Mobile logo
Top

Araç Kiralama ve Tasarımda Veri Koruma İlkesi

Ford Mustang
Dünya Haber Veri Güvenliği

Araç Kiralama ve Tasarımda Veri Koruma İlkesi

Arabalarımız her geçen gün akıllanıyor, sunulan hizmetler akıllı uygulamalarla entegre ediliyor. Ancak doğru planlanmayan yazılım çözümleri ve eksik güvenlik politikaları her alanda olduğu gibi akıllı ulaşım çözümleri için de sorun olmaya devam ediyor. FordPass uygulamasında yaşanan sorunlar bu konuda önemli ipuçları sunuyor.

Yazıdan da görebileceğiniz gibi her hangi bir sektör veya alanda ürettiğiniz yazılım çözümleri ve uygulamaları henüz tasarım aşamasında iken veri koruma anlayışı ile geliştirmek, piyasaya sürdükten sonra yaşayabileceğiniz sorunlar ve bu yüzden yüzleşmek zorunda kalacağınız risklere karşı daha fazla koruma sağlayacaktır. GDPR bu ilkeyi tasarım aşamasında veri koruma (Data Protection by Design) olarak tanımlıyor.

HEP SON KULLANICIYA SORUN

Ekim ayında, ARS beş ay önce kiralayıp geri iade ettiği arabayı uzaktan çalıştırabilen, durdurabilen, kilitleyebilen, kapı kilidini açabilen ve nerelere gittiğini görebilen bir adamın hikayesini paylaşmıştı. Bu olayı yaşayan Enterprise Araç Kiralama şirketinin müşterisi aynı olayın  neredeyse tıpa tıp aynısı tekrar yaşadı. Kiraladığı Ford Mustang aracını iade ettikten dört gün sonra bile, cep telefonuna kurduğu FordPass uygulaması geriye iade ettiği aracı kontrol etmesine izin veriyordu. 

FordPass yazılımı, Kaynak:carman-ford.com

Tıpkı geçen defa olduğu gibi, müşteri her hangi bir zamanda aracın konumunu öğrenebiliyordu. Motoru çalıştırıp, durdurabiliyor, kapıları kilitleyip açabiliyordu. Enterprise müşterinin araca olan erişimini, ben onlara durumu bildirdikten ancak üç saat sonra kapattılar. 

“Anlayabildiğim kadarıyla şu anda aracı bir başkası kiralamış ve bir golf tesisine park etmiş” diyordu müşteri bana yazdığı elektronik postada. “Bu araç o kadar GÜRÜLTÜLÜ ki, motoru uzaktan çalıştırdığımda kesinlikle etraftakiler neler olup bittiğini çok merak edecekler” diye de eklemişti. Bir sonraki gün, yani erişiminin kapatıldığı gün ise attığı mesajda şöyle diyordu.

“Görünüşe bakılırsa kiralama süresi sona erdi ve Enterprise’ın park alanına bırakılmış.”.

Müşterinin aracı uzaktan nasıl kontrol ettiğini gösterebilmek için kaydettiği videoyu aşağıdan seyredebilirsiniz:

HEM GÜVENLİĞİ, HEM DE MAHREMİYETİ CİDDİYE ALIYORUZ

Ekim ayında yaşanan bir önceki olaydan sonra açıklama yapan Enterprise ve Ford yetkilileri, araçlara uzaktan kontrol imkanı veren FordPass ve Ford tarafından üretilen benzeri uzaktan erişim yazılım ve uygulamalarının güvenli olmasını sağlayacak mekanizmalara sahip olduklarını belirtmişlerdi. Ayrıca araçlar yeni kullanıcılara kiralanmadan önce bir önceki kullanıcının telefonu ile olan bağlantısının koparıldığını da ifade etmişlerdi. Aslına bakarsanız bu açıklama o zamanda sorunluydu. 

Göz alıcı Ford Mustang, Kaynak: pngmart.com

Örneğin Enterprise, müşterilerin imzaladığı kullanıcı sözleşmelerinde aracı iade ettikten sonra akıllı cihazlarında kalan bilgileri silmek zorunda olduklarına dair hükümler bulunduğunu söylemişlerdi. Sorun şu ki aydınlatma metni kiralayan kişileri, şu anda kullanmakta oldukları araca daha önceki kiralayanların hala erişebiliyor olmasının ne tür riskler doğurabileceği hakkında bir uyarı koymamışlardı. 

Daha da önemlisi, araç kiralayanların kiraladıkları aracı teslim ettikten sonra telefonlarına yüklü uygulamadan silme konusuna hiç bir şekilde ilgi göstermeyecekleri gerçeği. Müşteriler aracı iade ettikleri sırada genellikle binecekleri uçağı kaçırmamak gibi o an için çok önemli konularla uğraşıyorlar vedaya önce pek az kullandıkları bir uygulamanın menülerinde gezinmekle uğraşmayı isteyecek halleri yok. 

