Bilim / Teknoloji
BBC Türkçe

WhatsApp şartnamesini neden değiştirdi, rakipleri daha mı güvenli, kullanıcılar için riskler neler?

WhatsApp'ın kullanım şartları ve gizlilik politikasını değiştireceğini duyurmasıyla beraber başlayan güvenlik tartışmaları, kullanıcıları alternatif arayışlarına yöneltti. Peki, WhatsApp şartnamesini neden değiştirdi ve kullanıcılar için riskler neler? Alternatif uygulamalar hangi özellikleri ile tercih ediliyor? Kadir Has Üniversitesi'nden H. Akın Ünver yazdı

11 Ocak 2021 16:18

4 Ocak Pazartesi günü dünyanın en büyük, Türkiye'nin ise en çok kullanılan dijital mesajlaşma uygulaması WhatsApp, kullanım şartları ve gizlilik politikasını 8 Şubat günü değiştireceğini duyurdu.

Son düzenleme, bir önceki kullanım şartlarında geçen "Facebook reklam ve ürünleriyle ilgili deneyiminizin iyileştirilmesi amacıyla WhatsApp hesap bilgilerinizin Facebook'la paylaşılmamasını seçebilirsiniz" ibaresini kaldırarak, bu veri paylaşımının zorunlu olduğunu ima ediyor.

Aslında bu düzenleme, 2016'da fiilen gerçekleşmiş bir veri paylaşım politikasının yasal düzenlemeler doğrultusunda kullanım şartnamesine geçirilmesinden ibaret.

Bu fiili durumun kullanıcı sözleşmesinde yazılı beyan edilmesiyle beraber gündeme gelmesi ise veri mahremiyeti ve güvenliği konusunda çok büyük bir küresel farkındalığın oluşmasına sebep oldu.

Tesla CEO'su Elon Musk'ın 7 Ocak'taki tweetinde "Signal Kullanın" diyerek, kullanıcıları veri paylaşımı açısından daha güvenli bir mesajlaşma uygulaması olan Signal'e yönlendirmesi de konuyu uluslararası düzeyde gündeme taşıdı.

https://twitter.com/elonmusk/status/1347165127036977153

Bu tweet sonrası çok sayıda WhatsApp kullanıcısı, hesabını kapatarak Signal veya Telegram gibi alternatif mesajlaşma platformlarına üye olmaya başladı.

Her iki platform da bu beklenmedik ve yoğun talep sonucu hizmet vermekte zorlandıklarını belirten paylaşımlarda bulundu.

Birçok teknoloji şirketi ve iletişim etiği uzmanı, WhatsApp'ın son kullanım şartları değişikliğinin kafa karıştırıcı olduğunu ve kararın veri güvenliği ile ilgili önemli bir kırmızı çizgiyi geçtiğini iddia etti.

Facebook ve WhatsApp ise mevcut politika değişikliğinin sadece Ağustos 2016'dan bu yana devam eden bir yürütmenin artık kullanıcı sözleşmesine geçmesinden ibaret olduğunu, iki platform arasında halihazırda devam eden veri paylaşımında bir değişiklik olmadığını öne sürüyor.

https://twitter.com/davidmarcus/status/1348351094687113217

Bu açıklama ise kullanıcıları rahatlatmaktan ziyade daha da kızdırdı, WhatsApp bilgilerinin Facebook ile 5 yıla yakın bir süredir zaten paylaşıldığını öğrenmelerine neden oldu.

WhatsApp yetkilileri ise bu paylaşım ibaresinin yaklaşık 5 yıldır kullanıcı sözleşmelerinde bulunduğunu ve sözleşmenin yeni bir durumu yansıtmadığında ısrarcı.

Ancak bu ibarenin açık ve net bir şekilde ortaya konmamasına yönelik eleştiriler, kullanıcıları yanıltıcı ve durumu gizleyici bir yasal detay olduğunu düşünmeye sevk ediyor.

Böylece WhatsApp ve onun üzerinden Facebook'a duyulan güvensizlik, dünya çapında çok sayıda kullanıcının platformdan ayrılarak diğer mesajlaşma uygulamalarına yönelmesine sebep oluyor.

