Sosyal Ağların Politikaları ile Eklentilerinin Riskleri

Sosyal ağlar hizmetlerini ücretsiz olarak sunduğundan, altyapı ve servis masraflarını nasıl karşıladıkları ve kişisel verileri hangi sınırlar çerçevesinde kullandıkları sorusu akıllara gelir. Bu konuda sosyal ağların hiç çekingen davranmadığı ve çok fazla veri topladıklarına dair deliller var. Hepsinin ötesinde sosyal ağların politikaları her şeyi açıkça anlatıyor.

UYARI: Bu yazı ve yazı dizisinin tamamı bir teknik proje halinde bir yüksek lisans programında zaten sunulmuştur. Bu yazıların ve içindeki herhangi bir bilginin izinsiz alınması, kopyalanması, çoğaltılması ve başka bir yerde farklı bir kişi tarafından yazılmış gibi yayınlanması/kullanılması kesinlikle yasaktır.

– BÖLÜM 9 –

Sosyal ağlar, kullanıcılarını sadece kendi site ve sistemleri üzerinden takip etmemekte, yayınladıkları sosyal paylaşım düğmeleri ile eklentilerinin internetteki diğer web sayfalarında kullanılmasıyla birlikte, araçlarının yerleştirildiği tüm sitelerde kullanıcılarının internet tercihleri ile gezinme davranışlarını izlemeye devam etmektedirler. Nihai bakışta sosyal ağların kullanıcılarının verilerini sınırsız olarak kullandıklarına dair iki ayrı veçhe var. Bunlardan biri sosyal ağ kullanım politikaları iken, diğeri de sosyal ağların internet sayfalarından veri çekmeye devam edebilmelerini sağlayan sosyal paylaşım eklenti ve araçlarıdır. Bu her iki yönün de kendi içinde doğurduğu çok ciddi gizlilik problemleri vardır. Şimdi bu bölümde her iki veçheyi kullanıcı gizliliğinde neden oldukları tehlikeler açısından inceleyeceğiz.

 

SOSYAL AĞLARI ÜCRETSİZ KULLANMA ve KULLANIM POLİTİKALARI PROBLEMLERİ

Sosyal ağlarda bıraktığınız hiçbir bilginin aslında gerçek sahibi değilsiniz demek, günümüzde artık abartılı bir söylem değil. Çünkü Facebook, Google (Google+ ağı), Twitter, Foursquare ve Instagram gibi siteler kullanıcılar tarafından yeterince okunmayan “hizmet şartları”, “kullanım koşulları”, “gizlilik ilkeleri”, “şartlar ve koşullar” ve/ya “veri kullanımı ilkesi” gibi uzun yazılarda, tüm kullanıcılarının ağa koymuş olduğu her türlü bilgi ve veriyi doğrudan kullanma hakkını aldığını ifade ediyor. Kısacası kullanıcılar ücretsiz olarak aldıklarını düşündükleri sosyal ağ hizmetlerinin karşılığı olarak ortaya kendi verilerini yani aslında kendilerini koymuş olurlar. Çünkü çoğu kimsenin okumadığı o uzun gizlilik ilkeleri ve kullanım koşullarının cümle aralarına ağlar tarafından çok bağlayıcı şartlar konur. Bu bağlayıcı ifadelerde girmiş olduğunuz her şeyin sahibi gibi olduklarını ve istedikleri gibi kullanma haklarının olduklarını belirtirler. Bu doğrultuda Türkiye’de en çok kullanılan Facebook, Google (Google+) ve Twitter’ın bu koşulları çok şey anlatıyor.