Bu durumda güvenlik ve mahremiyet bakımından bütün risk o anda aracı kullanmakta olan müşterinin sırtına biniyor. Sonuçta kötü niyetli eski kullanıcılar aracın kontrolünü ellerinde tutmaya devam etmeyi isteyebilirler. Şurası açık ki, cep telefonundaki FordPass uygulaması ile aracın bağlantısını koparmak, araç kiralama ajansının çalışanlarının mutlaka yerine getirmesi ve kontrol etmesi gereken bir işlem. Sonuçta bu iade edilen aracın halılarını temizlemek ve motorunu kontrol etmekten daha karışık bir iş değil. 

Bu arada Ford, bir araç kiralamış olan kişilerin, kullandıkları araca bir başkasının erişimi olup olmadığını anlamaları için birden fazla yol olduğu konusunun altını çiziyor. Ford ayrıca ikinci el satışları sırasında  aracın eski sahibinin telefonuyla bağlantısının koparılması konusunu hatırlattıklarını da ekliyor. 

Ama her iki şirketin yaptığı bu açıklamaların hiç biri aracın eski kullanıcılarının, araca erişimlerinin araç satıldıktan veya kiralandıktan sonra bile devam etmesinin yarattığı riske bir çözüm sunmaktan uzak. Başta anlattığımız olayı yaşayan müşteri, cep telefonu yazılımı üzerinden araç bağlantısını koparmasının mümkün olduğunu kabul ediyor. Ama bunu yapmadığını çünkü yazılım geliştiren ve piyasaya süren şirketlerin güvenlik prosedürlerini test etmek istediğini söylüyor. 

Bir başka internet mecrası olan KrebsOnSecurity’de çıkan bir makalede Ford Focus’a leasing anlaşması bittikten dört yıl sonra bile erişebilen bir kişiden bahsediliyor. Bu da gösteriyor ki sorun bir istisna değil ve yaygın bir şekilde görülme ihtimaline sahip. 

Burada sorun eski kullanıcıların veya sahiplerin araca erişimini kopartabilecek bir çözüm olmamasından kaynaklanmıyor. Örneğin Ford’un ürettiği araçlar, gösterge üzerinde aracın konumu paylaşıldığında, uzaktan motor başlatılıp, durdurulduğunda veya uzaktan kilit açma ve kapatmanın aktif hale getirildiğinde bir uyarı mesajı göstereiliyor. Araç her çalıştırıldığında da ekranda konum servislerinin açık olduğu ve bağlı hiç bir Bluetooth aracının bulunmadığı konusunda uyarılar çıkıyor. Bu mesajlar ve uyarılar ancak yeterince belirgin ve anlaşılabilir olduğunda bir işe yarayabilir. Ford sözcüsüne sorulduğunda Ekim ayındaki menü, mesaj ve uyarıların hala aynı şekilde yürürlükte olduğunu belirtti. 

ENTERPRISE ve FORD YAZILIMI GÜNCELLİYOR

Bu arada Enterprise şirketinin yetkilileri ise aşağıdaki beyanatı yayınladılar:

Bir şirket olarak müşterilerimizin güvenliği ve mahremiyeti bizim için önemli bir önceliktir. Bu konunun dikkatimize sunulmuş olması dolayısıyla müteşekkiriz ve geçen hafta gerçekleşen belirli bir kiralama ile ilgili ortaya çıkan bu konuyu aktif bir şekilde takip etmeye devam ediyoruz. 

Geçen sonbaharda ortaya çıkan benzer bir sorundan sonra, araç temizleme süreçlerimizi, resetleme işlemlerini de içerecek şekilde güncellemiştik. Ayrıca Ford’la işbirliği içinde, bu gibi durumlar için ikinci bir kontrol mekanizması kurabilmek için çalışmaya devam ediyoruz. FordPass’in eski araç kiracıları için araca bağlanma durumunu otomatik olarak devre dışı bırakacak bir güncelleme içeren yazılımın yeni sürümünün test aşaması da halen sürmektedir. 

Paylaştığınız bu son olayı da araçlara sürekli olarak eklediğimiz özellik ve teknolojileri en iyi şekilde geliştirmeye devam etmek için kullanacağız.

Enterprise

Ford dışındaki araç üreticilerinin araçlarında da benzer özellikler olduğunu düşününce, benzer bir risk taşıdıklarını söylemek mümkün. Yeni araç alan ya da kiralayan kişilerin araç kullanım rehberlerini dikkatli bir şekilde okuyarak uzaktan erişimin nasıl çalıştığını ve bir önceki kullanıcının erişiminin nasıl kaldırılacağını öğrenmeleri akıllıca bir hareket olacaktır. 

Yazar: Stefan Krempl

Tercüme : Melih R. Çalıkoğlu

İlk Yayın Tarihi: 18 Haziran 2019

Kaynak : www.heise.de

14 Şubat 2020
0
0
ABD DPBD konum Tasarım aşamasında veri koruma veri güvenliği
Related Posts
SÜRPRİZ: GOOGLE CHROME’UN GİZLİLİK MODU GİZLİ DEĞİL
 15 Mart 2021
Zoom CEO'su Eric Yuan
Görüntü ve Ses Biyometrik Veri Değildir
 16 Nisan 2020
Almanya’dan bir ilk: polislere veri ihlal cezası
 29 Şubat 2020
Melih R. Çalıkoğlu
Melih R. Çalıkoğlu
Yorum Bulunmuyor

Yorum Yapın