TikTok, uçtan uca şifreleme getirmeyecek… “Kullanıcı güvenliğine zarar veriyor” iddiası

 (bbc.com)
3 puan yazan GN⁺ 2026-03-05 | 1 yorum | WhatsApp'ta paylaş
  • TikTok, uçtan uca şifrelemeyi (E2EE) devreye almayacağını açıkladı; gerekçe olarak bunun polis ve güvenlik ekiplerinin mesajları incelemesini engelleyerek kullanıcıları korumayı zorlaştırdığını gösterdi
  • Şirket, bu kararı özellikle gençlerin korunması için aldığını belirtirken, rakipleriyle bilinçli olarak farklı bir yol izlediğini vurguladı
  • Hâlihazırda WhatsApp, Messenger, Signal gibi büyük platformlar E2EE’yi varsayılan olarak uygularken, TikTok yalnızca Gmail düzeyinde standart şifreleme kullandığını söyledi
  • Çocuk koruma kuruluşları NSPCC ve IWF, E2EE’nin çocuk cinsel istismarının tespitini zorlaştırdığını değerlendirerek TikTok’un kararını memnuniyetle karşıladı
  • Ancak uzmanlar, bu kararın küresel gizlilik standartlarıyla çeliştiğini ve Çin’le bağlantılara dair endişeleri güçlendirebileceğini belirtiyor

TikTok’un şifreleme politikası kararı

  • TikTok, uçtan uca şifrelemeyi (E2EE) kullanıma sunmayacağını resmen doğruladı
    • Şirket, bu teknolojinin gerektiğinde polis ve güvenlik ekiplerinin mesajları görmesini engelleyerek kullanıcı güvenliğini zayıflattığını söyledi
    • BBC’nin Londra ofisinde düzenlenen güvenlik bilgilendirmesinde bunun özellikle gençleri korumaya yönelik bir adım olduğu vurgulandı
  • TikTok, bu kararı rakiplerinden ayrışan bir strateji olarak aldığını ifade etti
    • Facebook, Instagram, Messenger ve X gibi büyük platformların E2EE’yi benimsemesiyle tezat oluşturuyor
    • TikTok, standart şifreleme yöntemi kullandığını ve yalnızca belirli durumlarda yetkili çalışanların mesajlara erişebildiğini belirtti

E2EE etrafındaki tartışma

  • E2EE, yalnızca gönderici ile alıcının mesaj içeriğini görebildiği en güçlü güvenlik teknolojisi olarak değerlendiriliyor
    • Signal, WhatsApp, iMessage ve Google Messages’ta varsayılan olarak kullanılıyor
    • Telegram bunu isteğe bağlı sunuyor, Snapchat ise yalnızca fotoğraf ve videolarda uyguluyor
    • Discord, sesli ve görüntülü aramalarda E2EE’yi varsayılan olarak uygulamayı planlıyor
  • Ancak hükümetler, polis ve çocuk koruma kuruluşları, E2EE’nin yasa dışı içerik tespitini ve soruşturmaları zorlaştırdığını savunarak eleştiriyor
    • Suçluların gözetimden kaçabildiği için kullanıcı zararları ve yasa dışı içerik yayılma riskinin arttığı öne sürülüyor

TikTok’un veri koruma yaklaşımı ve eleştiriler

  • TikTok, mesajları standart şifreleme ile koruduğunu ve yalnızca yasal talepler veya zararlı faaliyet bildirimleri olduğunda erişim sağlandığını açıkladı
  • Şirket, Çin hükümetiyle bağlantı iddialarını sürekli reddediyor
    • ABD’deki operasyonları, Kongre talimatı doğrultusunda küresel işlerinden ayrıldı
    • Avrupa’daki kullanıcıların korunması için Project Clover yürütülüyor
  • Buna rağmen ByteDance sahiplik yapısı nedeniyle veri erişimine dair endişeler sürüyor