WhatsApp neden kullanım şartnamesini değiştirdi?

Facebook, WhatsApp'ı 2014 yılında 22 milyar dolara satın aldı. WhatsApp, Ağustos 2016'dan bu yana Facebook ile giderek yaygın şekilde veri paylaşımı yapıyordu.

Veri paylaşımına başladıktan sonra WhatsApp, bir ay süreyle kullanıcılarına bu paylaşıma katılmama imkânı veren bir "opt out" süresi tanımıştı.

Bir aylık "opt out" süresince veri paylaşım uygulamasının dışında kalacağını beyan eden ayarları yapmayan her kullanıcı, otomatik olarak veri paylaşımına rıza gösterir olarak kabul edildi ve verileri Facebook ile paylaşıldı.

Bu süreden sonra platforma katılan herkes (1 milyarı aşkın yeni kullanıcı) bu paylaşım iznini otomatik olarak onayladıklarının ön kabulüyle WhatsApp'ı indirip kullanabildi.

Ağustos 2016'daki bu "opt out" süresinde WhatsApp ayarlarından uygulamadaki değişikliği reddetmeyen ve Eylül 2016'dan sonra bu platforma geçen herkesin verileri zaten Facebook ile paylaşılıyordu.

Her ne kadar Facebook ilk satın alma döneminde WhatsApp'ı bağımsız ve güvenli bir uygulama olarak koruma sözü verse de, Facebook ve WhatsApp kurucuları arasında giderek büyüyen bir mahremiyet tartışması patlak verdi.

Tartışmaların odağında platformun kurucuları Brian Acton ve Jan Koum'un, WhatsApp'ın güvenli ve gönül rahatlığıyla kullanılabilecek bir mesajlaşma uygulaması olarak kalması istekleri vardı. Oysa Facebook yöneticileri Mark Zuckerberg ve Sheryl Sandberg, WhatsApp'ın daha geniş kullanıcı profilinin reklam gelirleri açısından daha kazançlı olduğunu iddia etmişti.

Bu tartışmalar WhatsApp'ın satın alınma sürecinde arttı. Platformun kurucularından Brian Acton şirketten ayrıldı ve Temmuz 2014'te daha güvenli bir iletişim platformu Signal'i kurdu.

WhatsApp'ın bir diğer kurucusu Jan Koum, Facebook ile bir orta yol bulmaya çalıştı ancak o da Nisan 2018'de istifa etti.

Facebook'un kurucusu ve yönetim kurulu başkanı Mark Zuckerberg, kullanıcı bilgilerinin izinsiz paylaşılmasıyla ilgili ABD Kongresi'nde ifade verdi.
Getty Images
Facebook'un kurucusu ve yönetim kurulu başkanı Mark Zuckerberg, kullanıcı bilgilerinin izinsiz paylaşılmasıyla ilgili ABD Kongresi'nde ifade vermişti. Zuckerberg ifadesinde, "Hata yaptım, özür dilerim" demişti.


Tartışmanın temelinde yüksek güvenliğe sahip uçtan uca şifreli mesajlaşma uygulamalarının nasıl ücretsiz kalmaya devam edebileceği problemi var.

WhatsApp ve benzeri uygulamalar hem üst düzey şifreleme teknolojilerine sahip olup hem milyonlarca kullanıcının verilerini yönlendirip, hem de kesintisiz hizmet verebilmek için çok masraflı bir operasyon sürdürmek zorundalar. Bu uygulamaların bedava olmaya devam edebilmesi için platformların doğrudan kullanıcılardan ücret almayıp, farklı yollardan gelir kazanma yolları geliştirmesi gerekiyor.

Threema gibi ücretli mesajlaşma uygulamaları ise fazla talep görmüyor ve kullanıcılar her durumda ücretsiz uygulamaları tercih ediyor.

Google ve Facebook
BBC

Bu sorun sadece WhatsApp için değil, sosyal medya platformları olan Facebook, Instagram ve Twitter gibi uygulamalar için de geçerli. Bu büyük platformları bedava bir şekilde ayakta tutabilmek için yöneticiler, kullanıcı verilerini işleyerek reklam optimizasyonu yapmakta ve reklam veren şirketlerin en doğru alıcıya ulaşmalarını sağlamakta.

