Google sözünü bozdu ve artık verilerim ICE’ın elinde

 (eff.org)
2 puan yazan GN⁺ 14 일 전 | 1 yorum | WhatsApp'ta paylaş
  • ABD’de uluslararası öğrenci olan Amandla Thomas-Johnson’ın Google hesap verileri, ICE idari celbi yoluyla hükümete iletildi ve Google’ın önceden bildirim politikası ihlal edildi
  • EFF, Google’ın kolluk kuvvetleriyle iş birliği yaparken kullanıcıyı bilgilendirmemesinin aldatıcı ticari uygulama olarak soruşturulmasını eyalet başsavcılarından talep etti
  • Aktarılan veriler arasında IP adresleri, fiziksel adres, oturum süreleri gibi kişisel tanımlayıcı bilgiler yer aldı ve bunun gözetim profili oluşturmaya yetecek düzeyde olduğu değerlendirildi
  • Google’ın bildirimi, veriler İç Güvenlik Bakanlığına zaten verildikten sonra gönderildi; bu nedenle kullanıcı itiraz etme fırsatını kaybetti
  • Olay, devlet gücü ile teknoloji şirketlerinin verilerinin birleşiminin kişisel mahremiyeti ve ifade özgürlüğünü tehdit edebileceğini gösteriyor

Google’ın sözünü bozması ve ICE’ın verilere erişmesi

  • 2024 Eylül’ünde ABD’de öğrenim gören Amandla Thomas-Johnson, kısa süreliğine Filistin yanlısı bir protestoya katıldı ve 2025 Nisan’ında ABD Göçmenlik ve Gümrük Muhafaza Kurumu (ICE), verilerini talep eden bir idari celbi Google’a gönderdi
    • Ertesi ay Google, kullanıcıya bildirim yapmadan verileri ICE’a sağladı
    • Bu, Google’ın veri paylaşımından önce kullanıcıya bildirimde bulunacağını açıkça belirten politikasını ihlal ettiği bir örnek oldu
  • Electronic Frontier Foundation (EFF), California ve New York eyalet başsavcılarına Google’ın davranışının aldatıcı ticari uygulama olarak soruşturulmasını talep eden resmi bir şikayet dilekçesi sundu
    • EFF, Google’ın kullanıcıya bildirim yapma sözünü bozduğunu ve hükümetin hedefe yönelik soruşturmasına destek verdiğini savunuyor

ABD göçmenlik makamlarıyla çatışma

  • Thomas-Johnson Kanada’ya ayrılırken olayın kapandığını düşündü, ancak sonrasında da ABD hükümetinin etkisinden çıkamadığını fark etti
    • Trump yönetimi döneminde yabancı öğrencilerin siyasi faaliyetlerine yönelik baskının artması nedeniyle 3 ay boyunca saklanarak yaşamak zorunda kaldı
    • Federal ajanlar evini aradı ve bir tanıdığı havaalanında onun nerede olduğu konusunda sorgulandı
  • Kendisi suç isnadı bulunmayan Birleşik Krallık ve Trinidad ve Tobago çifte vatandaşı olmasına rağmen, yalnızca siyasi bir protestoya katıldığı için gözetim hedefi haline geldi

Google’ın e-posta bildirimi

  • İsviçre’nin Cenevre kentinde bulunduğu sırada, Google’dan verilerinin zaten İç Güvenlik Bakanlığına (DHS) verildiğini bildiren bir e-posta aldı
    • Geçmişte başka vakalarda Google ve Facebook, önceden bildirim yaptıktan sonra kolluk kuvvetlerinin talebini geri çektiği durumlar olmuştu
    • Ancak bu kez gelen e-posta, “Google’ın kolluk kuvvetlerinin talebi doğrultusunda bilgileri zaten sağladığını” bildiren nihai bir bildirimdi
    • Böylece hiçbir itiraz fırsatı verilmeden verilerinin teslim edildiğini doğrulamış oldu

Google’ın sözünü tutmaması

  • Google, resmi politikasında idari celp gibi yasal talepler geldiğinde kullanıcıya önceden bildirimde bulunacağını açıkça belirtiyor
    • Bu bildirim, kullanıcının hukuki yollara başvurabilmesini sağlayan bir güvence işlevi görüyor
    • Ancak Thomas-Johnson örneğinde bu süreç atlanarak veriler aktarıldı
  • EFF’in elde ettiği celpte IP adresleri, fiziksel adres, oturum süreleri gibi abone bilgileri yer alıyordu
    • Bu veri birleşimi, konum takibi ve etkinlik örüntüsü analizi yapılabilen bir gözetim profili oluşturabiliyor
    • Mesaj içerikleri olmasa bile kişinin yaşamı ve ilişki ağı hakkında ayrıntılı çıkarımlar yapabilecek bir düzeydeydi

