Fog Reveal: Uygulamalardan satın alınan verilerle kitlesel gözetim

Günlük rutin içinde konum ve gezinti verilerimiz gibi çeşitli kişisel verileri nasıl kullanıldıklarına çok da bakmadan çeşitli uygulamalarla paylaşıyoruz. Verilerin nasıl kullanılabileceğinin peşine düşmek çoğu zaman oldukça zahmetli bir iş. Uygulamaların kıyısına köşesine saklanmış sayfalarca uzunlukta, hukuki dille kamufle edilmiş teknolojik jargonla karmaşıklaştırılmış sözleşme metinlerini bulup, okuyup, kavramak gerçekten zor. Verilerin olası kullanımlarının sonuçlarını öngörmek ise pek çok kullanıcı için neredeyse imkansız. Elektronik Sınır Vakfının (EFF) yüzü aşkın kamu kaydı talebini kullanarak ortaya çıkarttığı yeni bir skandal kişisel verilere dair uygulamalara verdiğimiz izinler konusunda neden çok daha titiz olmamız gerektiğini ortaya koyuyor.

Normal şartlarda kişilerin elektronik ortamda izlenmesi ve dinlenmesinin kuralları dünyanın hemen her yerinde çeşitli yasalarla belirlenmiştir ve kamusal geniş kapsamlı izleme ve dinlemeler yine dünyanın hemen her yerinde yasa dışıdır. Ülkemizde halihazırda tartışılmakta olan BTKGate skandalı^[0] gibi toplu izleme ve dinlemeyi yasal kılıfa uydurma girişimleri pek çok ülkede denenmiş ve hemen hepsinde yargı tarafından vatandaşların temel haklarına aykırı bulunarak iptal edilmiştir. Ancak bu devlet birimlerinin verilerimizin peşine başka şekillerde de düşemeyeceği anlamına gelmiyor. EFF’nin ortaya çıkarttığı belgelere^[1] göre ABD’nin dört bir yanından polis departmanları Fog Veri Bilimleri adında bir şirketin yardımı ile herhangi bir mahkeme kararı olmadan vatandaşların detaylı konum verilerine erişip bunları adli soruşturmalar için kullanıyorlar.

Polis birimlerinin birkaç bin dolara yıllık olarak abone olabildiği Fog Reveal adlı sistem aylık 100 sorgu hakkı ile geliyor ve daha fazla sorgu hakkı satın alınabiliyor. Sorgular tekil bir cihazın zaman damgalı hareketlerinden belirli bir zaman aralığında belirli bir alanda bulunan cihazların listesine dek uzanabiliyor. İki eski üst düzey Anayurt Güvenliği Departmanı (DHS) yöneticisi tarafından kurulan Fog’un AP’ye verdiği yanıta^[2] göre kullanıcı verilerinin kaynağı Waze ve Starbucks gibi popüler yüzlerce uygulama. Fog, bu uygulamalardan reklam tanımlama numarası ile ilişkilendirilmiş verileri alıyor ve bunu devasa ara yapılabilir bir veri tabanına çeviriyor. Sunulan veriler anonim gibi görünse de bu verileri gerçek kişilerle eşleştirmek zor değil.

Fog’un emniyet birimlerine yaptığı sunum^[3] toplanarak kullanıma sunulan verinin korkutucu büyüklüğünü gözler önüne seriyor: 250 milyon cihaz, günde 15 milyar sinyal, bir yıl ya da talebe bağlı olarak iki yıl geriye dönük tarama, cihazlar için 180 günlük örüntü taraması, cihazların “yataklarının” ve ziyaret ettikleri ilgi noktalarının tespiti…

Devlet eli ile oluşturulan yerli ve milli fişleme veri tabanımız BTKGate düşünüldüğünde uygulamalardan satın alınan konum verileri ülkemizde dişe dokunur bir tehdit olarak görülmeyebilir. Ancak bu ikinci model de BTKGate kadar tehlikeli: Özel sektörün elinde, parasını ödeyenin ulaşabildiği devasa bir konum fişleme veri tabanı.

BTK’nin fişleme operasyonunun sonu ne olur birlikte göreceğiz ancak bu süreçte gündeme getirilmesi gereken sorulardan biri de bu tip veri toplayan “özel girişimlerin” devlet birimleri tarafından kullanıp kullanılmadığı olmalı. Kullanıcılara ise kullandıkları uygulamaların sözleşmelerini gözden geçirmek ve eğer Android ya da iOS’nin son sürümlerinden birine sahipseler sık sık Reklam Cihaz ID’sini resetlemek düşüyor.

^[0] https://bit.ly/3q3P1rJ

^[1] https://bit.ly/3KIqx0B

^[2] https://bit.ly/3B7VQPv

^[3] https://bit.ly/3AIH943