Dokuz milyondan gelen verileri içeren yeni bir ihlal AT&T Müşteriler, mobil sağlayıcınızın, mobil cihazınızla nereye gittiğiniz ve ne yaptığınız hakkında büyük olasılıkla büyük miktarda bilgi toplayıp paylaştığına dair yeni bir hatırlatmadır – siz bu veri toplamayı olumlu bir şekilde devre dışı bırakmadığınız sürece. İşte bunu neden ve nasıl yapmak isteyebileceğinize dair bir başlangıç.
telekomünikasyon devi AT&T bu ay bir pazarlama satıcısındaki bir ihlalin dokuz milyon müşterinin belirli hesap bilgilerini açığa çıkardığını açıkladı. AT&T, ifşa edilen verilerin kredi kartı veya Sosyal Güvenlik numaraları veya hesap şifreleri gibi hassas bilgileri içermediğini, ancak bir hesaptaki satır sayısı gibi “Müşteriye Özel Ağ Bilgileri” (CPNI) ile sınırlı olduğunu söyledi.
Şu anda akla “CPNI da ne?” gibi bazı sorular geliyor olabilir. Ve, “Eğer bu kadar ‘müşteriye özel’ ise, AT&T bunu neden pazarlamacılarla paylaşıyor?” Ayrıca, “Bu konuda ne yapabilirim?” Üç sorunun da yanıtları için okumaya devam edin.
AT&T’nin açıklaması, ifşa edilen bilgilerin müşterinin adını, kablosuz hesap numarasını, kablosuz telefon numarasını ve e-posta adresini içerdiğini söyledi. Ek olarak, müşteri kayıtlarının küçük bir yüzdesi ücret planı adını, vadesi geçmiş tutarları, aylık ödeme tutarlarını ve kullanılan dakikaları da ortaya çıkardı.
CPNI, hesap ve hesap kullanımıyla ilgili müşteriye özel “meta verileri” ifade eder ve şunları içerebilir:
-Aranan telefon numaraları
-Çağrıların zamanı
-Aramaların uzunluğu
– Aramaların maliyeti ve faturalandırılması
-Servis özellikleri
-Rehber arama yardımı gibi birinci sınıf hizmetler
TechTarget’taki kısa ve öz bir CPNI açıklayıcısına göre, CPNI doğrudan reklam veya pazarlama için kullanılamayan özel ve korunan bilgilerdir.
TechTarget, “Bir bireyin CPNI’si, ağ işletimi nedeniyle diğer telekomünikasyon sağlayıcılarıyla paylaşılabilir” diye yazdı. Gavin Wright. “Yani, kişi telefon hizmetine ilk kaydolduğunda, bu bilgiler telefon sağlayıcı tarafından otomatik olarak ortak şirketlerle paylaşılır.”
Mobil İnternet kullanımınız CPNI yasaları kapsamında mı? CPNI kuralları cep telefonları ve kablosuz İnternet erişimi yaygınlaşmadan önce oluşturulduğundan, bu daha az açık. TechTarget’ın CPNI astarı şunları açıklıyor:
“Mevcut ABD yasalarına göre, cep telefonu kullanımı yalnızca telefon olarak kullanıldığında CPNI olarak korunmaktadır. Bu süre zarfında şirket, CPNI kurallarını zorunlu kılan bir telekomünikasyon sağlayıcısı olarak hareket ediyor. İnternet kullanımı, ziyaret edilen web siteleri, arama geçmişi veya kullanılan uygulamalar CPNI ile korunmaz çünkü şirket bu yasalara tabi olmayan bir bilgi hizmetleri sağlayıcısı olarak hareket eder.”
Bu nedenle, taşıyıcılar bu verileri paylaşabilir ve satabilir çünkü bunu yapmaları açıkça yasaklanmamıştır. Üç büyük taşıyıcı da paylaştıkları müşteri verilerini anonimleştirmek için adımlar attıklarını söylüyor, ancak araştırmacılar sözde anonim web tarama verilerini anonimleştirmenin çok da zor olmadığını gösterdi.
