2024 ABD başkanlık seçimleri son aşamasına giriyor, bu da devlet destekli hackerların kendi özel yollarıyla karışmak için gölgelerden sıyrıldığı anlamına geliyor. Buna, Google’ın Tehdit Analizi Grubu’nun Donald Trump ve Joe Biden’ın (şimdi Kamala Harris’in) kampanyalarıyla ilişkili yaklaşık bir düzine kişiyi hedef aldığını söylediği İran’ın İslam Devrim Muhafızları Kolordusu’na bağlı bir hacker grubu olan İran’ın APT42’si de dahil.
Veri aracısı ve geçmiş kontrol şirketi National Public Data’nın ihlali olan yuvarlanan felaket daha yeni başlıyor. Şirketin ihlali aylar önce gerçekleşmiş olsa da şirket bunu ancak Pazartesi günü, birisi ABD, İngiltere ve Kanada’daki kişilerin isimleri, fiziksel adresleri ve Sosyal Güvenlik numaraları dahil olmak üzere “2,9 milyar kayıt” olduğunu iddia ettiği şeyi yayınladıktan sonra kamuoyuna duyurdu. Ancak verilerin devam eden analizi, hikayenin çok daha karmaşık olduğunu gösteriyor; riskler de öyle.
Artık bisiklet vites kollarını ve spor salonu dolaplarını hacklenebilecek şeyler listesine ekleyebilirsiniz. Güvenlik araştırmacıları bu hafta Shimano’nun Di2 kablosuz vites kollarının çeşitli radyo tabanlı saldırılara karşı savunmasız olabileceğini ve bunun da birinin bir sürücünün viteslerini uzaktan değiştirmesine veya bir yarışta kritik bir anda vites değiştirmesini engellemesine olanak sağlayabileceğini açıkladı. Bu arada diğer araştırmacılar, dünya çapındaki spor salonlarında ve ofislerde kullanılan elektronik dolapların yönetici anahtarlarını çıkarmanın mümkün olduğunu ve bunun da potansiyel olarak bir suçlunun tek bir konumdaki her dolaba erişmesini sağlayabileceğini buldu.
Google Pixel telefon kullanıyorsanız, onu gözünüzün önünden ayırmayın: Showcase.apk adlı gizli bir Android uygulamasındaki yamalanmamış bir güvenlik açığı, bir saldırgana cihazınıza derin erişim sağlama yeteneği verebilir. Güvenlik açığından yararlanmak, hedeflenen cihaza fiziksel erişim gerektirebilir, ancak açığı keşfeden iVerify’daki araştırmacılar, bunun diğer güvenlik açıkları aracılığıyla da mümkün olabileceğini söylüyor. Google, “önümüzdeki haftalarda” bir düzeltme yayınlamayı planladığını söylüyor, ancak bu, Google’ın yetersiz bir yanıt verdiğine inandığı için tüm Android cihazlarını kullanmayı bırakacak olan veri analitiği firması ve ABD askeri yüklenicisi Palantir için yeterli değil.
Ama hepsi bu kadar değil. Her hafta, derinlemesine ele almadığımız güvenlik ve gizlilik haberlerini topluyoruz. Tüm haberleri okumak için başlıklara tıklayın. Ve dışarıda güvende kalın.
ABD federal temyiz mahkemesi geçen hafta sözde coğrafi sınır emirlerinin Dördüncü Değişiklik’in mantıksız aramalara ve el koymalara karşı korumalarını ihlal ettiğine karar verdi. Coğrafi sınır emirleri, polisin Google gibi şirketlerden belirli bir zamanda belirli bir konumda görünen her cihazın listesini teslim etmesini talep etmesine olanak tanır. ABD Beşinci Daire Temyiz Mahkemesi 9 Ağustos’ta coğrafi sınır emirlerinin “Dördüncü Değişiklik tarafından kesinlikle yasaklandığına” karar verdi çünkü “bunlar Asla belirli bir kullanıcının tanımlanmasını içerir, yalnızca belirli bir kullanıcının bulunduğu zamansal ve coğrafi konum mayıs “Arama sonrası aramayı açın.” Başka bir deyişle, bunlar gizlilik ve medeni haklar savunucularının uzun zamandır iddia ettiği gibi anayasaya aykırı bir balıkçılık seferidir.