Devlet gücü ile özel sektör verilerinin birleşimi

  • Bu olay, kolluk kuvvetlerinin herkesi hedef alabileceğini ve teknoloji şirketlerinin devasa veri birikiminin bunu mümkün kıldığını gösteriyor
    • Devlet gücü, şirket verileri ve algoritma temelli çıkarımlar birleştiğinde gözetimin kapsamı görünmez biçimde genişliyor
    • Bu yapı, gözetim altına alınan kişinin bunu fark etmesini ya da buna karşılık vermesini zorlaştırıyor
  • Thomas-Johnson ABD’den ayrılmış olsa da hâlâ ABD hükümetinin gözetim etkisi alanında olduğunu hissettiğini söylüyor
    • “Hedef kişi olarak sınıflandırılıp sınıflandırılmadığı”, “gazetecilik faaliyetlerinin gözetim riski taşıyıp taşımadığı” ve “ailesini görmek için güvenle seyahat edip edemeyeceği” konusunda kaygı duyduğunu belirtiyor
    • Son olarak, hesap sorulabilecek failin kim olduğunun bile belirsiz olduğuna dikkat çekiyor

İlgili konular

  • Mahremiyet (Privacy), ifade özgürlüğü (Free Speech), anonimlik (Anonymity)

    • Olay, bireylerin siyasi ifadesi ile dijital mahremiyetinin devlet gözetimi ve kurumsal iş birliği yapısı içinde nasıl tehdit edildiğini ortaya koyuyor

İlgili okumalar

1 yorum

 
GN⁺ 14 일 전
Hacker News görüşleri

  • Google politikalarında “yasal olarak yasaklandığı durumlarda bildirimde bulunmayız” ifadesi yer alıyor
    Avukatın celbi incelediği söylenmiş ama gizlilik emri (gag order) olup olmadığı belirtilmemiş. Google’ın politikasını ihlal ettiğini iddia etmek için kritik nokta bu

    • EFF’nin açık mektubuna göre, söz konusu celpte bir gizlilik emri yoktu
    • ACLU’nun belgesine göre, idari celplere eklenen gizlilik emrinin yasal bağlayıcılığı yoktur; muhataba bildirilebilir veya kamuya açıklanabilir. Ayrıca mahkeme emri olmadan celbe uyma zorunluluğu da yoktur
    • Nitekim idari celplerin yasal bağlayıcılığı zayıftır; ICE görevlisi “açıklamayın” dese bile bunun hukuki gücü yoktur
    • Bu tür davalar ve haberler büyük ölçüde aktivist bir anlatıyı güçlendirmeyi amaçlıyor. Google’ın politikasını okuyunca bu açıkça görülüyor ve Google’ı suçlamak için güçlü bir dayanak yok

  • Bu olay benim için yaklaşık 20 yıldır kullandığım Google hesabını tamamen silme bahanesi oldu
    10 yıllık Google Photos arşivimi ve Google One aboneliğimi de kapatıp Proton Mail ve self-hosting’e geçtim. Verileri sadece idari bir arama emriyle teslim eden bir şirkete bilgilerimi emanet etmeyeceğim

    • Asıl çözüm, veriyi şifreli biçimde doğrudan kendin saklamak. Her şeyi buluta yüklemek zorundaymışız gibi düşünmek başlı başına güç yoğunlaşması yaratıyor
    • Tüm servisleri tek seferde taşımak gerekmiyor. Ben Fastmail’e birkaç yıl içinde geçtim ve Google hoşuma gitmeyen bir şey yaptıkça hesapları tek tek taşıdım. Uğraştırıcıydı ama özgürleştiriciydi
    • Immich tavsiye ediliyor. Google Photos’un neredeyse kusursuz bir alternatifi olan self-hosted bir çözüm
    • Mahkeme emri olmadan veri taleplerine uymayan bir hosting hizmeti olup olmadığını merak ediyorum. self-hosting ideal ama zaman kısıtım var
    • Gmail adresini kullandığım tüm siteleri Proton Mail’e taşırken nasıl bir iş akışı izlendiğini merak ediyorum. Ben de yıllar sürse bile başlamak istiyorum

  • Birçok kişi sadece Google’ın gizlilik sorununa odaklanıyor ama asıl mesele hükümetin yasal olarak ülkede bulunan insanları hedef alabilmesi
    Hükümet gözetiminden nasıl kaçacağımıza değil, bunun neden mümkün olduğuna öfkelenmemiz gerekiyor

    • Ama yabancıların siyasi faaliyette bulunmasını yasaklamak birçok ülkede yasal bir vize şartı. Bu tür kısıtlamaların sebepleri var

  • ICE’nin bu tür yetkilere nasıl sahip olduğunu anlamıyorum. Neredeyse özel bir ordu gibi davranıyor

    • Sonuçta bu yetkileri veren seçmenlerdi. 11 Eylül’den sonraki 25 yıl boyunca bunu değiştirmek için fırsat vardı ama kimse harekete geçmedi
    • Yetkiyi Kongre verdi ve davranışları sadece başkanın iradesiyle sınırlanıyordu. Şimdi o sınırlama ortadan kalktı
    • Google, ACLU’nun rehberine göre celbi reddedebilir veya hedef kişiyi bilgilendirebilirdi; sorunun özü Google’ın gönüllü olarak işbirliği yapması
    • Yetkinin “verildiğini” düşünmek yanıltıcı. ABD devlet kurumları çoğu zaman doğrudan harekete geçiyor ve başka bir güç durdurmazsa devam ediyor. Şu anda Trump yönetimi bu denetimi görmezden geliyor
    • Sonuç olarak Trump ve Cumhuriyetçiler bu yetkileri destekledi

  • ICE, mahkeme emri olmadan “bildirim yapmayın” talebinde bulundu ama Google da buna uymuş gibi görünüyor
    Ama idari celbi çıkaran taraf neden doğrudan ilgili kişiyi kendisi bilgilendirmiyor, bu da ayrı bir soru. Google bunun sorumluluğunu neden üstlensin?