Jack Morse, “Telefonunuz ve dolayısıyla cep telefonu sağlayıcınız sizin hakkınızda çok şey biliyor” diye yazmıştı. ezilebilir. “Gittiğiniz yerler, kullandığınız uygulamalar ve ziyaret ettiğiniz web siteleri, dini inançlar, sağlık koşulları, seyahat planları, gelir düzeyi ve belirli pornografi zevkleri gibi her türden özel bilgiyi potansiyel olarak açığa çıkarıyor. Bu seni rahatsız etmeli.”
Neyse ki, ABD’deki tüm taşıyıcıların, müşterilere cihazlarını nasıl kullandıklarına ilişkin verilerin pazarlamacılarla paylaşılmasını devre dışı bırakmanın yollarını sunması gerekiyor. Operatöre özgü bazı uygulamalara ve devre dışı bırakma seçeneklerine bir göz atalım.
AT&T
AT&T’nin politikası, reklamcıları, programcıları ve ağları, sosyal medya ağlarını, analitik firmaları, reklam ağlarını ve diğer benzerlerini açıkça içeren üçüncü taraflarla yaş aralığı, cinsiyet ve posta kodu bilgilerini içeren demografik verilerle birlikte cihaz veya “reklam kimliğini” paylaştığını söylüyor. reklam oluşturma ve sunma ile ilgili şirketler.
AT&T, 9 milyon müşteriye ifşa edilen verilerin birkaç yıllık olduğunu ve çoğunlukla cihaz yükseltme uygunluğuyla ilgili olduğunu söyledi. Bu, veriler bir ihlal yaşayan ortaklarından yalnızca birine gitmiş gibi görünebilir, ancak büyük olasılıkla yüzlerce AT&T ortağına da gitmiştir.
AT&T’nin CPNI devre dışı bırakma sayfası, CPNI verilerini aşağıdakiler de dahil olmak üzere birçok bağlı kuruluşuyla paylaştığını söylüyor: WarnerMedya, Direc TV Ve Kriket Kablosuz. Yakın zamana kadar AT&T, CPNI verilerini de paylaşıyordu: Xandrgizlilik politikası sırayla verileri paylaştığını açıklıyor yüzlerce başka reklam firması. Microsoft, Xandr’ı geçen yıl AT&T’den satın aldı.
T MOBİL
Elektronik Gizlilik Bilgi Merkezine (EPIC) göre, T mobil Kaliforniya Tüketici Gizliliği Yasası (CCPA) tarafından verilen hakları tüm müşterilere genişleten üç büyük şirket arasında tek şirket gibi görünüyor.
EPIC, üçüncü taraflara satılan T-Mobile müşteri verilerinin, mobil reklam kimlikleri veya “HİZMETÇİLER” T-Mobile, MAID’lerin tüketicileri doğrudan tanımlamadığını, ancak CCPA MAID’lerin IP adreslerine, cihaza yüklenen veya cihazla birlikte kullanılan mobil uygulamalara, herhangi bir video veya içerik görüntüleme bilgisine ve cihaza bağlanabilen “kişisel bilgi” olarak kabul edildiğini iddia ediyor. etkinlik ve nitelikler.
T-Mobile müşterileri, hesaplarında oturum açıp profil sayfasına, ardından “Gizlilik ve Bildirimler”e giderek devre dışı bırakabilirler. Buradan, “Analiz ve raporlama için verilerimi kullan” ve “Reklamları benimle daha alakalı hale getirmek için verilerimi kullan” seçeneklerini kapatın.
VERİZON
Verizon’un gizlilik politikası, müşterileri kişisel olarak tanımlayan bilgileri (örneğin, ad, telefon numarası veya e-posta adresi) satmadığını söylüyor, ancak üçüncü taraf reklam şirketlerinin MAID’ler aracılığıyla Verizon web siteleri ve Verizon uygulamalarındaki etkinlikler hakkında bilgi toplamasına izin veriyor. pikseller, web işaretçileri ve sosyal ağ eklentileri.