Dış tepkiler

  • NSPCC, E2EE’nin çocuk cinsel istismarının tespitini zorlaştırarak ihbar sayısını azalttığını söyleyerek TikTok’un kararını memnuniyetle karşıladı
  • IWF, “Güvenlik gerekçesiyle E2EE’nin ertelenmesi önemli bir emsal” değerlendirmesinde bulundu
  • Surrey Üniversitesi’nden Prof. Alan Woodward, “Çin’de E2EE büyük ölçüde yasak ve TikTok’un kararında Çin etkisi olabilir” dedi
  • Sektör analisti Matt Navarra, TikTok’un “gizlilik mutlakçılığı yerine proaktif güvenliği önceleyen” bir yaklaşım sergilediğini, bunun stratejik olarak akıllıca ama tartışmalı olduğunu söyledi

Küresel bağlam ve görünüm

  • TikTok’un kararı, küresel gizlilik eğiliminin ters yönünde bir adım olarak görülüyor
    • Diğer platformlar E2EE’yi genişletirken TikTok, kolluk kuvvetleriyle iş birliğini sürdürmeyi seçti
  • Uzmanlar, bu kararın politikacılarla ilişkileri koruma ve gençleri daha güçlü koruma niyetiyle bağlantılı olabileceğini değerlendiriyor
  • E2EE etrafındaki gizlilik ve güvenlik dengesi tartışmasının sürmesi bekleniyor

İlgili okumalar

1 yorum

 
GN⁺ 2026-03-05
Hacker News görüşleri

  • Bence bu uygulama için “neredeyse hiç gizlilik yok” demek gayet makul
    TikTok temelde herkese açık odaklı bir platform ve kapalı gruplar ya da karşılıklı takip kavramı zayıf
    Gizliliğe ihtiyacınız varsa Signal veya Snapchat gibi başka uygulamalara geçebilirsiniz
    Yine de TikTok geçmişte Çin hükümetinin gözetimi altındaydı ve şimdi de ABD versiyonu bir plütokratik kabusa dönüştü; bu yüzden onlardan ilkesel bir duruş beklemenin anlamsız olduğunu düşünüyorum
    Hatta asıl sorun, Facebook gibi “gizlilik” söylemini öne çıkarıp CSAM (çocuk cinsel istismar materyali) ile mücadeleye yeterli kaynak ayırmamak olabilir

    • TikTok’ta da bire bir özel mesaj özelliği var ve bunu yüz milyonlarca kişi kullanıyor
      Kişiler arası mesajlaşma sunacaksanız mutlaka E2EE (uçtan uca şifreleme) olmalı
      Yoksa en iyisi bunu tamamen herkese açık bir forum gibi işletmek
    • TikTok gibi devasa ağ etkisine sahip platformlarda alternatif uygulama seçme özgürlüğü fiilen yok
      Bu tür tekelleri kırmak için federation zorunluluğu getiren düzenlemeler gerektiğini düşünüyorum
      Böylece platformlar kullanıcı kilitleme yerine para kazanma ya da kullanılabilirlik üzerinden rekabet edebilir
    • Dürüst bir seçenek sunulsa sorun olmazdı ama TikTok “mesajları yalnızca gerektiğinde okuyoruz” diyerek yalan söylüyor
      Gerçekte mesajları siyasi muhalefeti bastırmak ya da kontrol amaçlı okuyor
      Çoğu kullanıcı bu gizlilik ile CSAM karışıklığını ayırt edemiyor
    • TikTok’un “sizi izliyoruz” diyen bir platform olarak kalması sorun değil
      Ama bunu “güvenlik” diye pazarlamak aldatıcıdır ve kamuoyunu çarpıtmaktır
    • WhatsApp ya da Facebook gibi uygulamaların da E2EE’yi çoğu zaman yalnızca tanıtım amacıyla kullandığını düşünüyorum
      Gerçek E2EE varsa
      1. anahtar çifti cihazın içinde üretilmeli,
      2. sunucu özel anahtarı asla görememeli,
      3. istemci uygulaması açık kaynak olup doğrulanabilmeli
      4. kullanıcı onu kendisi derleyip kullanabilmeli
        Bu koşullar yoksa buna E2EE denmemeli

