Federal İletişim Komisyonu (FCC), müşterilerinin gerçek zamanlı konum verilerini rızaları olmadan paylaştıkları için ABD’nin en büyük kablosuz operatörlerine yaklaşık 200 milyon dolar para cezası verdi.
FCC’nin hak kaybına ilişkin emirleri, Şubat 2020’de AT&T, Sprint, T-Mobile ve Verizon’a karşı yayınlanan Görünür Sorumluluk Bildirimlerini (NAL) sonuçlandırıyor.
Pazartesi günü verilen cezalar arasında Sprint için 12 milyon dolar ve T-Mobile için 80 milyon dolar (soruşturma başladığından bu yana iki operatör birleşti), AT&T için 57 milyon dolardan fazla ve Verizon için neredeyse 47 milyon dolar para cezası yer alıyor.
Amerika’nın en büyük kablosuz iletişim operatörlerinin, müşterilerin konum bilgilerini Securus’un “konum bulma hizmeti” aracılığıyla izin veya yasal yetki olmadan Missouri Şerifine açıkladığı yönündeki raporların ardından bir soruşturma başlatıldı.
Yetkisiz erişim konusunda bilgilendirilmiş olmalarına rağmen, dört operatörün tümü, müşterilerin konum bilgilerine erişimi olan konum tabanlı hizmet sağlayıcıların onay almasını sağlamak için makul önlemler olmadan programlarını çalıştırmaya devam etti.
Soruşturma sırasında FCC’nin Uygulama Bürosu, dört mobil operatörün her birinin müşterilerinin gerçek zamanlı konum verilerini “toplayıcılara” sattığını ve onların da bu bilgileri üçüncü taraf konum tabanlı hizmet sağlayıcılara yeniden satarak müşterilerin nerede olduklarını açığa çıkardığını tespit etti. Gideceklerini ve kim olduklarını.
FCC, “Bunu yaparken, her bir taşıyıcı, müşteri onayı alma yükümlülüklerini konum bilgisinin alt alıcılarına devretmeye çalıştı; bu da birçok durumda geçerli bir müşteri onayının alınmadığı anlamına geliyordu.” dedi.
“Bu ilk başarısızlık, güvenlik önlemlerinin etkisiz olduğunun farkına vardıktan sonra taşıyıcıların, yetkisiz erişime karşı korumak için makul önlemler almadan konum bilgilerine erişimi satmaya devam etmesiyle daha da arttı.”
Ancak İletişim Yasası’nın 222. maddesine göre, ABD’deki kablosuz iletişim operatörlerinin konum bilgileri gibi belirli müşteri verilerini korumak için makul adımlar atması gerekiyor.
Ayrıca bu müşteri bilgilerini gizli tutmaları ve bu bilgileri kullanmadan, ifşa etmeden veya erişim sağlamadan önce müşterinin onayını almaları gerekmektedir.
FCC İcra Bürosu başkanı Loyaan A. Egal, “Yanlış ellere verildiğinde veya kötü amaçlarla kullanıldığında hepimizi riske atıyor” dedi.
“Yabancı saldırganlar ve siber suçlular bu bilgileri ele geçirmeye öncelik verdiler ve bu nedenle hizmet sağlayıcıların müşteri konum verilerini korumak için makul korumalara sahip olmasını ve bunların kullanımına yönelik geçerli izni sağlamak, İcra Bürosu için en yüksek önceliğe sahiptir.”
AT&T, T-Mobile ve Verizon sözcüleri, bugün erken saatlerde BleepingComputer ile iletişime geçtiğinde yorum yapmak için hemen müsait değildi.