İçeriğe geçmek için "Enter"a basın

Kişisel Verilerin Paylaşılması Hayatımızı Tehlikeye Atabilir Mi?

21 Ağustos tarihli Vice haberinde ilginç bir başlık vardı: “Karaborsada konum bilgileri paylaşılan kadın “T-Mobile Hayatımı Tehlikeye Attı” dedi.”

(T-Mobile toplam 106,42 milyon müşterisiyle mobil telefon hizmeti sunan Alman menşeili bir operatördür.)

Ruth Johnson isimli Amerikalı kadının yaşadıkları, verilerimizi emanet ettiğimiz yerler, bunların kaybedilmesi, çalınması veya iznimiz dışında satılması veya kullanılması durumunda başımıza gelebilecekler konusunda gerçek ve iyi bir örnek oluşturuyor.

Telekom sektörünün dev firmalarının, müşterilerine ait gerçek zamanlı konum bilgilerini stalkerlar* ile paylaşmasından bahsedilen bu haber oldukça önemli çünkü “Benim verilerimi çalsalar ne olacak”dan “Hayatım mahvoldu”ya varan bir süreci anlatıyor.

(*Stalker kelimesi için tam yerine geçen bir Türkçe kelime mevcut değil. “Stalklamak” olarak kullanılan kelime “Bir kişinin bir başka kişiyi internetteki verileri kullanarak gizlice takip etmesi, gözetlemesi, paylaşımlarını takip altında tutması” anlamına geliyor.
Stalker ise bunu alışkanlık haline getiren kişi.)

Ruth Johnson, 2014 yılında tanımadığı bir numara tarafından 20 kez aranıyor ve sonunda aramayı cevapladığında John Edens isimli bir kişi, kendisini ABD Adalet Bakanlığına bağlı bir emniyet gücü olan US Marshals’da çalışan bir görevli olarak tanıtıyor. Elinde Ruth Johnson’un aracına ait ödemeleri yapmadığı için tutuklama emri bulunduğunu söylüyor.

Ancak daha sonra anlaşılıyor ki; John Edens ne US Marshals’da çalışıyor ne de elinde bir tutuklama emri var. Amerikalıların “Kelle Avcısı” (bounty hunter) dediği işi yapıyor ve borçlarını ödemeyen kişileri yakalayıp “tahsildarlık” yaparak para ödülü alıyor.

Daha önce takip (stalk) ve aile içi şiddet geçmişi olan Edens’ın, Ruth Johnson’a ait telefon konum verilerini T-Mobile isimli Telekom firmasına da kendisini US Marshals’dan olarak tanıtarak aldığı anlaşılıyor.

Ruth Johnson verilerinin paylaşılması sonucunda ciddi şekilde tacize uğradı. John Edens iş yerine geldi, bir sabah 3’te evinin kapısını çaldı, başka bir gün evinin verandasına çıktığında adamla karşılaştı.

Yakın zamanda kocası öldürülmüş olan Johnson zaten korku ve panik içerisindeydi ve peşindeki adamın bu cinayet ile alakalı olup olmadığını bilemiyordu. Güvenliklerini sağlayabilme düşüncesi ile kızını ve annesini 10 saat uzaklıkta başka bir şehire taşıdı.

Telekom operatörünün mahkeme emri olmaksızın teslim etmiş olduğu gerçek zamanlı konum bilgisi ve Google Maps “ping” özelliği ile yeri tespit edilebildiği için peşindeki adamdan kurtulamıyordu ve panik içerisinde ve çaresizdi.

Farklı bir mahalleye taşındı, daha fazla sıkıntı yaşamamak için taksitlerini ödemekte geciktiği aracı satın aldığı yere iade etti. Ancak adam yaşadığı yeri, çalıştığı yeri, gittiği her yeri biliyor ve takip edebiliyordu bu nedenle son derece huzursuzdu.

Kaçırılma gibi durumlarda verilere erişilmesi gerektiğinde emniyet güçlerinin bu veriyi telekom operatöründen istemesi ve konum bilgilerine ulaşması alışıldık bir durum olmakla birlikte, John Edens’ın veriye erişim için tek yapması gereken T-Mobile’a uydurma bir alan adı göstermek (gafugitivetaskforce1.net) oldu.

Ruth Johnson davasının tek olmadığı anlaşıldı.

Edens, 14 farklı T-Mobile müşterisine ait telefon numarasını ve telefonun konum bilgisini bu şekilde alabilmişti.

John Edens, kendisini Amerikan emniyet gücü olarak tanıttığı için 1 yıl hapis cezası aldı.

Ancak elbette Edens telefon pingleyerek konum tespit eden tek kişi değildi; 2018 Nisan ayında Matthew Marre isimli kişinin yıl boyu Verizon, Sprint ve T-Mobile telefonlarına benzer bir teknikle ping attığı iddia edildi.

Yakın zamana kadar AT&T, T-Mobile, Sprint ve Verizon gibi Telekom operatörlerinin müşterilerine ait konum bilgisini data brokerlara sattığı biliniyor. Bu firmalardan bir tanesinin müşterilerine ait gerçek zamanlı konum bilgisini 250 “kelle avcısı” ile paylaştığı tespit edilmiş.

(Data Broker: Veriler bir yerde toplanıyor ancak kendi başına bir anlam ifade etmiyor. İşlenmeleri gerekiyor. Diyelim gelinlik reklamı vermek isteyen bir firmanın 65 yaşında bir erkeği değil de evlilik çağındaki kızları hedefleyecek şekilde reklam verebilmesi için bu “işleme” işini data brokerlar yapıyor ve hedef kitleye ait bilgileri reklam verenlere satıyorlar.)

Bu yıl DefCon konuşmacılarından biri olan Joseph Cox’un gerçek zamanlı konum bilgisine nasıl eriştiğini anlattığı sunuma buradan (https://www.documentcloud.org/documents/6253815-Joseph-Cox-How-You-Can-Buy-AT-T-T-Mobile-and.html) ulaşabilirsiniz.

Bu konuda Türkiye’nin oldukça önde ve güvenilir olduğunu gönül rahatlığıyla söyleyebiliriz. Elinde gerçek bir mahkeme emri olmayan hiç kimse verilerinizi Telekom operatöründen teslim alamaz.

Ancak yine de kişisel verilerin korunmasının ne denli önemli olduğunu bir kere daha görüyoruz.

İlk yorum yapan siz olun

    Bir cevap yazın

    E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir