Akıllı telefon uygulamalarından bazıları kullanıcılara ilaçlarını almayı hatırlatıyor; bazıları ise uyku kalitesini izliyor, adımları ve kalorileri sayıyor, vb. Ruh ve beden sağlığımızı takip etmek için birçok uygulama var. Bu tür programlar genellikle kullanıcıların duyguları, ruh halleri, teşhisleri ve daha fazlası hakkında çok kişisel veriler paylaşmasını gerektiriyor. Ne yazık ki, hepsi bu tür özel bilgileri gereken özenle ele almıyor.
36C3‘te insan hakları örgütü Privacy International, kadınların regl dönemlerini öngörebilmesine, üreme sağlığını izleyebilmesine ve hamileliklerini planlayabilmesine yardımcı olan mahrem uygulamalarla ilgili yaptığı çalışmaları paylaştı. Bu uygulamalardan bazılarının kullanıcıların güvenini kötüye kullanarak Facebook’la ve diğer uygulamalarla özel bilgileri paylaştığı ortaya çıktı.
Facebook tam olarak ne gördü?
Raporu derlerken araştırmacılar iki uygulamayı inceledi: Maya ve MIA (sırasıyla 5 milyon ve 1 milyon Google Play indirmesine sahip olan uygulamalar). Çalışma çok basitti: Privacy International, korumalı alanda çalıştırdıkları uygulamaların giden trafiğini inceledi ve aktarılan veriler ile hedeflerini analiz etti. Sonuçlar, en hafif tabirle, enteresandı.
Erişim sağlanır sağlanmaz, kullanıcılara gizlilik politikaları sunulmadan bile önce, her iki uygulama da Facebook ve diğer iş ortaklarıyla iletişim kurdu. Maya, CleverTap analiz platformuna, MIA ise geliştiricilere analitik hizmetleri sunan AppsFlyer’a veri gönderdi.
MIA ilk önce kullanıcının uygulamayı hamilelik planlamak için mi yoksa sadece regl döngüsünü izlemek için mi yüklediğini öğrenmek istedi ve cevapları hemen ortaklarına iletti. Regl döngüsünün zamanlaması ve süresi hakkındaki bilgileri de aynı son bekliyordu. Ardından program; duygular, kontraseptif uygulamalar, kafein, alkol ve sigara içme alışkanlıkları da dahil olmak üzere kullanıcı hakkında olabildiğince çok şey keşfetmeye çalıştı. Uygulama, saç stilleri ve manikür gibi kadın sağlığı ile ilgili olmayan bilgileri bile toplamaya çalıştı.
Uygulama, topladığı bilgilere ve kadının döngünün hangi aşamasında olduğuna dair kendi sonuçlarına dayanarak konuyla ilgili bir takım makaleler sundu. Bütün bunlar ilk bakışta zararsız, hatta yararlı görünebilir, ancak: Açıkça kullanıcının uygulamaya verdiği bilgilere göre şekillenen makalele listesi Facebook’a ve AppsFlyer’a da gönderildi.
Maya’nın yaklaşımı ise biraz daha yaratıcılıktan yoksundu. Uygulama, öğrendiği her şeyi; refah, ruh hali, kontraseptifler, kişisel hijyen ürünleri, cinsel aktivite, vb. hakkında her türlü bilgiyi aktardı. Program, saç stilleri veya manikür hakkında soru sormasa da kişisel bir günlük işlevi sunarak buradaki içeriği Facebook’a ve CleverTap’e aynen iletti.
Tüm bu bilgilere ek olarak uygulamalar, e-posta adresi ve benzersiz cihaz tanımlayıcısı gibi diğer kişisel verileri de iletti. Facebook hesabı olan kullanıcılar için, Facebook uygulamasını telefonlarına yüklememiş olsalar bile, bu bilgiler onları tanımlamak için yeterli olabilir. Başka bir deyişle, Facebook kimin verilerini aldığını gayet iyi biliyor.
Şirketler neden bu kadar kişisel veri istiyor?
Kullanıcının sağlığı, ruh hali ve özel hayatı hakkında bilgilerle donatılan Facebook dahil reklam ağları, reklam verenlerin mal ve hizmetlerini daha karlı bir şekilde satabilir. Örneğin, hamile kadınları hedefleyen reklamlar, özellikle satın alma işlemine yol açma olasılıkları daha yüksek olduğundan, hedeflenmemiş reklamların on katından daha maliyetlidir. (Hamile bir kadının alışveriş ihtiyaçları bir dereceye kadar tahmin edilebilir ve dahası bu kişinin marka seçimleri hakkında çok az şey bilen, ilk kez alışveriş yapan biri olma ihtimali yüksektir; bu yüzden ona ilk ulaşan reklam verenlerin, seçimini etkilemekte büyük bir şansı vardır.)
