Coğrafi konum veri simsarları: Ne yaparlar ve bilgi sızdırdıklarında ne olur?

Akıllı telefonlarımız ve diğer cihazlarımız her gün hakkımızda büyük miktarda veri toplar ve bunları onlarca, belki de yüzlerce üçüncü taraf şirkete iletir. Buna konum bilgilerimiz de dahildir ve bu tür bilgiler için pazar çok büyüktür. Doğal olarak, alım ve satımlar bilgimiz dışında gerçekleşmekte ve gizliliğimize yönelik bilinmeyen riskler oluşturmaktadır.

Yakın zamanda konum verileri aracısı Gravy Analytics’in hacklenmesi, bu tür uygulamaların potansiyel tuzaklarını açıkça göstermektedir. Bu yazımız; veri aracılarının nasıl çalıştığı ve topladıkları bilgilerin sızması durumunda neler olabileceğinin analizinin yanı sıra, konum verilerinizi korumak için neler yapabileceğinize dair ipuçları da içermektedir.

Konum verileri aracıları nedir?

Veri aracıları; kullanıcılar hakkında bilgi toplayan, işleyen ve satan şirketlerdir. Bu bilgileri; mobil uygulamalardan, çevrimiçi reklam ağlarından, çevrimiçi analiz sistemlerinden, telekom operatörlerinden ve akıllı ev cihazlarından arabalara kadar bir dizi başka kaynaktan alırlar.

Teoride bu veriler yalnızca analiz ve hedefli reklamcılık için toplanır. Ancak uygulamada, kullanım konusunda genellikle herhangi bir kısıtlama yoktur ve görünüşe göre herkes bunları satın alabilir. Yani, gerçek dünyada verileriniz hemen hemen her amaç için kullanılabilir. Örneğin, geçen yıl yapılan bir araştırma, ticari veri aracılarının – doğrudan veya başka aracılar vasıtasıyla – devlet istihbarat kurumlarına bile hizmet edebileceğini ortaya koydu.

Veri aracıları, en önemli ve hassas kategorilerden biri konum verileri olmak üzere, her türlü kullanıcı bilgilerini toplar. Aslında o kadar talep görmektedir ki, daha genel veri aracılarının yanı sıra, özellikle buna odaklanan firmalar da vardır.

Bunlar konum verileri aracıları; yani kullanıcı konumu hakkında bilgi toplama ve satma konusunda uzmanlaşmış kuruluşlardır. Bu segmentteki en büyük oyunculardan biri, 2023 yılında Norveçli Unacast ile birleşen ABD’li konum izleme firması Gravy Analytics’tir.

Gravy Analytics veri sızıntısı

Ocak 2025’te Gravy Analytics’te bir veri sızıntısı olduğu haberi geldi. İlk başta bu haberin kaynağı, Rusça yayın yapan özel bir hacker forumunda çıkan bir yazıya dayanan resmi olmayan raporlarla sınırlıydı. Poster Gravy Analytics’i hacklediğini ve milyonlarca kullanıcının konum verilerini çaldığını iddia etti ve kanıt olarak veri hazinesinin ekran görüntülerini sundu.

Çok geçmeden resmi onay geldi. Norveç yasalarına göre, Gravy Analytics’in ana şirketi Unacast’ın yasal olarak ulusal düzenleyici kuruma bildirimde bulunması gerekiyordu.

Şirketin açıklamasında, 4 Ocak’ta yetkisiz bir kişinin, Gravy Analytics’in AWS bulut depolama ortamına “zimmete geçirilen bir erişim anahtarı aracılığıyla” erişim sağladığı bildirildi. Saldırgan “kişisel veriler içerebilecek bazı dosyaları ele geçirmişti”.

Gravy Analytics’in sızdırdığı verilerin analizi

Unacast ve Gravy Analytics, hangi verilerin tehlikeye atılmış olabileceğini belirtmek için acele etmedi. Ancak birkaç gün içinde bağımsız bir güvenlik araştırmacısı, elde edebildikleri çalıntı verilerin bir örneğine dayanarak sızdırılan bilgilere ilişkin kendi derinlemesine analizlerini yayınladı.

Gravy Analytics sızıntısı dünya çapındaki kullanıcıların konum verilerini içeriyordu. Kaynak

Gravy Analytics hack’inin gerçekten de Rusya’dan Amerika Birleşik Devletleri’ne kadar dünya çapındaki kullanıcıların devasa konum verilerini sızdırdığı ortaya çıktı. Araştırmacı tarafından analiz edilen parça 1,4 GB boyutundaydı ve çoğunlukla Ocak 2025’in ilk günlerinde toplanan, yaklaşık 30 milyon kayıttan oluşuyordu. Bu arada, bilgisayar korsanı çalınan veritabanının 10 TB olduğunu, yani potansiyel olarak 200 milyardan fazla kayıt içerebileceğini iddia etti!

Bu veriler mobil uygulamalar tarafından toplanmış ve Gravy Analytics tarafından bir araya getirilerek müşterilere satılmıştır. Sızıntının analizinin gösterdiği gibi, konum verilerini toplamak için kullanılan uygulamaların listesi binlerle ifade ediliyor. Örneğin, incelenen örneklem, arkadaşlık uygulamaları da dahil olmak üzere 3455 Android uygulamasından toplanan verileri içeriyordu.