    • Genel olarak bildirim yapılır ama vatandaş olmayanlar, ABD’yi terk etmiş kişiler ya da ulusal güvenlik soruşturmaları söz konusu olduğunda istisnalar vardır
    • Yine de Google’ın sonunda bildirim yapmış olması en azından olumlu

  • Amandla’nın nasıl tespit edildiğini merak ediyorum. Protesto alanındaki telefonlar Stingray cihazlarıyla mı izlendi? Yüz tanıma mı kullanıldı? Vize bilgileri nedeniyle mi? Hangisi olursa olsun rahatsız edici

    • Gerçekte telekom şirketleri belli bölgelerin konum verilerini satıyor. KYC yasaları nedeniyle isim ve e-posta zaten kayıtlı ve devlet müşteriye haber vermeden bunlara erişebiliyor

  • İlginç olan, yazarın Google’ın politika belgesini bir “söz” gibi yorumlaması
    Oysa bu bir sözleşme değil, sadece bir politika açıklaması. Hukuken bağlayıcı bir taahhüt değil
    Google’ın iç işleyişini kanıtlamak ya da niyetini ispatlamak çok zor. Pratikte bu sadece bir beyan (representation)
    Silikon Vadisi şirketleri kullanıcılara neredeyse hiç hukuki taahhüt vermez. Verselerdi bunun altından kalkamazlardı

    • Sonuçta önemli olan sözden çok kapasite (capability)

  • Evimin dışına çıkan her verinin devlet tarafından izlendiğini ve saklandığını varsayıyorum
    Telefon, araç hareketleri, her şey kaydediliyor. J6 protestocuları da telefon verileriyle takip edildi

    • Bazı isyancılar Kongre binasının içinde selfie çekerek kendi kanıtlarını bıraktı
    • “Bulut sonuçta başkasının bilgisayarıdır” dersini unutmamak gerek. Gmail, iCloud, AWS, Facebook, WhatsApp, iMessage için de aynı şey geçerli
    • Ama bu düşünce tarzı totaliter bir güvensizliğe de yol açabilir. Herkesi casus gibi gördüğümüz bir toplum tehlikelidir
    • Snowden bu gözetim yapısını zaten ifşa etmişti. Sonrasında bir miktar fren geldi ama hâlâ yeni gözetim programları ortaya çıkıyor
    • Bu kadar kaderci olmak anlamsız. VPN, şifreli DNS, buluttan kaçınma, güvenlik eğitimi gibi bireylerin yapabileceği çok şey var

  • Gizlilik, teknoloji ve özgürlük derinden bağlantılı
    Bu tür olayların HN’de yer alması önemli, çünkü Google’ın iç politikalarını ya da teknolojilerini geliştiren insanlar HN’yi görüyor
    Bu tür örnekler, kurucuların ve karar vericilerin “Google’a güvenilebilir mi?” hesabını yeniden yapmasına yol açıyor

    • Google içinde gizli bir veri sızdırma ekibi bulunmadığının garantisi yok. Gerçek çözüm ancak açık kaynak, E2E şifreleme ve kullanıcı anahtarı yönetimi yapılarıyla mümkün
    • Teknoloji söz konusu olduğu sürece bu tartışmalar HN’ye tamamen uygun. Devletin teknolojiyi kullanarak gözetimi artırması ciddi bir sorun
    • Özgürlüğü ve ifade hakkını savunan insanların bu tür meseleleri görmezden gelmesi ironik. Hatta hükümet baskısı nedeniyle öğrenci protestocuların tutuklandığı ya da saklanmak zorunda kaldığına dair tanıklıklar da var
    • Google sadece yasaya uyduysa onu suçlamanın zor olduğu görüşü de var. Şirketler aktivist değil, hukuki özne gibi davranmalı

  • Google’ın eski sloganı “Don’t be evil” aklıma geliyor

    • Bu ifade zaten yaklaşık 10 yıl önce terk edilmişti. “Kötü olmayalım” anlayışının şirket büyümesinin önünde engel sayılması ironik
    • Artık “ürkütücü olmayalım” standardını bile koruyamıyor. Müşteri desteği yok, iç ortam da rekabetçi; bu yüzden önemli işlerde Google’dan kaçınıyorum
    • Aslında bu sloganın kendisi baştan beri şaka gibi bir ikiyüzlülüktü. Gerçekten kötü şirketler en çok böyle laflar eder