En kötüsü reklam değil. Yanlış ellere düşen özel sağlık bilgileri, sağlık sigortalarının maliyetlerini de etkileyebilir. İş başvurusunda bulunan kişinin hamile kalmayı planladığını bilen potansiyel bir işveren, başka bir adayı tercih edebilir. Hamile bir kadının uluslararası bir uçuşta olmasına bile izin verilmeyebilir. Üstelik, en yakın arkadaşınızla bile paylaşmayacağınız ayrıntıları Facebook’un bilmesi, en son isteyeceğiniz şeydir.
Maya’nın geliştiricileri, uygulamanın istediği tüm verilerin uygulamanın çalışması için gerekli olduğunu iddia ediyor. Bu kısmen doğru: Hormonal ilaçlar, artan stres ve sigara içme gibi alışkanlıklar, regl döngüsünü değiştirebilir; ruh hali değişimleri, karın ağrısı ve diğer semptomlar ise reglin yaklaşmakta olduğunu gösterebilir. Bununla birlikte, istenen bilgilerin önemli bir bölümü, tanının doğruluğu üzerinde ya çok az etkiye sahip ya da hiçbir etkiye sahip değil.
Geliştiriciler Facebook Analytics’ten ayrılıyor
Neyse ki iyi haberler de var: Ne Maya ne de MIA artık Facebook’a bilgi aktarıyor. Araştırmacılar, uygulama geliştiricilerle iletişime geçti; geliştiriciler de verilerin gönderilmesinden sorumlu olan Facebook Analytics aracını hızla kaldırdılar. Evet, her iki uygulama da CleverTap ve AppsFlyer kullanıyor.
Dolayısıyla, verilerin Facebook’a aktarılmasına gerçekten gerek olmadığı ortaya çıktı: Geliştiriciler, hangi verilerin nereye gideceğini düşünmeden basitçe ek bir analiz sistemini entegre etmişlerdi.
Maya’nın yaratıcıları, üçüncü tarafların CleverTap’in sunucularındaki bilgilere erişemediğini söyledi. Platformun geliştiricileri, çözümün Genel Veri Koruma Yönetmeliği’ne (GDPR) uygun olduğunu ve analitik algoritmalarının anonimleştirilmiş veri havuzlarını işlediğini ifade etti. Gerçekten durum buysa, bu uygulamanın sebep olabileceği gizlilik tehdidi artık minimal kabul edilebilir.
AppsFlyer analizine hizmet eden MIA’nın durumu ise daha karmaşık. Araştırmacıların soruşturmasına yanıt olarak şirket, müşterilerin sağlık bilgileri de dahil olmak üzere kullanıcıların kişisel verilerini toplamasını yasakladığını söyledi. AppsFlyer, analitik yaklaşımlarını gözden geçirmesi için MIA uygulamasının geliştiricileriyle iletişim kurduğunu iddia ediyor. Ancak araştırmacıların belirttiği üzere, AppsFlyer, özellikle de sağlık bilgileriyle çalışan uygulamalardan hangi verileri toplaması gerektiği konusunda oldukça belirsiz konuşuyor.
Kişisel verilerin kötüye kullanılması nasıl önlenir
Herhangi bir veriyi, özellikle de özel verileri, herhangi bir tür bir uygulamaya iletirken, uygulamanın verilerinizi başka bir tarafla paylaşabileceğini unutmayın. Belirli bir hizmet olmadan yapamıyorsanız, aşağıdaki önerileri göz önünde bulundurun:
- Uygulamaları akıllıca seçin. Google Play ve App Store’daki yorumları okuyun ve kullanıcıların çevrimiçi geliştiriciler hakkında ne söylediğini kontrol edin. İlgilendiğiniz program, olmaması gereken bir yere veri gönderirken yakalanmış olabilir. Ya da lekesiz bir üne sahip olabilir. Bu da mümkün.
- Bir uygulama hassas verilerinizi istiyorsa gizlilik politikasına göz atın. Uygulama, verilerinizin üçüncü taraf şirketlere aktarılacağını açıkça belirtebilir; bu da kötüye işarettir. Ancak belirli bir madde yer almasa bile, politika belirsiz veya anlaşılmaz bir şekilde ifade edildiği takdirde, geliştiriciler bir şeyi gizlemeye çalışıyor olabilir.
- Regl dönemi takibi uygulamasına ihtiyacınız varsa en azından bu ikisinin, yani Maya ve MIA’nın, Facebook ile işbirliğini durdurduğunu biliyorsunuz. Privacy International’ın raporunda, haksız uygulamalarda bulunmayan diğer programlar da yer alıyor.
- Uygulamalara gerekenden daha fazla bilgi vermeyin: Gerçekten neye ihtiyaçları olduğunu ve bu bilgiler olmadan neler yapabileceklerini dikkatlice düşünün. Bu, kalem ve kağıt çağına geri dönmeniz gerektiği anlamına gelmiyor, sadece uygulamalara verdiğiniz bilgilerin tamamen gizli kalmasının mümkün olmadığını bilmeniz gerek.