ABD Senatosu’nun devam eden soruşturması, bağlantılı otomobil üreticilerinin sürücülerin konum bilgileri de dahil olmak üzere verilerini geniş çapta paylaşarak ve satarak tüketici gizliliğini ihlal ettiğini ve aynı otomobil üreticilerinin sıklıkla tüketiciyi aldatarak onay aldığını ortaya koydu.
Senatörler, bu soruşturmaya dayanarak Federal Ticaret Komisyonu’ndan (FTC) otomobil üreticilerinin milyonlarca Amerikalının sürüş verilerini veri simsarlarına ifşa etmesini araştırmasını ve bu uygulama hakkında yeni bulunan ayrıntıları paylaşmasını talep etti.
Ve bununla da kalmıyorlar:
“FTC bu şirketlerin yasayı ihlal ettiğini tespit ederse, şirketleri ve üst düzey yöneticilerini sorumlu tutmanızı rica ediyoruz.”
Malwarebytes’ta, Mozilla’daki bir araştırma ekibinin, birkaç yıldır “Gizlilik Dahil Değil” adlı çeşitli ürün kategorilerinin gizlilik ve veri toplama politikalarını inceleyerek, gizlilik açısından inceledikleri en kötü ürün kategorisinin otomobiller olduğunu bulduklarını bildirmiştik.
Modern bir araba uzun zamandır sadece bir ulaşım aracı değildi. Birden fazla dijital sistemle, giderek daha fazla web uygulamalarına ve dijital süreçlere bağlanıyorlar; güvenlik açıklarına karşı savunmasız uygulamalar ve süreçler.
Ama en azından bu zaaflar kasıtlı değil. Diğer bazı gizlilik sorunları kasıtlı.
Kasım 2023’te bir yargıç, otomobil üreticilerinin kısa mesajlarınızı dinlemesinin sorun olmadığına karar verdi, çünkü bu uygulama eyalet yasalarına göre yasadışı bir gizlilik ihlali için gereken eşiği karşılamıyor.
Senatörler, “bilgilendirilmiş” onay niteliği taşımayan yollarla onay almak için karanlık desenlerin kullanılması da dahil olmak üzere modern araç verisi toplama uygulamalarının bazı endişe verici yönlerini buldular. Karanlık desenler, aldatıcı tasarım desenleri olarak da bilinir, bir kullanıcı arayüzünün kullanıcıları yapmaya niyetlenmedikleri şeyleri yapmaya teşvik etmek veya kandırmak için dikkatlice tasarlanması durumunda ortaya çıkar.
Bir diğer sorun ise verilerin veri simsarlarına satıldığının bulunmasıdır. Bu hizmetler, kolluk kuvvetlerinden pazarlama şirketlerine ve hatta dolandırıcılara kadar ilgili tarafların kullanıcı adları, parolalar (açık metin dahil), e-posta adresleri, IP adresleri ve daha fazlasını içeren kayıtlara erişmesine olanak tanıyabilir.
Üç otomobil üreticisi, hızlanma ve frenleme verileri gibi sürücü verilerini bir veri aracısına ifşa ettiklerini doğruladı. Otomobil üreticilerinden biri ayrıca, isimlerini vermeyi reddettiği iki başka şirkete müşteri konum verilerini ifşa ettiğini doğruladı.
Adı geçen veri aracısı bu raporları otomobil sigorta şirketlerine sattı ve ayrıca otomobil üreticilerine sürüş puanı ve güvenli sürüş önerileri gibi bu bilgilerin bir kısmını sağladı. New York Times’a göre, otomobil üreticileri sekiz milyondan fazla otomobilden sürüş davranışı verilerini paylaştı.
Senatörler ayrıca bazı otomobil üreticilerinin sigorta faturalarını düşürmenin bir yolu olarak yalnızca “güvenli sürüş” programlarının reklamını yapmış olabileceğinden endişe duyuyorlar; ancak bazı sigortacıların telematik verilerine dayanarak bazı sürücülerden daha fazla ücret talep edebileceğini açıklamaktan kaçınıyorlar.
Louisiana ve Montana gibi bazı eyaletler, sigorta primlerini artırmak için telematik verilerinin kullanımını sınırlandırırken, Kaliforniya telematik verilerinin yalnızca kilometre doğrulaması için paylaşılmasına izin veriyor.
Senatörler şunları talep ettiler:
“FTC, müşterilerinin verilerini bilgilendirilmiş onay almadan veri komisyoncularıyla paylaşan otomobil üreticilerini ve yasal bir şekilde elde edilmemiş verileri yeniden satan veri komisyoncularını sorumlu tutmalıdır. Etkilenen çok sayıda tüketici ve karanlık kalıplar kullanılarak tüketicilerin aşırı manipülasyonu göz önüne alındığında, FTC ayrıca üst düzey şirket yetkililerini müşterilerinin gizliliğini açıkça kötüye kullanmalarından sorumlu tutmalıdır.”
Malwarebytes’ta, veri alıcılarının ve aracılarının sayısıyla ilgili endişelerimizi dile getirdik. Bu, verileri ödemeye istekli olan herkese satmak için mi yoksa yalnızca veriye hak sahibi olanlara sunmak için mi orada olduklarından bağımsızdır. Ayrıca, verilerin bir ihlal yoluyla mı yoksa “rıza” ile mi elde edildiğinden de bağımsızdır.
Ekonomide hepimizin öğrendiği gibi, talep fiyatı yükseltir ve fiyat ne kadar yüksek olursa verinin peşine düşmek o kadar cazip hale gelir. Ve, tüm ihlallerin anası (MOAB) olayının açıkça gösterdiği gibi, herkes veri toplamalarını yanlışlıkla ifşa etme konusunda olması gerektiği kadar dikkatli değil.
Pozlamanızı kontrol edin
Veri ihlalleri nedeniyle bilgilerinizin çevrimiçi olarak erişilebilir olup olmadığını Malwarebytes Dijital Ayak İzi portalını kullanarak doğrulayabilirsiniz. Ücretsiz Dijital Ayak İzi taramamıza e-posta adresinizi (araba bayiliğinizin sahip olduğu adresi deneyin) girmeniz yeterlidir ve size bir rapor sunacağız. Bilgileri dahil edilmeyenler için, önceki veri ihlallerinde muhtemelen başka ifşalar da bulacaksınız.
Sadece tehditleri rapor etmiyoruz; dijital kimliğinizin tamamını korumanıza yardımcı oluyoruzve
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Kimlik korumasını kullanarak kendinizin ve ailenizin kişisel bilgilerini koruyun.