Wired.com’un öğreticisine göre, Verizon kullanıcıları bir web tarayıcısı veya My Verizon mobil uygulaması aracılığıyla Verizon hesaplarında oturum açarak devre dışı bırakabilirler. Oradan, Hesap sekmesini seçin, ardından web üzerinde Hesap Ayarları ve Gizlilik Ayarları’nı tıklayın. Mobil uygulama için sağ üst köşedeki dişli çark simgesini ve ardından Gizlilik Ayarlarını Yönet’i tıklayın.
Gizlilik tercihleri sayfasında, web kullanıcıları Özel Deneyim bölümünün altında “Kullanma”yı seçebilir. My Verizon uygulamasında, yeşil kaydırıcıları sola kaydırın.
EPIC, üç büyük operatörün de tüketicinin cihaz kimliğini sıfırlamanın ve/veya tarayıcıdaki tanımlama bilgilerini temizlemenin benzer şekilde tüm devre dışı bırakma tercihlerini sıfırlayacağını (yani, müşterinin yeniden devre dışı bırakması gerekeceğini) ve tanımlama bilgilerini varsayılan olarak engellemenin aynı zamanda devre dışı bırakma çerezinin ayarlanmasını engelleyin.
T-Mobile, devre dışı bırakılmasının cihaza ve/veya tarayıcıya özel olduğunu söylüyor. “Çoğu durumda, devre dışı bırakma seçiminiz yalnızca, yapıldığı belirli cihaz veya tarayıcı için geçerli olacaktır. Diğer cihazlarınızdan ve tarayıcılarınızdan ayrı olarak devre dışı bırakmanız gerekebilir.”
Hem AT&T hem de Verizon teklifi kaydolma cihazın konumu, aradığınız telefon numaraları ve mobil ve/veya ev İnternet bağlantınızı kullanarak hangi siteleri ziyaret ettiğiniz dahil olmak üzere çok daha fazla bilgi toplayan ve paylaşan programlar. AT&T buna onların adını veriyor Gelişmiş Alakalı Reklamcılık Programı; Verizon denir Özel Deneyim Artı.
2021’de birden fazla medya kuruluşu, bazı Verizon müşterilerinin – bu müşteriler aynı programdan önceki adı olan “Verizon Selects” altında zaten devre dışı bırakmış olsalar bile – otomatik olarak Custom Experience Plus’a kaydolduğunu bildirdi.
Yukarıdaki devre dışı bırakma seçeneklerinden hiçbiri sizin için uygun değilse, en azından operatörünüzü arayarak veya mağazalarından birini ziyaret ederek CPNI paylaşımını devre dışı bırakabilmelisiniz.
DIŞARI ÇIKMA DURUMU
CPNI verilerini paylaşmayı neden devre dışı bırakmalısınız? Yeni başlayanlar için, ülkenin en büyük kablosuz operatörlerinden bazılarının, hizmetlerini kullanımınız hakkında topladıkları bilgiler bir yana, onlara yalnızca müşteri olma amacıyla verdiğiniz hassas bilgileri koruma konusunda harika bir geçmiş performansı yok. bu noktadan sonra.
Ocak 2023’te T-Mobile, birisinin müşteri adı, fatura adresi, e-posta, telefon numarası, doğum tarihi, T-Mobile hesap numarası ve plan ayrıntıları dahil olmak üzere 37 milyon müşteri hesabındaki verileri çaldığını açıkladı. Ağustos 2021’de T-Mobile, bilgisayar korsanlarının şirkete kredi başvurusunda bulunan 40 milyondan fazla mevcut, eski veya potansiyel müşterinin adlarını, doğum tarihlerini, Sosyal Güvenlik numaralarını ve ehliyet/kimlik bilgilerini çaldığını kabul etti.
Geçen yaz, bir siber suçlu 23 milyon Amerikalının isimlerini, e-posta adreslerini, telefon numaralarını, SSN’lerini ve doğum tarihlerini satmaya başladı. Verilerin kapsamlı bir analizi, hepsinin bir AT&T şirketinin veya diğerinin müşterilerine ait olduğunu güçlü bir şekilde ortaya koydu. AT&T, verilerin kendilerine ait olmadığını söylemekten vazgeçti, ancak kayıtların kendi sistemlerinden gelmediğini ve başka bir şirketteki önceki bir veri olayına bağlı olabileceğini söyledi.
