Federal İletişim Komisyonu, ülkedeki en büyük telefon operatörleri olan AT&T, Sprint, T-Mobile ve Verizon’a, müşterilerinin konumlarına ilişkin verilerin üçüncü taraflarla yasadışı olarak paylaşılması ve yetersiz güvenlik önlemleri alınması nedeniyle 200 milyon dolar para cezası verdi.
Dört kişiden T-Mobile, 80 milyon dolardan fazla para cezasıyla en çok para cezasına çarptırıldı, ancak Nisan 2020’de satın aldıkları Sprint’in satın alma öncesindeki yanlış uygulamaları nedeniyle ayrı olarak para cezasına çarptırılması nedeniyle 12 milyon dolar daha ödeyecek. AT&T’ye 57 milyon dolardan fazla, Verizon’a ise yaklaşık 47 milyon dolardan fazla para cezası verildi.
FCC Uygulama Bürosu’nun dört operatöre yönelik araştırmaları, her birinin müşterilerinin konum bilgilerine erişimi toplayıcılara sattığını ve onların da bu tür bilgilere erişimi üçüncü taraf konum tabanlı hizmet sağlayıcılara yeniden sattığını ortaya çıkardı.
Örneğin, AT&T’nin iki konum bilgisi toplayıcıyla anlaşması vardı: LocationSmart ve Zumigo, onların da konum tabanlı hizmet sağlayıcılarla anlaşmaları vardı. FCC, “Toplamda AT&T, müşterilerinin konum bilgilerine erişimi (doğrudan veya dolaylı olarak) 88 üçüncü taraf kuruluşa sattı” dedi.
FCC Başkanı Jessica, “Ülkedeki en büyük kablosuz iletişim operatörleri, gerçek zamanlı konum bilgilerimizi veri toplayıcılara satarak bu son derece hassas verilerin kefalet şirketlerinin, ödül avcılarının ve diğer şüpheli aktörlerin eline geçmesine izin veriyordu” dedi. Rosenworcel.
Ajans şunu belirtti: “Her operatör, müşteri onayı alma yükümlülüklerini konum bilgisinin alt alıcılarına devretmeye çalıştı; bu da birçok durumda geçerli bir müşteri onayının alınmadığı anlamına geliyordu.”
Ayrıca, taşıyıcılar prosedürlerinin yetersizliğinin farkına vardıklarında, konum bilgilerine erişim satışını durdurmayı veya bu bilgiyi yetkisiz erişime karşı yeterince korumayı başaramadılar.
AT&T ve Verizon, ajansın kararındaki hukuki ve fiili tutarsızlıkları gerekçe göstererek FCC’nin kararına itiraz etme niyetlerini açıklarken, T-Mobile müşteri verilerini koruma taahhüdünü vurgulayarak ve cezayı aşırı olarak nitelendirerek karara itiraz etmeyi planladı.
Her üç şirket de kendilerine ceza kesilen programın yaklaşık beş yıl önce sona erdiğinin altını çizdi.
Yasadışı Veri Paylaşımı İhbarcısı’nın Görüşleri
Senatör Ron Wyden (D-OR), Pazartesi günkü eylem hakkında yorum yaparak FCC’yi kablosuz taşıyıcıları cezalandırmasından ötürü övdü.
Wyden, “Bir cep telefonu planına kaydolan hiç kimse, telefon şirketlerinin hareketlerinin ayrıntılı bir kaydını kredi kartı olan herhangi birine satmasına izin verdiklerini düşünmedi” dedi. “Soruşturmamı takip ettiği ve bu şirketleri müşterilerin hayatlarını ve mahremiyetini riske atma konusunda sorumlu tuttuğu için FCC’yi takdir ediyorum.”
Sorun ilk kez 2018’de Wyden’ın taşıyıcıların uygulamalarını keşfetmesiyle gün ışığına çıktı; bu durum, hükümet yetkilileri ve uygun izin olmadan konum verilerini elde eden diğer kişiler tarafından yapılan suiistimal örneklerini ortaya çıkardı.
FCC, telekomünikasyon şirketlerinin uygulamalarının, müşteri bilgilerinin gizliliğini ve müşteri konum verilerini paylaşmadan veya bunlara erişmeden önce olumlu onay alınmasını zorunlu kılan Federal İletişim Yasası’nın 222. bölümünü ihlal ettiğini tespit etti.
FCC’nin bu eylemi, Temsilciler Meclisi’nin kolluk kuvvetlerinin mahkeme kararı olmadan Amerikalılar hakkındaki konum verilerini ve diğer hassas bilgileri satın almasını yasaklayan Dördüncü Değişiklik Satılık Değil Yasası’nı kabul etmesinden haftalar sonra geldi. Gizlilik savunucuları tasarının kabulünü memnuniyetle karşıladılar ancak tasarı şu anda Senato ve Beyaz Saray’da zorlu bir görevle karşı karşıya.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.