» Facebook Kullanım Politikası

Açık ağ felsefesini benimseyen Facebook’un “Hak ve Sorumluluklar Bildirimi” sayfası incelediğinde “Gizlilik” başlığı altındaki ilk cümlenin “Gizliliğiniz bizim için çok önemlidir” olduğunu görülür. Aslında 3 cümleden oluşan bu başlığın konusu, Facebook’ta gizlilik ilkesinin olmadığını, bunun yerine Facebook için “Veri Kullanımı İlkesi” olduğunu söyler. Yani Facebook için gerçekte “gizlilik” diye bir kavram yok. Bunun yerine Facebook’un, kullanıcı verilerini nasıl kullandığını belirten karışık bir metin var. Zaten 2012’nin Haziran ayında TBMM’de İnternet Araştırma Komisyonu’nun sorularını yanıtlayan Facebook’un bölge yöneticilerinden Richard Allan, “Özel durumlarda kişisel bilgileri gizli servislerle paylaşıyoruz.şeklinde bir itirafta bulunarak bu gerçeği resmi bir ağızla ifade etmişti. Örneğin, bu veri kullanım ilkelerinde hesap silme durumlarında kullanıcı bilgilerine ne olduğuna dair söylenen şu ibareler çok dikkat çekicidir: “Belirli bilgiler size hizmetler sağlamak için gereklidir ve bu nedenle bu bilgileri ancak siz hesabınızı sildikten sonra sileriz. Bir grupta paylaşımda bulunmak veya birisine mesaj göndermek gibi Facebook’ta yaptığınız bazı şeyler hesabınızda saklanmaz. Örneğin, siz hesabınızı sildikten sonra bile arkadaşınız kendisine önceden göndermiş olduğunuz bir mesaja erişebilir. Bu bilgiler, siz hesabınızı sildikten sonra da kalır”.

Gerçekten de Facebook’un aslında kullanıcılara ait verileri hiç silmediği 2011’de Avusturyalı bir Hukuk öğrencisi Max Schrems’ın Facebook’tan kendisi hakkında tuttuğu bütün verileri talep etmesiyle ortaya çıkmıştı. Facebook, Avrupa’da tabi olduğu yasaların gereği olarak Max’a tam 1222 sayfalık bir PDF belgesini CD’de teslim etmişti. Teslim edilen bu veriler içinde Max tarafından 2008’den itibaren silinmiş chat diyalogları da dahil olmak üzere, silinen tüm içerikler, reddedilen arkadaşlık talepleri, silinmiş arkadaşlar, Facebook’a bağlanmak için kullanılan bilgisayarların IP adresleri ve zaman damgaları gibi neredeyse bir üyenin Facebook’a adım attığı ilk günden itibaren girmiş olduğu ne kadar veri varsa hepsi vardı. Yani Facebook aslında hiçbir şeyi silmiyor. Ayrıca bütün bu şartlar ve ilkeler sayfaları incelendiğinde bazı kuralların ve şartların başka yerlerle bağlandığına, yani hassas şeylerin sürekli başka bir koşulla bağlandığı görülebiliyor. Özetle bu genel olarak Facebook’un şartlar ve koşullarında:

  • Facebook paylaştığınız içerikler üzerinde çok geniş bir telif hakkını kullanıcından alıyor.
  • Özellikle fotoğraflar ve videolar üzerinde çok fazla kullanım yetkisi var. Bunları istediği zaman istediği gibi kullanabiliyor, dağıtabiliyor ve başka şirket veya organizasyonlarla alt lisanslama yaparak paylaşabiliyor.
  • Hükümetler ve devletler tarafından gelen isteklere cevap verip vermediği konusunda kullanıcılara hiçbir bilgi vermiyor. Yani ne bilgi verip vermediğini söylüyor ne de verdiyse bunu kullanıcıya haber veriyor.
  • Takma adlı kullanıcılara izin vermiyor. Eğer sahte veya takma bir kullanıcı adına sahip iken, Facebook’tan destek almak için mesaj atarsanız sizden gerçek bilgileriniz teyit etmek adına bir çok bilgi talep ediyor.

