ABD Federal Ticaret Komisyonu (FTC), tüketicileri gözetlemeye yönelik yazılımlar (stalkerware) üreten Support King şirketinin ve alt kuruluşları SpyFone ile OneClickMonitor'un kurucusu Scott Zuckerman hakkında verilen sektör yasağını sürdürme kararı aldı. Bu karar, yüz binlerce kişinin hassas verilerini ifşa eden güvenlik skandalı nedeniyle sektörden men edilen Zuckerman'ın yeniden bu alana dönme umutlarını tamamen ortadan kaldırdı.

FTC, bu yılın Temmuz ayında Zuckerman tarafından yapılan, yasağın iptali veya hafifletilmesi yönündeki talebi reddettiğini resmi bir basın açıklamasıyla duyurdu. Bu ret kararı, FTC’nin siber güvenlik ve tüketici mahremiyeti konusundaki kararlılığının altını çiziyor.

Yasağın Temeli: 2021 Kararı ve Veri İhlali

FTC, Scott Zuckerman’ı 2021 yılında “herhangi bir gözetim uygulamasını, hizmetini veya işini teklif etmekten, tanıtmaktan, satmaktan veya reklamını yapmaktan” yasaklamıştı. Bu kapsamlı yasak, kendisinin yeni bir casus yazılım işi kurmasını etkin bir şekilde engelliyordu. Karara ek olarak Zuckerman’a, SpyFone tarafından toplanan tüm verileri silmesi, sık denetimlerden geçmesi ve işletmeleri için belirli siber güvenlik protokolleri oluşturması talimatı verilmişti.

Yasağın temelini oluşturan olay, 2018 yılında bir güvenlik araştırmacısının SpyFone’a ait bir Amazon S3 deposunda (bulut depolama) yaptığı keşiften kaynaklanıyordu. Bu depo, inanılmaz derecede hassas kişisel verileri şifresiz ve herkesin erişimine açık bir şekilde internette bırakmıştı.

Dönemin FTC Tüketiciyi Koruma Bürosu Direktör Vekili Samuel Levine, “SpyFone, gözetleme işi için pervasız bir markaydı ve takipçilerin özel bilgileri çalmasına yardımcı oldu. Casus yazılım, cihaz sahiplerinden gizlenmişti, ancak şirketin özensiz güvenliği nedeniyle korsanlara tamamen açıktı,” yorumunu yapmıştı.

Kurucunun Savunması ve FTC’yi Atlama Girişimleri İddiası

Scott Zuckerman, yasağın iptali için yaptığı başvuruda, FTC’nin zorunlu kıldığı güvenlik gerekliliklerinin kendisine getirdiği mali yükümlülükler nedeniyle diğer işletmelerini (Porto Riko'daki restoranı ve planladığı turizm girişimleri) yönetmekte zorlandığını öne sürdü. Ancak FTC, bu argümanı ikna edici bulmadı. Zira temel sorun, güvenlik maliyeti değil, şirketin kullanıcı gizliliğini tamamen hiçe sayan operasyon yapısıydı.

Eleştirel bir bakış açısıyla, FTC’nin Zuckerman’ın itirazını reddetmesindeki en büyük etkenlerden biri, Zuckerman’ın yasağı ihlal ettiğine dair çıkan iddialar oldu. 2022 yılında ortaya çıkan kanıtlar, Zuckerman'ın Support King ile bağlantılı serbest çalışan geliştiriciler aracılığıyla SpyTrac adlı başka bir stalkerware şirketini yönettiğini gösteriyordu. Daha da önemlisi, SpyTrac’tan ele geçirilen veriler arasında, Zuckerman’ın silmekle yükümlü olduğu eski SpyFone kayıtları da bulunuyordu. Dijital haklar alanında önde gelen uzmanlardan Eva Galperin, bu durumu, “Zuckerman'ın dersini almadığını gösteriyor,” şeklinde değerlendirmiştir.

Stalkerware Sektörünün Tekrarlayan Güvenlik Zafiyetleri

Stalkerware uygulamaları, müşterilerinin eşlerini, partnerlerini veya çocuklarını gizlice takip etmelerini sağlamak üzere tasarlanmıştır. Bu uygulamalar, potansiyel olarak yasa dışı faaliyetlere olanak tanımanın yanı sıra, siber güvenlik açısından da büyük bir tehdit oluşturmaktadır. Son sekiz yılda, en az 26 farklı stalkerware şirketinin saldırıya uğradığı veya hassas verileri çevrimiçi ortamda korumasız bıraktığı biliniyor. Bu tekrarlayan olaylar zinciri, bu tür şirketlerin hem müşterilerinin hem de casusluk yaptıkları masum kişilerin mahremiyetini koruma konusunda sürekli başarısız olduğunu kanıtlamaktadır.

FTC’nin Scott Zuckerman’a uygulanan yasağı sürdürme kararı, gözetim teknolojisi geliştiren şirketlere, kullanıcı verilerini koruma yükümlülüklerini yerine getirmedikleri takdirde sektörden kalıcı olarak men edilebilecekleri yönünde net bir sinyal vermektedir.

Kaynak

Bu haber metni, konuya ilişkin derinlemesine araştırmalarımız sonucunda hazırlanmış olup, temel bilgileri TechCrunch – Waymo Robotaksi Büyüme Verileri kaynağından alınmıştır.