Disney Worldwide Services, Inc. ve Disney Entertainment Operations LLC, Çocuk Çevrimiçi Gizlilik Koruma Yasası (COPPA) kuralını ihlal ederek 13 yaşın altındaki çocuklardan kişisel verileri sistematik olarak topladıkları iddialarını çözmek için bir dönüm noktası anlaşmasında 10 milyon dolar ödemeyi kabul etti.
Federal Ticaret Komisyonu’nun emriyle hareket eden ABD Adalet Bakanlığı, Disney’i YouTube kanallarında çocuk yönelimli içeriği düzgün bir şekilde etiketlemekle suçlamakla suçlayarak, Batı Bölümü Merkez Bölgesi Bölge Mahkemesinde dava açtı.
Disney, birçok videoyu “çocuklar için yapılmaz” olarak temerrüde düşürerek, sürekli tanımlayıcıların genç izleyicilere atanmasına izin verdi-hedefli reklamcılık ve çocuklar için devre dışı bırakılması gereken diğer veri odaklı özellikleri sağladı.
Şikayet, Disney’in birçoğu animasyonlu karakterler, şarkı söyleme ve çocuklara yönelik hikaye zamanı okumaları içeren 1.250’den fazla kanalda on binlerce video yüklediğini iddia ediyor.
YouTube’un yaratıcıların “Çocuklar İçin Yapılan” içeriğinin COPPA’ya uymasını belirlemeleri gerektiğine rağmen, Disney’in kurumsal politikası kanalları tamamen çocuklara yönelik veya tamamen değil ve nadiren ayarlanmış bireysel video ayarları olarak belirliyor.
Sonuç olarak, evdeki otomatik oyun, yorumlar ve etkileşimli istemler gibi özellikler, çocuk videolarında aktif kaldı, bu da yetkisiz veri toplamaya ve hedefli reklamlara yol açtı.
Amerika Birleşik Devletleri Bölgesi Californiawestern Bölümü, Disney’in “kitle” geçişinin yanlış yapılandırıldığı Disney’in ayarları kontrol panelinde kalıplar kaydetti.
Bu yanlış yapılandırma, bir kötü amaçlı yazılım gibi, kullanıcı verilerini dışarı atmak için varsayılan ayarlardan yararlanan gizli bir yüke benziyordu.
Geleneksel kötü amaçlı kod olmasa da, YouTube kitle bayrağı bir saldırı vektörü olarak hizmet etti ve üçüncü taraf izleyicilerin doğrulanabilir ebeveyn rızası olmadan küçüklerden kalıcı tanımlayıcıları hasat etmelerini sağladı.
Anlaşma, Disney’in otomatik kitle atamaları ve düzenli üçüncü taraf denetimleri de dahil olmak üzere kapsamlı bir uyumluluk programı uygulamasını zorunlu kılmaktadır. Buna uyulmaması ek cezaları tetikleyebilir.
Bu anlaşma, savunmasız kullanıcıları korumak için tasarlanmış gizlilik düzenlemelerine karşı varsayılan platform ayarlarının silahlandırılabileceği çevrimiçi ekosistemlerin artan incelemesinin altını çizmektedir.
Enfeksiyon mekanizması: İzleyici bayrağı istismar
Disney’in kasıtsız “enfeksiyon” mekanizması, yanlış sınıflandırmaya karşı savunmasız bir yapılandırma dosyasına benzer şekilde çalışan YouTube kitle atama API’sına bağlı. İçerik yüklerken, içerik oluşturucular aşağıdaki gibi bir snippet çağırır:
{
"channelId" : "UCXXXXXX",
"audience": {
"madeForKids" : false
},
"videoId" : "abcd1234"
}Sürekli olarak ayarlayarak "madeForKids": false Kanal düzeyinde, Disney bireysel yüklemelerin çocuk olmayan bir atama devralmasını sağladı.
Bu yanlış etiketleme, YouTube platformunun bir uygulamaya bir izleme kitaplığı yüklemeye benzer şekilde hedeflenen reklam modüllerini ve yorum izlemesini etkinleştirmesine izin verdi.
Kalıcılık taktikleri, kötü amaçlı yazılımların kayıt defteri girişlerini kullanmasını yansıttı: YouTube, kullanıcı profillerinde kitle bayrağını sakladı ve tekrar izleyicilerin oturumlar arasında tutarlı bir izleme almasını sağladı.
Tespit kaçakçılığı, Disney’in ekiplerinin, video başına denetimden ziyade kanal düzeyinde temerrütlere güvendiği, YouTube’un 20120 yılının ortalarında 300’den fazla videoyu müdahale edene ve yeniden sınıflandırılıncaya kadar istismarın etkilerini maskelediği için gerçekleşti.
Bu durum, yanlış yapılandırılmış platform ayarlarının, dijital medya işlemlerinde sağlam, otomatik uyum kontrollerine olan ihtiyacı güçlendirerek gizli bir veri toplama mekanizması olarak nasıl işlev görebileceğini göstermektedir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.