BİNLERCE İNTERNET SİTESİ DAHA KAYDET TUŞUNA BASMADAN GİRDİĞİNİZ VERİLERİ TOPLUYOR
İnternet sitelerinin önemli bir kısmı, klavyenizi kullanarak yazdığınız verileri size fark ettirmeden yakalayan keylogger (tuş kaydedici) teknikler kullanıyor.
Dijital dönüşümle birlikte günlük hayatımızda birçok alanda internet sitelerine kayıt oluyor ya da online alışverişler yapıyoruz ve bunları yaparken bizden çoğunlukla gerekli bilgileri doldurmamız isteniyor. Bir haber bültenine kaydolduğunuz, otel rezervasyonu yaptırdığınız ya da elektronik posta adresinizi yanlış girdiğiniz anlar gibi fikrinizi değiştirip kayıt düğmesine basmadan, internet formunun olduğu sayfayı kapattığınız durumlar mutlaka olmuştur.
Muhtemelen sayfayı kapatmanın önemli bir adım olmadığını, kaydet tuşuna basana kadar herhangi bir adımın gerçekleşmediğini düşünüyorsunuzdur. Değil mi? Ama zannettiğiniz gibi olmayabilir.. Yapılan yeni bir araştırmaya göre kaydet düğmesine bastığınızda her zaman zannettiğiniz şey olmuyor: Girmiş olduğunuz verilerinizin bir kısmını/tamamını toplayan internet sitelerinin sayısını duysanız şaşırırsınız.
KU Leuven, Radboud Üniversitesi ve Lausanne Üniversitesi tarafından yapılan araştırmada en popüler 100.000 internet sitesi incelendi. Araştırmacılar, Amerikalı bir kullanıcı ile Avrupalı bir kullanıcının internet sitelerini ziyaret ettiği durumları incelediğinde:
- Avrupalı kullanıcının elektronik posta bilgilerinin rızası olmadan 1844 internet sitesi tarafından kaydedildiği,
- Amerikalı kullanıcının elektronik posta bilgilerinin ise yine rızası olmadan 2950 internet sitesi tarafından kaydedildiği sonucuna vardılar.
Görünüşe göre ilgili internet sitelerinin büyük bir çoğunluğu bu yarım kalmış verileri kaydetmek gibi bir amaç taşımıyor, ama bu veriler pazarlama ve analiz alanında hizmet veren, tüketici davranışını ölçen üçüncü taraflarca kullanılıyor. Aynı şekilde Mayıs 2021’de şifre sızıntıları konusunda internet sitelerinin tarandığı bir çalışmada araştırmacılar Rus teknoloji devi Yandex’in de yer aldığı 52 internet sitesinin kullanıcı henüz kaydet düğmesine basmadan üçüncü taraflar üzerinden şifre bilgilerini topladığını belirledi.
Radboud Üniversitesi’nin dijital güvenlik grubunda yer alan profesör ve araştırmacı Güneş Acar araştırma hakkında “ İnternet sitelerini ziyaretiniz sırasında genelde kaydet düğmesine bastıktan sonra verilerinizin kaydedildiğini düşünürsünüz. Beklentilerimiz henüz bu düğmeye basmadan veriyi toplayan yüzlerce internet sitesi olabileceği yönündeydi ancak bunu yapan binlerce internet sitesinin varlığı beklenilen sayının çok daha üzerinde oldu” yorumunu yaptı.
Ağustos ayında gerçekleşecek olan Usenix Güvenlik Konferansı’nda bulgularını paylaşacak olan araştırmacılar kullanıcının kaydet düğmesine basıp basmadığına bakılmaksızın verilerinin toplanması davranışının aslında kötü amaçlı kullanılan yazılımlar olan keyloggerlara benzediğine dikkat çekti ve en sık kullanılan bin internet sitesini ziyaret eden kullanıcıların verilerinin keyloggerlar tarafından kaydedileceğini muhtemelen beklemediklerini belirtti. Araştırmada aynı zamanda bazı sitelerin kullanıcının tuşlara vuruşları, çoğunun ise kullanıcının sonraki adım düğmesine basmasıyla verileri topladıkları da yer aldı.
Araştırmacılara göre sonuçlarda yer alan Amerikan ve Avrupa siteleri arasındaki farklılıklar ise ilgili şirketlerin kullanıcıları takip etme, üçüncü taraflarla verilerin paylaşılması konusunda daha sıkı kurallar getiren Avrupa Birliği’ne GDPR mevzuatının varlığı. Ancak bunu doğrulayan nedenle bir araştırma henüz yapılmadı.
İnternet sitelerinin bu şekilde veri toplamasının “Kaydetme” eyleminin diğer kullanıcı davranışlarından ayırt edilemiyor olması problemlinden kaynaklanmak ihtimali de var. Yine de bu teknik problem verilerin bu şekilde kullanıcı rızası dışında toplanması için yeterli bir gerekçe değil.
Kullanıcıların davranışlarını takip eden ve karşılarına reklamlar çıkaran, pazarlama alanında hizmet veren Meta Pixel ve TikTok Pixel firmaları yaptıkları açıklamada kullanıcıların bilgilerinin “Otomatik Gelişmiş Eşleştirme” seçeneğini aktif hale getirmeleri durumunda toplanmakta olduğunu öne sürdü. Ancak araştırmacılar uygulamada kullanıcıları takip eden bu pixeller aracılığıyla bilgiler henüz kaydedilmeden e-posta adreslerinin gizlenmiş bir formda kullanıcıları tanımlamak için kullanıldığını, Amerikalı kullanıcılar bakımından Facebook’un da sahibi olan Meta’ya 8.438 internet sitesi tarafından bilgi sızdırılıyor olabileceğini, Avrupalı kullanıcılar bakımından ise yaklaşık 7.379 internet sitesinin bu şekilde bilgi sızdırıyor olabileceğinin altını çizdi. TikTok Pixel söz konusu olduğunda ise bu şekilde veri sızdıran Avrupa’da 147, Amerika’da ise 154 site bulunduğu belirtiliyor. Araştırmacılar bu konu hakkında 25 Mart’ta Meta, 21 Nisan’da TikTok’u bilgilendirdiklerini ancak henüz bulgularıyla ilgili bir dönüş alamadıklarını belirttiler.
Acar aynı zamanda kullanıcıların rızası alınmadan kaydedilen e-posta adreslerinin kullanıcıyı daha sonra takip etmek için güçlü birer tanımlayıcı olduğunu, kişilerin e-posta adreslerinin benzersiz olmasının takip açısından büyük bir potansiyel oluşturduğunu belirtti.
Yapılan araştırma gösteriyor ki kullanıcılar istemeseler de bu tarz keyloggerlar tarafından bilgilerinin toplanmasının önüne geçemeyebilirler. Araştırmacılar internet sitelerinin keyloggerlar kullanarak bilgi toplayıp toplanmadıklarını denetleyen ve Firefox üzerinde çalışan bir uzantı geliştirdiklerini ve kamu oyu ile paylaştıkları bulgularının internet kullanıcıları, geliştiricileri ve yöneticilerde bir farkındalık oluşturacağını umduklarını belirttiler.
Yazan : LILY HAY NEWMAN
Çeviren: Sena Yaman
Kaynak : ArsTechnica
Yayın Tarihi : 14 Mayıs 2022