Zira dijital reklamcılık, son yıllarda o kadar büyük ve tekelleşmiş bir pazar haline geldi ki, sadece Facebook ve Google'ın üst şirketi Alphabet bile Amerikan dijital reklam harcama pazar payının yarısından fazlasını kontrol eder oldular. Her iki şirket de bu alanda baskın pozisyonlarını korumaya çalışıyor.

WhatsApp
Getty Images

WhatsApp kullanıcılar için nasıl bir risk oluşturuyor?

Problemin temelinde iddia edildiği gibi WhatsApp'ın veya Facebook'un mesajlarınızı okuması gibi bir olasılık yatmıyor. Çünkü WhatsApp, "uçtan uca şifreleme" özelliğine sahip. Yani mesajların içeriğini sadece gönderici ve alıcı görebiliyor.

Son tartışmaların asıl odağı kullanıcıların "meta-veri"lerinin, Facebook ve bağlantılı şirketleri ile reklam ve hizmet optimizasyonu için paylaşılması.

WhatsApp'ın Facebook ve bağlantılı şirketler olan Facebook Payments, Onavo, Facebook Technologies ve CrowdTangle ile bu meta-veri paylaşım kurallarını detaylı bir şekilde kendi sitesinde tanımlanmakta.

Facebook ile paylaşılan meta-veriler WhatsApp tarafından şu şekilde tanımlanıyor:

  • Hesap bilgileri
  • WhatsApp'taki aktivitelerin süresi, zamanı ve sıklığı
  • Telefon rehberindeki irtibat bilgileri
  • WhatsApp Pay gibi ödeme hizmetleri kullanan kişilerin ödeme, ticaret ve hesap bilgileri
  • WhatsApp Müşteri Hizmetleri ile irtibata geçerken kullanılan e-posta adresleri
  • Uygulamaya giriş ve çıkış bilgileri, hata ve sistem problemi bilgileri
  • WhatsApp'ın kullanıldığı cihaz, mobil servis sağlayıcı, IP adresi, ve cihazın bulunduğu uluslararası zaman dilmi
  • Lokasyon-temelli veriler: Lokasyon verileri kapatılsa bile IP adresi ve telefon numarası alan kodu gibi bilgiler kullanılarak lokasyon bilgilerinin (şehir-ülke gibi) çıkarsama yapılması ve depolanması
  • Çerezler: WhatsApp Web gibi bilgisayar-temelli uygulamalar kullanılırken dil tercihleri, giriş sağlanan bilgisayar bilgileri gibi verileri çıkarsamaya yarayan paket veriler.

Bu kadar geniş yelpazedeki verinin Facebook ve bağlantılı şirketlerle paylaşılması, kullanıcının açık ve yeterli olarak bilgilendirilmeden yapıldığı iddiasıyla birleştiğinde kişisel verilerin korunması ile ilgili hukuki ve etik bir dizi problem ortaya çıkıyor.

Zira Mart 2018'de patlak veren Cambridge Analytica skandalı, yine Facebook'un üçüncü parti uygulamalarıyla 87 milyon kullanıcısının verisini paylaşması sonucunda baş göstermişti.

Bu skandaldan önce konuyla ilgili en büyük itiraz, 2017'de Avrupa Birliği'nden (AB) gelmişti.

AB bölgesinde açık kullanıcı rızası olmadan yapılan bu tip veri paylaşımının önüne geçmek için müzakereler düzenlenmiş ve neticesinde WhatsApp Ireland Limited adlı şirket Avrupa Birliği adına ayrı bir servis sağlayıcı olarak belirlenmişti.

AB Genel Veri Güvenliği Regülasyonu (GDPR) çerçevesinde reklam hizmetleri için bu tip veri paylaşımı dünyanın geri kalanından farklı olarak AB bölgesi genelinde iptal ettirilmişti.

Apple uygulama mağazası en çok indirilen programlar
BBC

WhatsApp'ın alternatifleri neler olabilir?

Her ne kadar WhatsApp 'ın yeni politikası uzun zamandır devam eden fiili durumun ilanından öteye geçmese de son gelişmeler, birçok kullanıcıyı daha güvenli uygulamaları aramaya yönlendirdi.

