Viyana merkezli gizlilik odaklı kar amacı gütmeyen kuruluş noyb (None Of Your Business’ın kısaltması), kullanıcıların açıkça iznini almadan Gizlilik Koruyan Atıf (PPA) adı verilen yeni bir özelliği etkinleştirdiği gerekçesiyle Firefox üreticisi Mozilla’ya karşı Avusturya veri koruma otoritesine (DPA) şikayette bulundu.
“Güven verici isminin aksine, bu teknoloji Firefox’un web sitelerindeki kullanıcı davranışlarını izlemesine olanak sağlıyor,” dedi noyb. “Esasında, artık izlemeyi tek tek web siteleri yerine tarayıcı kontrol ediyor.”
Noyb ayrıca Mozilla’nın, kullanıcıları bilgilendirmeden özelliği “gizlice” varsayılan olarak etkinleştirerek Google’ın oyun kitabından bir sayfa çaldığını iddia etti.
Şu anda Firefox sürüm 128’de deneysel bir özellik olarak etkinleştirilen PPA’nın, Google’ın Chrome’daki Gizlilik Koruma Alanı projesinde paralelleri bulunmaktadır.
Artık Google tarafından terk edilen bu girişim, üçüncü taraf izleme çerezlerini, reklam verenlerin kullanıcıların ilgi alanlarını belirlemek ve hedefli reklamlar sunmak için iletişim kurabilecekleri, web tarayıcısına yerleştirilmiş bir dizi API ile değiştirmeyi amaçlıyordu.
Başka bir deyişle, web tarayıcısı, kullanıcıların internette gezinme kalıplarına göre hangi kategorilere yerleştirilebileceğine ilişkin bilgileri depolayan bir aracı görevi görür.
Mozilla, PPA’nın “sitelerin, kişiler hakkında veri toplamadan reklamlarının nasıl performans gösterdiğini anlamalarını sağlayan bir yol” olduğunu ve bunu “siteler arası izleme için müdahalesiz bir alternatif” olarak tanımlıyor.
Bu, reklamverenlerin kullanıcı gizliliğinden ödün vermeden web üzerindeki reklam kampanyalarının etkinliğini ölçmelerine olanak tanıyan Apple’ın Gizlilik Koruyan Reklam Tıklama Atıfı’na da benziyor.
PPA’nın çalışma şekli şu şekildedir: Reklam yayınlayan web siteleri, Firefox’tan reklamları, reklamların kendisiyle ilgili ayrıntıları (örneğin hedef web sitesi) içeren bir gösterim biçiminde hatırlamasını isteyebilir.
Bir Firefox kullanıcısı hedef web sitesini ziyaret ederse ve işletme tarafından değerli görülen bir eylem gerçekleştirirse (örneğin, reklama tıklayarak çevrimiçi bir satın alma işlemi gerçekleştirirse, buna “dönüşüm” de denir), söz konusu web sitesi tarayıcının bir rapor oluşturmasını isteyebilir.
Oluşturulan rapor şifrelenir ve Dağıtılmış Toplama Protokolü (DAP) kullanılarak anonim olarak bir “toplama hizmetine” gönderilir, ardından sonuçlar benzer diğer raporlarla birleştirilerek herhangi bir birey hakkında çok fazla şey öğrenmeyi imkansız hale getirecek bir özet oluşturulur.
Bu da, kullanıcılara ilişkin toplu bilgilerin, yeniden tanımlama saldırılarını önlemek için sonuçlara rastgele gürültü eklenerek gizliliği koruyacak şekilde paylaşılmasını sağlayan diferansiyel gizlilik adı verilen matematiksel bir çerçeve sayesinde mümkün hale geliyor.
Mozilla bir destek belgesinde “PPA, Firefox’ta 128 sürümünden itibaren etkinleştirildi” diyor. “Az sayıda site bunu test edecek ve standartlaştırma planlarımızı bilgilendirmek için geri bildirim sağlayacak ve bunun ivme kazanma olasılığının olup olmadığını anlamamıza yardımcı olacak.”
“PPA, tarama etkinlikleriniz hakkında herhangi birine bilgi göndermeyi içermez. Reklam verenler yalnızca reklamlarının etkinliği hakkında temel soruları yanıtlayan toplu bilgiler alırlar.”
Noyb’un kusur bulduğu nokta tam da bu; kullanıcıların izinlerini almadan varsayılan olarak PPA’yı etkinleştirerek Avrupa Birliği’nin (AB) katı veri koruma düzenlemelerini ihlal ediyor.
“Bu, ABD’de hala norm olan sınırsız izlemeden daha az müdahaleci olsa da, yine de AB’nin GDPR’si kapsamındaki kullanıcı haklarına müdahale ediyor,” dedi savunma grubu. “Gerçekte, bu izleme seçeneği çerezlerin yerini de almıyor, ancak web sitelerinin reklam hedeflemesi için yalnızca alternatif – ek – bir yol.”
Ayrıca bir Mozilla geliştiricisinin, kullanıcıların bilinçli karar veremeyeceğini ve “PPA gibi bir sistemi açıklamanın zor bir iş olacağını” iddia ederek bu hareketi savunduğu belirtildi.
“Mozilla gibi bir kuruluşun kullanıcıların evet veya hayır diyemeyecek kadar aptal olduğuna inanması utanç verici,” dedi noyb’de veri koruma avukatı olan Felix Mikolasch. “Kullanıcılar bir seçim yapabilmeli ve özellik varsayılan olarak kapatılmalıydı.”