İngiltere merkezli Tinder kullanıcılarının konum verileri, Gravy Analytics’ten sızdırılan verilerde neler bulunabileceğine bir örnektir. Kaynak

Gravy Analytics’in sızıntı verileriyle kullanıcıların izlenmesi ve anonimleştirilmesi

Gravy Analytics saldırısının en rahatsız edici yanı, sızdırılan veri tabanının, iOS için IDFA ve Android cihazlar için AAID reklam kimlikleriyle bağlantılı olmasıdır. Birçok durumda bu, kullanıcıların hareketlerini zaman içinde izlemeyi mümkün kılar. Örneğin burada Washington, D.C.’deki Beyaz Saray civarındaki bu tür hareketlerin bir haritası yer almaktadır (Bu görselleştirmenin çalınan verilerin sadece küçük bir örneğini kullandığını unutmayın; tam veri tabanı çok daha fazlasını içermektedir):

Reklam kimlikleriyle bağlantılı Gravy Analytics sızıntısındaki veriler, kullanıcıların zaman içindeki hareketlerini izlemek için kullanılabilir. Kaynak

Daha da kötüsü, bazı veriler anonim hale getirilebilir. Örneğin araştırmacı Blue Origin, fırlatma rampasını ziyaret eden bir kullanıcının hareketlerini takip edebilmiştir:

Gravy Analytics’ten sızdırılan konum verilerini kullanan bir kullanıcı anonimleştirilmesi örneği. Kaynak

Bir başka örnek: Araştırmacı, bir kullanıcının New York Manhattan’daki Columbus Circle’dan Tennessee’deki evine ve ertesi gün de ailesinin evine kadar olan hareketlerini takip edebilmiştir. Araştırmacı, yalnızca OSINT verilerine dayanarak, annesinin adı ve merhum babasının ABD Hava Kuvvetleri gazisi olduğu bilgisi de dahil olmak üzere bu kişi hakkında çok şey öğrenmiştir.

Gravy Analytics’ten sızdırılan konum verilerini kullanan bir başka kullanıcı anonimleştirme örneği. Kaynak

Gravy Analytics veri ihlali, veri aracıları sektörü ve özellikle de konum verileri aracıları ile ilgili ciddi riskleri ortaya koymaktadır. Saldırı sonucunda, mobil uygulamalar tarafından toplanan büyük hacimli kullanıcı konum kayıtları halka açık hale geldi.

Bu veriler, çok sayıda insanın hareketlerini oldukça yüksek bir doğrulukla izlemeyi mümkün kılmaktadır. Sızdırılan veri tabanı; ad ve soyad, kimlik numarası, adres veya telefon numarası gibi doğrudan kişisel tanımlayıcılar içermese de, reklam kimlikleriyle bağlantı birçok durumda anonimleştirmeye yol açabilir. Böylece, çeşitli yarı tanımlayıcılara dayanarak, bir kullanıcının kimliğini belirlemek, nerede yaşadığını ve çalıştığını bulmak ve sosyal bağlantılarını izlemek mümkündür.

Konum verilerinizi nasıl koruyabilirsiniz?

Ne yazık ki, kullanıcı konum verilerinin toplanması artık o kadar yaygın bir uygulama ki, bu sorunun kolay bir cevabı yok. Ne yazık ki, dünya çapındaki tüm internet şirketlerinin verilerinizi toplamasını durdurmak için öyle basabileceğiniz mucize bir düğme yok.

Bununla birlikte, en azından konumunuz hakkında veri aracılarının eline geçen bilgi miktarını en aza indirebilirsiniz. İşte yöntemi:

• Konum verilerine erişim isteyen uygulamalara karşı katı olun. Genellikle bu izin olmadan da gayet iyi çalışırlar. Bu nedenle uygulamanın konumunuzu bilmesi için özel bir neden yoksa, hayır deyin.
• Çalışmak için coğrafi konumunuza gerçekten ihtiyaç duyan uygulamalarda gizliliği dikkatlice yapılandırın. Bunun için en popüler çalışan uygulamaların tümünü yapılandırma kılavuzlarımıza
• Uygulamaların arka planda konumunuzu izlemesine izin vermeyin. İzinleri verirken her zaman “Sadece uygulamayı kullanırken” seçeneğini seçin.
• Artık kullanmadığınız uygulamaları kaldırın. Genel olarak, akıllı telefonunuzdaki uygulama sayısını minimumda tutmaya çalışın; bu, cihazınızdaki potansiyel veri toplayıcıların sayısını azaltacaktır.
• Apple iOS, iPadOS veya tvOS cihazlarını kullanıyorsanız uygulama izlemeyi devre dışı bırakın. Bu, hakkınızda toplanan verilerin anonimleştirilmesini önleyecektir.
• Android kullanıyorsanız, cihazınızın reklam kimliğini silin. İşletim sistemi sürümünüzde bu seçenek mevcut değilse, reklam kimliğini düzenli olarak sıfırlayın.
• Tüm cihazlarınıza reklam izlemeyi engelleyebilen güçlü bir güvenlik çözümü yükleyin.

Genel veri aracılarının hakkınızda bilgi toplamasını nasıl engelleyebileceğinize dair daha fazla ipucu için Reklamverenler sizinle ilgili verileri istihbarat örgütleriyle mi paylaşıyor? başlıklı yazımıza göz atabilirsiniz.