Bu bağlamda yeni bir mesajlaşma uygulaması seçilirken göz önünde bulundurulması gereken iki hususu hatırlamak gerek.

Bunların ilki, 'uçtan uca şifreleme' (end-to-end encryption, yani mesajı gönderen ve alan kişi dışında kimsenin görememesi) özelliği.

İkincisi de uygulamaların hangi kullanıcı verilerini depoladığı ve üçüncü parti hizmetlerle paylaştığı. Bu iki konuda da öne çıkan uygulamaların başında Signal ve Telegram geliyor.

WhatsApp, iki önemli ücretsiz rakibi Signal ve Telegram gibi güçlü bir uçtan uca şifreleme özelliğine sahip. Ancak WhatsApp'ta doğrudan mesajlar şifrelense bile WhatsApp kendi sunucularında depoladığı meta-veriler (gönderici, alıcı, gönderi zamanı ve gönderen lokasyonu) şifrelenmiyor.

Dahası WhatsApp'ın bu meta-verileri de reklam ve hizmet optimizasyonu için üçüncü şahısların kullanımına açtığı daha önce ortaya çıkmıştı. Bu, WhatsApp'ın güvenilirliği ile ilgili uzun zamandır sektör tarafından eleştirilen bir nokta.

Signal
Getty Images

Signal'in artıları neler?

Signal ise WhatsApp 'ın uçtan uca şifreleme protokolünü daha ileri götürerek meta-verileri de şifreliyor. Böylelikle bu tip verilerin üçüncü şahıslara satılması veya verilere başka kanallar yoluyla erişilmesi -Signal dahil - mümkün değil.

Signal'in WhatsApp'a kıyasla en önemli avantajı ise daha ileri seviyede güvenlik özelliklerine sahip olması.

Bunların başında "kaybolan mesajlar" özelliği geliyor. Bu özellik gönderilen ve alınan mesajların kullanıcı tarafından belirlenen süreyi geçince veya okununca otomatik olarak silinmesini sağlıyor.

Bunun yanında Signal "tek gösterimlik" medya (video, fotoğraf, ses) mesajlarıyla bu tip verilerin görüldükten sonra otomatik silinmesini olası kılıyor.

Ayrıca Signal'in "açık kaynak kodlu" olması ve programcıların bu uygulamanın tam olarak verileri nasıl işlediğini çok net bir şekilde görebilmeleri de bu platformu kapalı-kod uygulamasına sahip WhatsApp'a kıyasla daha güvenli kılıyor.

Signal verileri kendi sunucuları veya başka bir bulut depolama alanında yedeklenmiyor. Mesajlar sadece kullanıcının telefonunda depolanıyor. Bu da gönderici ve alıcı dışında kimsenin mesajlara erişememesini sağlıyor.

Telegram
Getty Images

Bir diğer alternatif: Telegram

Bir başka önemli "uçtan uca şifreleme" özelliğine sahip uygulama ise Telegram.

Her ne kadar WhatsApp 'a kıyasla daha az kullanıcı meta-verisi kullansa da Telegram, Signal'den biraz daha fazla güvenlik açığına sahip.

Bunların en önemlisi Telegram'da "gizli sohbet" özelliği kullanılmadığı sürece uçtan uca şifreleme olmaması.

"Gizli sohbet" uygulaması ancak iki kişi arasında yapılabiliyor ve WhatsApp 'takine benzer çok kullanıcılı gruplarda uygulanamıyor.

Ancak "gizli sohbet" özelliği kullanılmadığında mesajlar Telegram sunucularında şifrelenip yine aynı sunucularda çözümlenmesinden sonra alıcıya gönderiliyor.

Şifreleme anahtarları Telegram'da depolandığı için teorik olarak "gizli sohbet" özelliği dışındaki mesajlara bu platformun erişimi olabilir.

Bu konuya dönük Telegram'ın savunması, "ancak birden fazla ülkenin güvenlik kurumlarından talep geldiği takdirde" bu tip mesajlara erişim olabileceği yönünde.