On milyonlarca ABD sakininin konum geçmişini toplayan ve coğrafi sınırlama emirlerinin en sık hedefi olan Google, geçen yılın sonlarında konum verilerini depolama biçimini, coğrafi sınırlama emirlerinin bir zamanlar döndürdüğü verileri artık döndüremeyeceği şekilde değiştireceğine yemin etti. Ancak yasal olarak, sorun çözülmüş olmaktan çok uzak: Beşinci Daire kararı yalnızca Louisiana, Mississippi ve Teksas’taki kolluk kuvvetleri faaliyetleri için geçerlidir. Ayrıca, zayıf ABD gizlilik yasaları nedeniyle, polis verileri satın alabilir ve can sıkıcı emir sürecini tamamen atlayabilir. Beşinci Daire tarafından görülen davadaki temyiz edenlere gelince, onlar da daha iyi durumda değiller: Mahkeme, polisin 2018’de çıkarıldığında coğrafi sınırlama emrini “iyi niyetle” kullandığını, bu nedenle elde ettikleri kanıtları kullanmaya devam edebileceklerini tespit etti.
ABD’deki Yabancı Yatırım Komitesi (CFIUS), Alman sermayeli T-Mobile’a, 2020’deki birleşmenin ardından ABD merkezli Sprint ile entegrasyonu sırasında verileri kötü kullandığı gerekçesiyle bu hafta rekor düzeyde 60 milyon dolar para cezası kesti. CFIUS’a göre, “T-Mobile, belirli hassas verilere yetkisiz erişimi önlemek için uygun önlemleri almakta başarısız oldu” ve şirketin komiteyle imzaladığı ve ABD şirketleriyle yapılan yabancı iş anlaşmalarının ulusal güvenlik etkilerini değerlendiren Ulusal Güvenlik Anlaşması’nı ihlal etti. T-Mobile bir bildiride, teknik sorunların “az sayıda kolluk kuvveti bilgi talebinden paylaşılan bilgileri” etkilediğini söyledi. Şirket “hızlı” ve “zamanında” hareket ettiğini iddia ederken, CFIUS, T-Mobile’ın “bazı yetkisiz erişim olaylarını CFIUS’a derhal bildirmediğini ve bu durumun Komite’nin olası zararları araştırma ve azaltma çabalarını geciktirdiğini” iddia ediyor.
Kim Dotcom’un kovuşturulmasının 12 yıllık destanı, bu hafta Yeni Zelanda adalet bakanının ABD’nin tartışmalı girişimciyi iade etme talebini onaylamasıyla ilerledi. Dotcom, ABD yetkililerinin yaygın telif hakkı ihlali için kullanıldığını söylediği dosya paylaşım hizmeti Megaupload’u kurdu. ABD, Megaupload’a 2012’de el koydu ve Dotcom’u haraççılık, telif hakkı ihlali ve kara para aklama ile ilgili suçlamalarla suçladı. Dotcom herhangi bir yanlış yapmayı reddetti ancak 2017’de iadeyi engelleme girişimini kaybetti ve o zamandan beri buna karşı mücadele ediyor. Adalet bakanının kararına rağmen Dotcom, X’teki bir gönderide 2010’dan beri yasal olarak ikamet ettiği ülkede kalmaya yemin etti. “Yeni Zelanda’yı seviyorum” diye yazdı. “Ayrılmayacağım.”
Büyüyen deepfake pornografisi belası (insanları rızaları olmadan dijital olarak “soyup” açık görüntüler) sonunda büyük bir yasal engele takılmış olabilir. San Francisco’nun baş avukat yardımcısı Yvonne Meré (ve dolayısıyla San Francisco Şehri) en popüler 16 “çıplaklaştırma” web sitesine dava açtı. Bu siteler ve uygulamalar insanların hemen hemen herkesin açık deepfake görüntülerini oluşturmasına izin veriyor, ancak giderek artan bir şekilde erkek çocukları tarafından reşit olmayan kadın sınıf arkadaşlarına yönelik cinsel taciz materyali oluşturmak için kullanılıyorlar. Birkaç eyalet, yapay zeka tarafından oluşturulan küçüklere yönelik cinsel taciz materyallerinin oluşturulmasını ve dağıtımını suç sayarken, Meré’nin davası etkili bir şekilde siteleri tamamen kapatmayı amaçlıyor.