülebiliyor

  • Şirket sonunda McNally'ye açtığı davayı geri çekti
    Ama bir de mahkeme kayıtlarının tamamının mühürlenmesi için tuhaf bir talepte bulundu
    İlk başta sert çıkıp sonra geri adım atan tipik bir gözdağı veren şirket davranışı gibi görünüyor
    Kendi açtıkları davanın yol açtığı tepkiyi “sanığın etkisine” bağlamaları saçma
    Sonuçta tam bir Streisand etkisi ders kitabı örneği oldu
    Sosyal medyayı nasıl yöneteceğini bilmeyen yöneticilerden uzak durmak gerektiğini gösteren bir ders

    • Bunun uç bir örneği olarak Sircles adlı startup verilebilir
      7 yıldan uzun süredir faaliyet gösteriyor ama geliri 100 bin dolara bile ulaşmadı, borcu ise 9 milyon dolar
      Kurucusunun Reddit'te eleştirmenleri bulup tehditkâr mektuplar gönderdiği söyleniyor
      WeFunder üzerinden 6 milyon dolar topladı ama yıllık nakit yakımı 1 milyon doların üzerinde olduğu için yatırımın geri dönüşe dönmesi pek olası görünmüyor
    • Bu tür şirketler genelde kurucu merkezli yapılar olduğu için
      onları sosyal medyada tartışmamaya ikna etmek neredeyse imkânsız oluyor

  • Mahkemede Proven çalışanı, McNally'nin tekniğini bizzat yeniden uygulayabildiğini kabul etti
    Bunun üzerine avukat “o zaman dava açmadan önce kilidi düzeltmek daha iyi olmaz mıydı” diye sordu
    Bu tek cümleyle davanın gidişatı netleşti

  • Eskiden bir şirkette parolaları kasada saklıyorduk ama bir gün anahtarı kaybetmiştik
    Sonunda parolaları çıkarmak için kasayı çekiçle kırdık
    Bazıları “o zaman kasa güvenli değilmiş” diye şikâyet etti ama güvenlik ekibi “tam olarak amaçlanan davranış bu” diye yanıt verdi
    O anda anladım — hiçbir kasa tamamen güvenli değildir, sadece zaman kazandırır

    • Tam bir zen koanı gibi hikâye

  • Şirketin videoya ilk tepkisi aslında oldukça iyiydi
    “Müşteriler sahada hiç shim görmedi” mantığıyla, güvenliğin mükemmellik değil yeterli seviye meselesi olduğunu savundular
    Ama shim'lenebilen kilitler üretmeye devam etmek yine de demode bir yaklaşım
    Üstelik öne çıkardıkları shim önleyici model de sadece bir oyuk daha eklenmiş hâliydi

    • “Sahada shim tespit edilmedi” iddiası PR açısından fena değil ama pratikte olabilecek en kötü yanıt
      Shim çok hızlı ve iz bırakmadan çalıştığı için, 24 saat gözetim olsa bile insanların sadece “anahtarımı kaybettim” diye düşünmesi çok olası

  • Bir YouTuber, 100 dolarlık bir kilidi içecek kutusundan kesilmiş bir parçayla 10 saniyede açtı
    Tek kelime etmeden yaptığı gösteriyle şirketin iddialarını tamamen çökerten bir videoydu
    Gerçekten ustalık sınıfı düzeyinde bir performanstı

  • Olayı daha derinlemesine ele alan bir video var
    Bu bağlantıdan izlenebilir,
    Lee'nin ifade sırasında yalan beyanda bulunmuş olabileceği (perjury) de dile getiriliyor

    • Videonun akışı yavaş, 1.25x hızda izleyince tam kıvamında

  • Kilit üreticileri RFID ve yazılımla anahtar doğrulama kullanmaya başlamalı
    Böylece anahtar paylaşımı yasa dışı hâle gelebilir

    • Finlandiya'da iLOQ veya Abloy eCLIQ gibi elektronik kilitler yaygın
      Anahtarı çevirmenin yarattığı mekanik hareketten güç aldıkları için pile ihtiyaç duymuyorlar
      Kiracı değişiminin sık olduğu kiralık binalar gibi yerlerde yönetim açısından verimliler
      Ama pratikte temas sorunları ya da aşınma nedeniyle tanımama gibi yazılım tabanlı sistemlerin dezavantajları da oldukça fazla
    • “09 F9 11 02 9D 74 E3 5B D8 41 56 C5 63 56 88 C0”
      (şifreleme anahtarına gönderme yapan şaka amaçlı bir yorum)
    • DMCA kullanılarak kilidin içine telif hakkıyla korunan içerik yerleştirilirse
      erişimin kendisi yasa dışı hâle getirilebilir mi fikri ortaya atılıyor
    • “Anahtar paylaşımı yasa dışı olur” ifadesinin hangi bölge hukukunu kastettiğini merak ediyorum
      Ülkelerin hukuk sistemleri birbirinden çok farklı
    • Kilit kavramının kendisini pek anlamıyorum
      Sonsuza kadar kapalı kalmasını istiyorsan mühürlersin, açılıp kapanmasını istiyorsan menteşe takarsın
      Sadece seçilmiş kişilerin açabilmesini istiyorsan onu güvenilir bir ortamda tutarsın
      İyi bir mahallede yaşıyorsan bu mümkün olmaz mı