Bunun yanı sıra Telegram, bugüne kadar üçüncü parti uygulamalara ve güvenlik güçlerine asla veri paylaşmadığını da ekliyor.

Ancak Telegram mesajları şifrelemek için MTProto2.0 adlı kendi kapalı-kod çözümleme protokolünü kullanıyor.

Bu şifreleme protokolü kapalı-kod olduğu için bağımsız kriptografik analizinin yapılması mümkün değil. Bu da Telegram'ın sektör içerisinde Signal'e kıyasla daha "muğlak" kabul edilmesine yol açıyor.

Yerli 'Bip' ve 'Yaay' alternatiflerine geçilebilir mi?

WhatsApp ile ilgili politika değişikliği duyurusunu takiben Türkiye'de iki yerli uygulama öne çıktı: Bunlar Turkcell'in Bip ve TürkTelekom çatısı altında bulunan TT Ventures'un Yaay isimli iki mesajlaşma platformu.

Çok bahsedilmeyen "Laff" ve "Dedi" isimli uygulamalar da bu seçeneklere dahil edilebilir.

Turkcell Bip, uluslararası rakiplerine kıyasla çok daha fazla kullanıcı bilgisi işleyen bir platform olduğu için Signal, Telegram ve WhatsApp'ın gerisinde kalıyor.

Bip'in kullanıcıdan istediği kimlik ve iletişim bilgileri, telefon numarası, irtibatlar listesi, kullanılan cihaz bilgileri, lokasyon ve multimedya verileri, bu platformu WhatsApp'a kıyasla bile daha fazla kişisel ve mesajlaşma verisi kullanan bir uygulama haline getiriyor.

Bip'in kullanıcı sözleşmesinde yer alan "BiP, hukuka uygun olması durumunda, Kişisel Verileri pazarlama ve diğer iş ortaklarına, ayrıca BiP veya üçüncü şahıslarca ilginizi çekebileceği düşünülen farklı ürün veya hizmetleri size sunmak isteyen özenle seçilmiş diğer üçüncü şahıslara iletebilir" ibaresi, bu noktada WhatsApp 'tan kişisel meta-verilerin üçüncü partilerle paylaşımı sebebiyle ayrılan kullanıcılar için tercih sebebi olacak bir uygulama izlenimi vermiyor.

Aynı şekilde Yaay uygulamasının 3.15 maddesinin a ve b bentlerine istinaden kullanıcı bilgilerinin "ticari amaçlarla ürün/hizmet sunulması, reklam, hedefli reklam, kampanya, teklif, hediye, promosyon, tanıtım, kutlama, ödül, çekiliş gibi pazarlama faaliyetleri ile ürün ve hizmetlerin çeşitlendirilmesi, performans ölçüm/derecelendirme işlemleri, iş geliştirme ve iletişim faaliyetleri kapsamında kullanılabileceğini" belirtiyor.

Bu da WhatsApp'la ilgili meta-veri paylaşımı problemlerinden kaçan kullanıcılar için daha iyi bir mahremiyet ve veri güvenliği çözümü sunmuyor.

Yerli mesajlaşma uygulamalarından Bilgi Teknolojileri Kurumu'nun sunduğu "Dedi" uygulaması bu konuda daha iyi bir görüntü sergiliyor.

"Dedi" uygulamasının 'Sıkça Sorulan Sorular' bölümünde uygulamanın alanın en iyi örneği olan Signal üzerinde geliştirildiği ve hiçbir kullanıcı verisini kayıt altına almadığı belirtiliyor.

Mesajlar transfer amaçlı sunucularda tutulduktan sonra alıcıya iadesi gerçekleştiğinde sistemden siliniyor ve yedeklemesi alınmıyor.

Bip ve Yaay'e kıyasla Dedi kodları açık kaynak olduğu için mesajların nasıl şifrelendiği ve transfer edildiği, kullanıcı verilerini nasıl işlediği bağımsız programcılar tarafından da denetlenebiliyor.

Bu nedenle yerli uygulama tercih edenler için "Dedi" rakiplerine kıyasla veri güvenliği konusunda daha tatmin edici bir veri işleme protokolü sunuyor.


Haber, değiştirilmeden kaynağından otomatik olarak eklenmiştir