ABD Federal İletişim Komisyonu (FCC) bugün dört büyük taşıyıcıya yaklaşık 200 milyon dolar tutarında para cezası verdi. AT&T, Sprint, T mobil Ve Verizon – Müşterilerin konum bilgilerine erişimi izinsiz olarak yasa dışı olarak paylaşmak.
Cezalar, büyük havayolu şirketlerinin eylemlerine ilişkin dört yılı aşkın süredir devam eden soruşturmanın sonucunu işaret ediyor. Şubat 2020’de FCC, dört kablosuz sağlayıcının tamamını, müşteri konum verilerine erişimi paylaşma uygulamalarının muhtemelen yasayı ihlal ettiği konusunda uyardı.
FCC, taşıyıcıların her birinin müşterilerinin konum bilgilerine erişimi ‘toplayıcılara’ sattığını, onların da daha sonra bilgilere erişimi üçüncü taraf konum tabanlı hizmet sağlayıcılara sattığını tespit ettiğini söyledi.
FCC’nin eylemle ilgili açıklaması şöyle: “Bunu yaparak, her bir taşıyıcı, müşteri onayı alma yükümlülüklerini konum bilgisinin alt alıcılarına devretmeye çalıştı; bu da birçok durumda geçerli bir müşteri onayının alınmadığı anlamına geliyordu.” “Bu ilk başarısızlık, güvenlik önlemlerinin etkisiz olduğunun farkına vardıktan sonra operatörlerin konum bilgilerine erişimi, yetkisiz erişime karşı korumak için makul önlemler almadan satmaya devam etmesiyle daha da arttı.”
Örneğin FCC’nin AT&T’ye karşı bulguları, AT&T’nin müşteri konum verilerini doğrudan veya dolaylı olarak en az 88 üçüncü taraf kuruluşa sattığını gösteriyor. FCC, Verizon’un müşteri konum verilerine erişimi (dolaylı veya doğrudan) 67 üçüncü taraf kuruluşa sattığını tespit etti. Sprint müşterilerinin konum verileri 86 üçüncü taraf kuruluşa, T-Mobile müşterileri için ise 75 üçüncü tarafa ulaştı.
Komisyon, Mayıs 2018’de kırılan bir hikayeye yanıt olarak harekete geçtiğini söyledi. New York Timesbir şirketin nasıl aradığını ortaya çıkardı Kolay Teknolojiler neredeyse tüm büyük mobil sağlayıcıların müşterilerinin konum verilerini kolluk kuvvetlerine satıyordu.
Aynı ay KrebsOnSecurity şu haberi verdi: KonumAkıllı Büyük kablosuz operatörlerle çalışan bir veri toplama firması, Kuzey Amerika’daki hemen hemen her cep telefonunun neredeyse tam konumunu bulmak için herkesin kötüye kullanabileceği hizmetinin ücretsiz, güvenli olmayan bir çevrimiçi demosunu yayınladı.
Taşıyıcılar, üçüncü taraf şirketlerle konum verisi paylaşım anlaşmalarını “sonlandırma” sözü verdi. Ancak 2019’da Vice.com’daki raporlar çok az şeyin değiştiğini gösterdi ve muhabirlerin, verileri az bilinen bir üçüncü taraf hizmeti aracılığıyla satın alan bir ödül avcısına 300 dolar ödedikten sonra bir test telefonunu nasıl bulabildiklerini ayrıntılarıyla anlattı.
FCC, Sprint ve T-Mobile’a sırasıyla 12 milyon dolar ve 80 milyon dolar para cezası verdi. AT&T 57 milyon dolardan fazla para cezasına çarptırılırken Verizon 47 milyon dolar ceza aldı. Yine de bu cezalar her taşıyıcının yıllık gelirinin çok küçük bir kısmını temsil ediyor. Örneğin 47 milyon dolar, Verizon’un 2023’teki toplam kablosuz hizmet gelirinin yüzde birinden az, yani yaklaşık 77 milyar dolar.
Ceza tutarları farklılık gösteriyor çünkü bu cezalar, kısmen operatörlerin, bunun yasa dışı olduğu bildirildikten sonra müşteri konum verilerini paylaşmaya devam ettiği her gün temel alınarak hesaplanıyor (ajans ayrıca aktif üçüncü taraf konum verisi paylaşım anlaşmalarının sayısını da dikkate aldı). FCC, AT&T ve Verizon’un, Times’ın haberinin yayınlanmasından itibaren veri paylaşım anlaşmalarını sona erdirmek için 320 günden fazla zaman aldığını belirtiyor; T-Mobile 275 gün sürdü; Sprint, müşteri konum verilerini 386 gün boyunca paylaşmaya devam etti.