» Google Kullanım Politikası

Google, 1 Mart 2012 tarihi itibarıyla “Gizlilik Politikası” ve “Hizmet Şartları”nı köklü bir şekilde değiştirdi. Google bu şekliyle 60 değişik gizlilik politikasını kaldırıp bunların yerine çok daha kısa, okunması kolay tek bir politika getirdiğini iddia etmişti. Yeni politika ve şartlar çok sayıda ürün ve özelliği kapsıyor. Google hizmet şartlarını tek bir sayfada birleştirdi, ama gizliliği “Gizlilik Politikası” ve “Gizlilik ilkeleri” olarak iki parçaya ayırdı. Google, servislerine koyulan içerikleri, kendi hizmetlerinin iyileştirilmesi, teşvik edilmesi ve yenilerinin geliştirilmesi için sınırlı amaca yönelik bir işletim iznini kullanıcıdan aldığı belirtmektedir.

Ama aslında “Hizmet Şartlarını”nın “Hizmetlerimizdeki İçerikleriniz” başlığı altında açıkça: “Hizmetlerimize içerik yüklediğinizde, ilettiğinizde, gönderdiğinizde, Hizmetlerimizde içerik depoladığınızda ve Hizmetlerimizden içerik aldığınızda (veya tüm bunları Hizmetlerimizi kullanarak yaptığınızda), Google’a (ve birlikte çalıştığımız kişi ve kuruluşlara) söz konusu içeriği kullanma, barındırma, depolama, yeniden üretme, değiştirme, türev çalışmalar oluşturma (içeriğinizin Hizmetlerimizde daha iyi kullanılabilmesi için yapılan çeviri, adaptasyon ve diğer değişiklerden kaynaklanan çalışmalar gibi), iletişimde kullanma, yayınlama, kamuya açık olarak sunma, kamuya açık olarak görüntüleme ve dağıtmaya yönelik dünya genelinde bir lisans vermiş olursunuzdemektedir. Buradan da aslında kullanıcıların yüklediği verilerin mülkiyetinin aynı anda Google’a da geçtiği anlaşılıyor.

» Twitter Kullanım Politikası

Twitter, Facebook’un da yaptığı gibi kullanıcıya ait her şeyi istediği gibi kullanabilme yetkisini alıyor. Hem de bunu fazlasıyla yapıyor. Örneğin sildiği sanılan tweetleri aslında silmeyip başka şirketlere izinsiz olarak satabiliyor. Bunların politika olarak özetle:

  • Twitter 10 günlük takip verilerini sildiğini söylüyor. Ama zaten bu özelliği kullanıcının kendisi hiç başlatmayabiliyor.
  • Geçmişe dönük en fazla 14 günlük tweetleri gösteriyor ama aslında bunları sadece kullanıcıya göstermiyor. Her şeyi arşivliyor.
  • 3. parti çerezleri kullanabiliyor.
  • Twitter bir hesabı ancak 30 gün sonra siliyor. Ama aslında içerik üzerindeki hakkını siz sildiğinizi zannetseniz bile saklı tutuyor. Yani Twitter da hiçbir şeyi silmiyor diyebiliriz.
  • Genel olarak toparlarsak, internette ücretsiz servislerin görünmeyen gizli ücreti aslında bizzat kullanıcının kendisi olmaktadır. Bu da kişisel bilgilerin aslında bir ticari meta gibi kullanıldığının göstergesi olmaktadır.

 