  • Hükümetlerin yıllardır öne sürdüğü “E2EE çocuklar için tehlikelidir” argümanının şirketler tarafından yeniden paketlendiğini düşünüyorum

    • Çocuklar bir gözetim devleti kurmak için fazlasıyla etkili bir araç haline geldi
      Bunun yerine reşit olmayanların ‘kısıtlı cihaz’ kullanması ve yetişkin olduklarında bu kısıtlamanın kaldırılması daha iyi olur
      Böylece tüm SaaS hizmetlerinin kullanıcı kimliğini doğrudan doğrulaması gerekmez
    • Tüm çocuk koruma sistemlerinin neden yaş doğrulama istediğini anlamıyorum
      Akıllı telefon düzeyinde uygulamalara ‘child’ işareti iletilmesi de fazlasıyla yeterli olabilir
    • Sonuçta şirketler kendi politikalarını istedikleri gibi belirlemekte özgür ve kullanıcılar da buna bakıp seçim yapabilir
    • Bu söylemin işe yaramasının nedeni, komşuların değerleriyle örtüşmesi
      İnsanların değerlerini değiştirmeye çalışmak baştan kaybedilmiş bir uğraş
    • Çözüm basit — çocukların sosyal medyaya erişimini engellemek en kesin yöntem

  • Bugünlerde insanlar yaş doğrulama meselesine fazla dar bir açıdan bakıyor
    Zaten çoğu hizmet kullanıcının yaşını biliyor ve bu veriye dayanarak şeffaf olmayan algoritma optimizasyonu yapıyor
    Bu yüzden yalnızca yaş doğrulamayı değil, veri madenciliğini ve algoritmik ayarlamayı da yasaklamak gerektiğini düşünüyorum
    Çocukların DM’lerinden daha büyük sorun, verilerinin nasıl kullanıldığı

    • “Çocukların DM’leri için endişelenip veri toplamayı umursamıyorlar” demek saçmalık
      Her ikisini de önemseyen çok insan var
    • Çocukların DM’lerini izleme sorumluluğu ebeveynlere aittir
      Ebeveyn isterse keylogger ya da ekran kaydı kurabilir ama Google gibi şirketler asla yapmamalı
    • Çoğu kişi için doğum yılını 1970 yapmak neredeyse bir gelenek haline geldi
    • “Yaş doğrulama yasaklanmalı” görüşüne katılmıyorum
      Verifiable Credentials gibi teknolojilerle kişisel veri vermeden yalnızca yaş doğrulanabilir

  • DM, gerçek hayattaki özel konuşma gibidir
    Bu nedenle tüm DM özelliklerinde E2EE bulunmalı
    Platform bunu istemiyorsa DM özelliğini tamamen kaldırıp tüm mesajları herkese açık bırakmak daha doğru olur
    Ebeveynlerin çocuklarına DM erişim iznini tek tek verebildiği bir yapı gerekli

    • “DM’yi kaldırıp her şeyi herkese açık yapalım” demek mantıklı değil
      Gerçek hayatta da tam açıklık ile tam gizlilik arasında bir ara bölge vardır
    • TikTok yakında ebeveynlerin çocuklarının DM’lerini izleyebileceği bir özellik ekleyecek gibi görünüyor ve ebeveynler bunu sevecektir
    • E2EE olsa bile pratikte anahtarları sunucu yönetebilir ya da devlet talebi olduğunda anahtarlar değiştirilebilir
      Yani E2EE sadece naif ortadaki adamı engelleyen bir şey olabilir
    • Gizliliği hukuken güvence altına alan bir sistem varsa ille de E2EE gerekmediğini düşünüyorum
      Bu ikisi ayrı meseleler
    • Bazı ebeveynler, çocuklarının tüm konuşmalarını AI ile analiz etmek isteyecek kadar gözetim meraklısı

