Kohler’in “uçtan uca şifreleme” vaadiyle pazarlanan 600 dolarlık akıllı tuvalet kamerası sistemi, aslında siber güvenlik sektöründe yaygın olarak anlaşılan güvenlik standardını uygulamıyor ve bu durum, şirketin sunucularına özel sağlık verilerini yükleyen kullanıcılar için önemli gizlilik endişelerine yol açıyor.
Ekim ayında piyasaya sürülen Dekoda cihazı, tuvalet kenarlarına takılıyor ve tuvaletin içindeki görüntüleri yakalamak için kameralar kullanıyor, bağırsak fonksiyonu ve sıvı alımıyla ilgili sağlık bilgileri için atığı analiz ediyor.
Kohler Health’in ana sayfasında, uygulama sayfalarında ve destek belgelerinde uçtan uca şifreleme iddialarını desteklemesine rağmen güvenlik araştırmacısı Simon Fondrie-Teitler, gerçek uygulamasının endüstri standartlarını karşılamadığını belirtiyor.
Yanıltıcı Şifreleme İddiaları
Gerçek uçtan uca şifreleme, yalnızca gönderenin ve hedeflenen alıcının verilerin şifresini çözebilmesini sağlar ve servis sağlayıcının bile korunan bilgilere erişmesini engeller.
Signal ve WhatsApp gibi güvenli mesajlaşma platformları tarafından kullanılan bu standart, verilerin yolculuk ve depolama boyunca şifreli kalması ve yalnızca şifre çözme anahtarlarının kullanıcının elinde olması anlamına gelir.
Kohler’in uygulaması farklı bir hikaye anlatıyor. Şirketin gizlilik sorumlusuna göre, hizmetin sağlanması için kullanıcı verileri Kohler’in sistemlerinde “şifresi çözülüyor ve işleniyor”.
Simon, Kohler’in uçtan uca şifreleme olarak tanımladığı şeyin, aslında yirmi yılı aşkın süredir endüstri standardı olan temel güvenlik uygulamaları olan, kullanımda olmayan şifrelemeyle birleştirilmiş standart HTTPS aktarım şifrelemesi olduğunu, ancak Kohler’in verilere erişmesine karşı hiçbir koruma sağlamadığını ekledi.
Şirket, “teknik korumaların ve yönetişim kontrollerinin” tanımlanabilir görüntüleri çalışanların erişiminden koruduğunu iddia ediyor, ancak bu idari kontroller, gerçek uçtan uca şifrelemenin kriptografik garantilerinden temel olarak farklı.
Bir veri ihlali nedeniyle Kohler’in sunucularının güvenliği ihlal edilirse, depolanan klozet görüntüleri ve sağlık verilerine saldırganlar erişebilir.
Kohler’in veri kullanım politikalarından daha fazla gizlilik endişesi ortaya çıkıyor. Şirket, algoritmalarının “yalnızca kimlik bilgileri kaldırılmış veriler” üzerine eğitildiğini ve kullanıcıların, Kohler’in verilerini “ürünlerini ve teknolojisini araştırmak, geliştirmek ve iyileştirmek” için kullanmasına izin vermek için kayıt sırasında onay vermesi gerektiğini doğruladı.
Kohler’in gizlilik politikası, toplanan verilerin “yapay zeka ve makine öğrenimi modellerimizi eğitmek için” kullanılabileceğini ve kimlik bilgilerinin kaldırılmasının ardından üçüncü taraflarla paylaşılabileceğini açıkça belirtiyor.
Bu, cihaz tarafından yakalanan özel banyo görüntülerinin makine öğrenimi veri kümelerine dahil edilebileceği ve kimlik gizlemenin etkinliği ve potansiyel yeniden tanımlama riskleri hakkında soruları gündeme getirebileceği anlamına geliyor.
Kohler’in pazarlamasında “uçtan uca şifreleme” teriminin yanlış kullanımı, akıllı ev sağlık cihazlarının çoğalmasıyla ilgili endişe verici bir eğilimi temsil ediyor.
Güvenlik uzmanları, iyi anlaşılmış güvenlik terimlerinin yanlış uygulanmasının, özellikle hassas sağlık izleme cihazları için tüketicileri yanlış bir gizlilik koruması anlayışına yönlendirebileceğini belirtiyor.
600 dolarlık cihaz aynı zamanda sürekli bir aylık abonelik gerektiriyor; bu da kullanıcıların, reklamı yapılan güvenlik korumalarını sağlayamayabilecek bir hizmet için tekrar tekrar ödeme yapması anlamına geliyor.
Güvenlik araştırmacıları, akıllı sağlık cihazlarını düşünen tüketiciler için pazarlama iddialarına güvenmek yerine gizlilik politikalarını ve şifreleme uygulamalarını incelemeyi öneriyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