Taşıyıcılar, tüketicileri CPNI ihlalleri hakkında ne kadar sıklıkla uyarsa da, bu muhtemelen yeterince sık değildir. Şu anda, taşıyıcıların bir tüketici CPNI ihlalini yalnızca “bir kişinin yetkisiz veya yetkiyi aşan bir kişinin CPNI’ye kasıtlı olarak erişmesi, kullanması veya ifşa etmesi” durumunda bildirmesi gerekmektedir.
Ancak bu ihlal tanımı, çok uzun zaman önce, CPNI’nin ortaya çıkmasının birincil yolunun “bahane” olduğu, örneğin telefon şirketinin çalışanlarının kandırılarak korunan müşteri verilerini vermeleri olduğu zamanlarda yapıldı.
Ocak ayında, düzenleyiciler ABD Federal İletişim Komisyonu (FCC), “ihlal” tanımının, şirketlerin bulutta güvenliği düşük bir sunucuda CPNI verilerini ifşa etmesi gibi, kasıtsız ifşa gibi şeyleri içerecek şekilde değiştirilmesini önerdi. FCC, 24 Mart 2023’e kadar konuyla ilgili kamuya açık yorumları kabul ediyor.
CPNI verilerinin sızmasının Sosyal Güvenlik veya kredi kartı numaraları gibi hassas bilgileri içermediği doğru olsa da, AT&T’nin ihlal bildiriminde belirtilmeyen bir şey, CPNI verilerinin – bakiyeler ve yapılan ödemeler gibi – dolandırıcılar tarafından para kazanmak için kötüye kullanılabileceğidir. dolandırıcı e-postalar ve metin mesajları daha inandırıcı AT&T’yi taklit etmeye ve AT&T müşterilerini avlamaya çalıştıklarında.
Şirketlerin CPNI verilerinizi paylaşmasına veya satmasına izin vermenin diğer bir sorunu da, kablosuz iletişim operatörlerinin gizlilik politikalarını istedikleri zaman değiştirebilmeleri ve hizmetlerini kullanmaya devam ettiğiniz sürece bu değişikliklerden rahatsız olmayacağınızın varsayılmasıdır.
Örneğin, kablosuz cihazınızdan alınan konum verileri kesinlikle CPNI’dır ve yine de yakın zamana kadar tüm büyük operatörler, müşterilerinin gerçek zamanlı konum verilerini müşterilerin izni olmadan üçüncü taraf veri simsarlarına sattı.
Onların cezası neydi? 2020’de FCC, müşterilerinin gerçek zamanlı konum verilerini satan tüm büyük taşıyıcılara karşı toplam 208 milyon dolarlık para cezası önerdi. Bu çok para gibi geliyorsa, tüm büyük kablosuz sağlayıcıların geçen yıl on milyarlarca dolar gelir bildirdiğini düşünün (örneğin, yalnızca Verizon’un tüketici geliri geçen yıl 100 milyar dolardan fazlaydı).
Amerika Birleşik Devletleri’nin tüketici dostu ve günümüzün dijital ekonomisiyle ilgili federal gizlilik yasaları olsaydı, bu tür veri toplama ve paylaşma varsayılan olarak her zaman tercihe bağlı olurdu. Böyle bir dünyada, son derece karlı olan kablosuz iletişim endüstrisi, bu bilgileri paylaşmayı seçen müşterilere açık finansal teşvikler sunmak zorunda kalacaktır.
Ancak o gün gelene kadar, operatörlerin veri toplama ve paylaşma politikalarını kendilerine uygun olduklarında değiştirebileceklerini anlayın. Gizlilik politikalarındaki değişikliklerle ilgili herhangi bir bildirimi gerçekten okuyup okumadığınıza bakılmaksızın, hizmetlerini kullanmaya devam ettiğiniz sürece bu değişiklikleri kabul etmiş olacaksınız.