SOSYAL PAYLAŞIM EKLENTİ ile ARAÇLARI PROBLEMİ

Sosyal ağlar internetteki diğer sitelere sosyal paylaşımı kolaylaştıracak “beğen”, “takip et”, “paylaş” ya da “imle” gibi bir takım araçlar sunarak, kullanıcılarının içerik paylaşımını tüm internet genelinde kolaylaştırabilecek eklentiler sağlamaktadır. Bu eklenti ve araçların çalışabilmesi için sosyal ağın platformu ile doğrudan haberleşebilecek teknik özelliklere sahip olan özel Ajax ve Javascript kodlarından meydana gelmesi gerekmektedir. Fakat bu sürekli haberleşme aslında sosyal ağa, kullanıcıları kendisini ziyaret etmediği zamanlarda bile takip edebilmesini ve onlar hakkında kişiselleştirme ve gezinme takibi olanaklarını da sağlamaktadır. Hem ağların siteleri üzerinden hem de ağ eklentileri yoluyla kullanıcıların bilgisayarlara çerezler (cookie) bırakan sosyal ağlar, kullanıcıları tüm internet gezintileri süresince kesintisiz olarak izleyebilmekte ve detaylı veriler çekebilmektedir. Bu doğrultuda Netograph adlı internet çerezlerinin raporlarını çıkaran bir araçla yapılan incelemede, çerezler yoluyla Google’ın 730 gün (iki yıl), Facebook’un 730 gün ve Twitter’ın da 730 gün boyunca kullanıcılarını izlediği ortaya çıkmıştı.

Yine bu doğrultuda Almanya Hamburg merkezli bir veri koruma ajansı Facebook’un kullanıcılarının üyeliklerini sildiği günden andan itibaren başlayaarak tam 2 yıl sonrasına kadar yasal olmayan bir şekilde gizlice izlediğini ispatladı. Buna göre Facebook, bir kişi kendisine üye olduğu ilk günden itibaren kişinin bilgisayarına çerezler (evercookie: hiç silinmeyen çerez) yerleştirip o kişinin bütün internet aktivitelerini gözlem altına almaya başlıyor. Tabi ki arada Facebook’a giriş yapmak için kullanılan bütün bilgisayarlara da bu çerezler yüklüyor. Ardından o kişi Facebook hesabını tamamen silse bile, tam 2 yıl boyunca o çerezler (cookies) bütün internet hareket ve aktiviteleri muntazam bir şekilde takip ediyor. Ayrıca Facebook yine benzer bir şekilde kendi sitesi üzerinde kullanıcıların kendi kendilerine uyguladıkları otosansürü bile takip ettiği ortaya çıktı. Facebook’ta kullanıcıların kendilerine uyguladıkları otosansür, Facebook’taki chat panosunda, duvar panelinde ya da arama satırında kullanıcıların yazarken yanlış olduğu için sildikleri ya da yazdıktan sonra göndermeden önce son bir kez okuyup sonra yollamaktan vazgeçip sildikleri yazıları silme işlemidir. Yapılan araştırmayla Facebook’un kullanıcıların otosansürde sildikleri mesajları dahi silmediği (çünkü bunlar micro saniyede taslak olarak kaydedilmektedir) ve tuttuğu da görüldü.

Bütün bu bilgiler bize sosyal ağların kullanıcılarını hem her daim hem de sınırsız olarak takip ettiğini belirgin bir şekilde göstermektedir. Bir sonraki ve son bölümde sosyal ağlardan doğan güvenlik ve gizlilik tehlikelerini iyileştirebilecek ya da önleyebilecek uygulamalar incelenecektir.

 

Bir sonraki bölümde sosyal ağlarda güvenlik ve gizlilik tehditlerini önlemeye yardımcı araçlardan bahsedeceğiz.

M. MEKİN PESEN

YAZAR:

Özel bir kurumda kıdemli bilgi güvenliği uzmanı olarak çalışan M. Mekin Pesen, Elektrik-Elektronik Mühendisliği lisans ve Bilgi Güvenliği Mühendisliği yüksek lisans diplomaları ile CISSP, ECSA, CEH ve CCSA sertifikalarına sahiptir. Kendisi siber güvenlik ve bilgi güvenliği genel başlıkları altında çeşitli konularda uzmanlaşmaktadır.
    

E-Bültene Kaydolun, Makaleler Posta Kutunuza Gelsin

Bu yazıyı başka hiçbir yerde ve şekilde yayınlayamazsınız ve/veya kullanamazsınız. Bu yazıyı kullanmanız, başka herhangi bir uyarıya gerek kalmadan her türlü hukuki sonucu daha en baştan kabul ettiğiniz manasına gelir.