Kullanıcıların bilgilerini sızdıran sosyal ağlara Instagram da katıldı

Aylık aktif kullanıcısı 1 milyarı aşan Instagram’ın, gözlerden kaçan güvenlik açığı nedeniyle iş ortağına milyonlarca kullanıcısının bilgisini kaptırdığı ortaya çıktı. Facebook ve Instagram’ın yıllarca fark etmediği güvenlik ihlali, Business Insider tarafından ortaya çıkarıldı.

Facebook’un geçtiğimiz yıl patlak veren Cambridge Analytica skandalı, sosyal ağlarda paylaşılan kullanıcı bilgilerinin ne amaçlarla (ve izinsiz) olarak kullanıldığına dair en güçlü örnek olarak karşımıza çıkmıştı. Binlerce Facebook profiline sızılarak ABD 2016 başkanlık seçimlerinde kullanılmak üzere çeşitli analizler yapılmıştı. Üst düzey bir yapay zekanın kullanıldığı gizli deney, sosyal ağların sakladığı dağlar dolusu veriyi nasıl kullandıkları hakkında tek bir örnekti aslında.

Günümüzde sayısız sahte uygulamadan sosyal ağlara ve çevrimiçi hizmetlere kadar dijital ortamın her köşesinde verilerimizi paylaşıyoruz. Bu veriler firmalara reklam stratejilerini geliştirmek ve yapay zeka laboratuvarlarına veri girdisi olarak satılıyor. Bu aşamada yapılan sayısı bilinmez veri satışı işleminin ne kadar yasal olup olmadığı veya nelerin satılıp satılmadığını bilmek bile mümkün değil. En azından, bardağı taşıran son damla olan Cambridge Analytica skadanlının ardından gelen düzenlemeler ile teknoloji firmaları kendilerine çeki düzen vermeye çalışıyor. Dahası, öyle görünmeye çalışıyorlar.

Son bir yıl içinde Google’ın Nest, Microsoft’un Skype, Apple’ın Siri ve Amazon’un Echo donanım ve uygulamaları ile kullanıcı seslerini kaydettikleri ortaya çıktı. Tüm firmalar bu faaliyetlere son verildiği söylemekle dosyayı kapatırken, halen Mayıs 2018’de AB tarafından hayata geçirilen Küresel Veri Koruma Düzenlemesi (GDPR) ile ne kadar uyumlu oldukları belli değil.

ABD Federal Ticaret Komisyonu (FTC), geçtiğimiz ay Facebook hakkındaki soruşturmayı tamamladı ve üç karar aldı: 5 milyar dolar ceza, yeni güvenlik yapısı kurulması şartı ve Facebook’u denetleyecek sistem kurulması.

Aradan bir ay geçtikten sonra, Facebook ve Instagram’ın “pazarlama geliştirme ortağı” olarak yıllarca hizmet veren HYP3R firmasının skandalı patlak verdi. En son yaşanan güvenlik açığının temelleri de Cambridge Analytica’ya uzanıyor.

Instagram’dan neler çalındı ve ne için kullanıldı?

San Francisco merkezli HYP3R, lokasyon odaklı bir etkileşim platformu. Firmanın verdiği hizmet konumla etiketlenen sosyal medya paylaşımlarını takip ederek, paylaşımları yapan kullanıcılar ile müşterisi olan firmaların etkileşime girmesini sağlamak. Toplanan veriler, hedefli reklam kampanyaları için de kullanılıyor.

Cambridge Analytica skandalının ardından, Instagram lokasyon araçları da dahil olmak üzere kendine ait API (uygulama programlama arayüzü) bünyesindeki bazı kısımları devre dışı bıraktı. Business Insider’a göre, HYP3R bunun kendisi için ne anlama geleceğini bilerek kararı destekledi ve API açığından yararlanarak veri toplamasını sağlayacak araçlar geliştirdi. Tabii ki, doğrudan Instagram hizmet şartlarını ihlal ederek.

Instagram’ın sunduğu açık, internet kullanıcılarının sosyal ağa giriş yapmadan konum etiketi bulunan paylaşımları görmesini sağladı. HYP3R, konumla paylaşılan fotoğraf ve videoları çekmeye başladığı gibi Hikayeler’in indirilebileceği bir araç da geliştirdi. Kısaca, 24 saat içinde silinmesi gereken konum etiketli hikayeler ebediyen kayıt altına alınmaya başlandı.

Milyonlarca gölge hesap

Hikayenin bundan sonraki kısmı yine Cambridge Analytica skandalına benziyor. Bir akademisyen tarafından geliştirilen yapay zeka, on binlerce ABD’li Facebook kullanıcısının verilerini harmanlayarak sahte profiller oluşturmuş ve seçimlerde kullanacakları oyu ve kararlarını belirleyen faktörleri neredeyse hatasız analiz etmişti.

HYP3R da zamanla elde ettiği Büyük Veri ile “insanların hareketleri, alışkanlıkları ve işleri” gibi verilerle sayısız profil oluşturmaya başladı. Business Insider’a konuşan kaynaklar, HYP3R’ın oluşturduğu muazzam veri tabanının “en yüksek değerde yüz milyonlarca tüketici profili” olarak tanıttığını belirtti. HYP3R, Instagram’ın “içeriğin belli süreden fazla tutulması” ve Facebook’un “yazılı izin alınmadan otomatik veri toplanmaması” şartını ihlal etti.

En ironik durum, HYP3R’ın yaptığı işlemi göz önünde saklamasıydı. Hiçbir zaman eylemini gizlemeyen firma, API sayesinde verilere daha kolay erişebildiklerini belirtti ve uygulamasının iOS versiyonunu “Instagram hikayeleri için destek” açıklamasıyla duyurdu. Bu aşamada ortaya çıkan soru işareti, Facebook’un “pazarlama partnerleri” listesinde yer alan firmanın nasıl olup da yaptığını bu kadar uzun süre “gizlemeyi başarması.”

Kim haklı?

Instagram, milyonlarca kullanıcıya ait verilerin izinsiz kullanıldığı ortaya çıktıktan sonra “HYP3R’ın eylemlerinin politikalarını ihlal ettiğini” belirtti ve platformlarından kaldırıldığını duyurdu.

CNET’e açıklama yapan HYP3R ise “daima tüketici gizlilik düzenlemeleri ve sosyal ap Kullanıcı Şartları ile uyumlu hareket ettiklerini” belirtti. Firma, “çevrimiçi herkesin erişemeyeceği içerikleri veya bilgileri işlemediklerini” savundu.

Nihayetinde, sosyal ağların düzene sokması için halen yıllar gereken bir unsur gizlilik. Telif hakları ihlalleri, sahte uygulamalar, sahte hesaplar, uygunsuz içeriğin ne olup olmadığı ve nasıl işlem yapılması gerektiği gibi tartışmalar uzar gider.

Yaşanan en son olaya dayanarak, güvenlik araştırmacılarının bana her zaman tembih ettiği bir hususu not düşmem gerekir: “Asla konum bilgini açık tutma.”

Mufit Yılmaz Gökmen

Mufit Yılmaz Gökmen

Teknoloji, tasarım ve motivasyon dolu Kolektif House dünyasından en son haberler, etkinlik duyuruları ve sürprizler için haftalık bültenimize kayıt ol. Merak etme, fikrini değiştirirsen dilediğin an ücretsiz olarak bülten üyeliğini sonlandırabilirsin.