  • TikTok zaten devlet gözetiminin ileri karakolu gibi bir şey, o yüzden böyle bir tutum almasına şaşırmıyorum

    • Aslında tüm sosyal medya platformlarını devlet gözetiminin araçları olarak görmek gerekir
    • Hükümetler E2EE olsa bile verilere zaten erişebiliyor
      E2EE’nin olmaması bu yeteneği azaltmıyor
    • Artık gözetim sanki franchise modeline dönüşmüş gibi
      Her bölgede bilgi toplama hakkını satın alıp işleten bir yapı var

  • “Kullanıcıları daha az güvenli hale getirir” sözü bana göre bahane
    Gerçekte amaç yalnızca hükümetle sürtüşmeden kaçınmak
    Para söz konusu olduğunda ilkeler ortadan kayboluyor

  • “Daha az güvenli” deniyor ama kimin için daha az güvenli olduğu söylenmiyor
    Otoriter hükümetler açısından daha az güvenli olabilir ama buna katlanmaları gerekir

  • Kapalı kaynak uygulamalarda E2EE’ye güvenmek zor
    Denetçi libsignal’in doğru bağlandığını onaylasa bile, iç kodda içerik tarama hook’ları bulunabilir
    Apple’ın görüntü tarama teknolojisini neredeyse tamamlamış olması bunun mümkün olduğunu gösteriyor
    Yine de E2EE’nin avantajı, sunucu hack’lense bile verinin anlamsız bir şifreli yığın olarak kalmasıdır

    • E2EE’yi uygulamak zordur ve kullanıcı hatasıyla kolayca etkisiz hale gelebilir
      Örneğin Signal kullanıcıları arasında gerçekten güvenlik numaralarını karşılaştıran kişi sayısı çok azdır
      Sonuçta mesele güvenlikten çok kullanılabilirlik
    • İnsanlar E2EE’ye dini bir inanç gibi bağlanma eğiliminde
      Doğrulama imkanı olmasa bile “koruma = E2EE” diye düşünüyorlar
      Ben de “I don’t trust Signal” yazısında bu noktaya değinmiştim
    • E2EE tartışılırken ‘uç nokta kim?’ sorusunu netleştirmek gerekir
      Sunucu uç noktaysa bu gerçek E2EE değildir
      Üstelik konuşma içeriğinden çok meta veri daha değerlidir
    • Hatta parolalar bile düz metin olarak saklanıyor olabilir

  • TikTok aslında herkese açık video platformu, o halde neden özel konuşmalar için kullanılıyor anlamıyorum

    • TikTok genç kuşağın sosyal ağı
      Daha yaşlı insanlar bunu pek bilmiyor
    • Başta arkadaşlar arasında sadece video paylaşılırken, zamanla bu doğal biçimde sohbete dönüşen bir akışa evriliyor
      Güvenliğin zayıf olduğu bilinse bile konuşmaların niteliği gereği bu çok büyük bir sorun sayılmıyor
    • Bu, TikTok DM’yi hiç kullanmamış birinin söyleyeceği türden bir şey gibi geliyor
    • Çoğu genç şifreleme ya da güvenlik kavramlarını pek bilmiyor
      Sadece kolaylık yüzünden TikTok kullanıyor
    • TikTok, basit bir video platformundan fazlası

  • “Tartışmalı bir gizlilik özelliği” deniyor ama buna kimin tartışmalı dediğini merak ediyorum
    NSA ya da GCHQ açısından mı?

    • Habere göre NSPCC ve Internet Watch Foundation gibi çocuk koruma kuruluşları buna karşı çıkıyor
      Meta içinde de Monika Bickert ve Antigone Davis, E2EE’nin çocuklar için tehlikeli olduğunu söylemişti
      İlgili ayrıntılar Reuters haberinde da görülebilir