12 Eylül 2021

"İnsanları meta verilerine bakarak öldürüyoruz"

"WhatsApp, kullanıcıların mesajlarını kimsenin göremeyeceğini garanti eder - ancak şirketin kapsamlı bir izleme operasyonu vardır ve kişisel bilgileri savcılarla düzenli olarak paylaşır."

Son birkaç yıldır pek çok kez, WhatsApp'ın güvensiz olduğunu yazdık. Özellikle de 2021 başında WhatsApp'ın "Verilerinizi Facebook'la paylaşmamıza izin verin ya da WhatsApp'ı kullanmayın" şeklindeki yaklaşımı sonrası yine çok yazıda bunu anlattık (KVKK'nın bu konuda kestiği ceza komik. Ve sektörde hayli söylentiye yol açan cezayı başka yazıda değerlendireceğiz) [1].

WhatsApp 2017 yılına kadar uçtan-uca şifrelemesi ile çok güvenli olarak değerlendiriliyordu. Çünkü kurucuları reklam almayı hedeflemiyordu[2]. Sonraki zamanlarda ise giderek artan güvenlik sorgulamaları geldi. Biz de önceleri "uçtan-uca güvenliği" yazarken, bu altyapıyı kuran Brian Acton'ın ayrıldığı 2017'den itibaren "Acaba WhatsApp Ne kadar Güvenli" diye sormaya başladık[3].

Bugünkü yazımızın konusu da bu; WhatsApp'ın sandığımızdan da tehlikeli olduğunu gösteren yeni bir araştırma [4]. Biz birkaç yıldır uçtan uca şifreleme nedeniyle içeriği göremiyor, ama "metaverilerimizi mi veriyor?" diye anlamaya çalışırken, "gerekli hallerde" başlığı ile sunulsa bile, WhatsApp'ın "sizden başkası göremez" dediği mesajların içeriğini bazı durumlarda dışarıdan sözleşmeli çalışan elemanların gözden geçirdiği ortaya çıktı [5].

Bu yeni araştırma diyor ki; Facebook WhatsApp'ın sadece karşılıklı iletişimde bulunan 2 kişinin (ya da grubun) görebildiği (uçtan uca şifreli) diye bildiğimiz mesajları, taraflardan birisi raporladığında ya da algoritması ile tarayarak, beğenmediklerini dünyanın çeşitli yerlerinde çalıştırdığı denetleyici elemanlara gönderiyor ve istenirse ya da gerekirse savcılıklara da verebiliyor. 

Mesajlarınızı algoritma tarıyor, sakıncalı ise fiziksel incelemeye gönderiyor

WhatsApp'ın 2 kurucusundan birisi ve daha önemlisi uçtan-uca şifrelemenin geliştiricisi olan Brian Acton'ın fonlandığı ProPublica, verilere, belgelere ve mevcut ve eski çalışanlar ve sözleşmeli çalışanlarla yapılan düzinelerce röportaja dayanan araştırmasında, 2014'te WhatsApp'ı satın aldığından beri Facebook'un kapsamlı güvenlik güvencelerini nasıl sessizce ve çeşitli şekillerde değiştirdiğini ortaya koyuyor. [4].

Araştırmaya geçmeden önce hatırlatalım; Acton 2014'de Zuckerberg'e 19 milyar $ karşılığında sattığı şirketin CEO'su olarak devam etmiş, ancak 2017'de Zuckerberg'in değiştirmeyeceğine söz verdiği gizlilik teknolojisini değiştirmeye başlaması üzerine şirketten (geride alacağı birkaç yüz milyon $ gibi bir parayı da bırakarak) ayrılmıştı[6].

ProPublica araştırmasının ortaya çıkardığı bilgilere göre, dünyanın çeşitli yerlerinde yani Austin, Texas, Dublin veya Singapur ofislerinde çalışan 1.000'den fazla sözleşmeli çalışanlar, algoritmanın işaretlediği kullanıcıların içeriklerini fiziksel olarak gözden geçiriyor, denetliyor. Ama size bunun olduğuna dair bir bilgi verilmiyor.

Herkese "WhatsApp mesajlarınızı sizden başkası göremez" şeklinde, hatta bu yıl başında bile garantiler veren Facebook bu durumu "kullanıcıların bildirdiği kötüye kullanımı inceleme" diyerek kabul etmiş. Yani bir yandan uçtan-uca şifreleme sürüyor olsa da, kullanıcıdan-kullanıcıya olduğu, başkasının görmediği ve sunuculara kaydedilmediği iddia edilen mesajların bazılarının şu ya da bu nedenle görülebildiğini kabul etmiş oluyor. 

Neden içerik denetleyicilerden bahsetmiyorlar ve kullanıcıları "kişisel gizlilik" hakkında aldatıyorlar?

Burada anahtar soru şu; neden algoritma ile taradıklarını veya gerekli hallerde içerik denetleyici kişiler tarafından mesajların incelendiklerini, kullanıcıların kendilerine söylemiyorlar. Burada gizli kalması gereken amaç nedir? Mesela "Biz mesajlarınıza 'şu ya da bu nedenle' bakabiliriz" demeleri gerekmiyor mu?

İnsanları tuzağa mı düşürmeye uğraşıyorlar?

Zuckerberg 2018'de ABD Senatosu'na verdiği ifadede de şöyle dedi:

"WhatsApp'ta herhangi bir içerik görmüyoruz."

Ama bu da doğru değil.

Facebook ve Zuckerberg yapmış oldukları bir nevi polislik hareketini, çeşitli şekillerde süsleyerek, yaygın olmadığını belirterek ve de "güvenlik" diyerek açıklamaya çalışıyorlar. Ancak "uçtan-uca güvenli iletişim sunuyoruz, mesajlar şifreli sizden ve gönderdiğiniz kişiden başkası görmez, kişisel mahremiyetinizi koruyoruz" vs gibi ifadesi bu durumda doğruyu ifade etmiyor. İnsanları yanıltmış oluyorlar.

Diyorlar ki, Ahmet ile Mehmet konuşurken, Mehmet tehdit ettiyse, Ahmet şikayet ediyor ve Ahmet-Mehmet arasındaki iletişim, denetleyici elemanlar tarafından gözaltına alınıyor. Ama bundan Mehmet'in haberi yoksa, bu kişisel verileri ihlal olmuyor mu? Ahmet ile Mehmet arasındaki olayın gözlem altında olması hakkını kim Facebook'a veriyor? Bu durumda "WhatsApp=BIG BROTHER" mı sorusu geliyor akla.

Bir önemli not da şu; WhatsApp, Facebook ya da Google'ın yaptığı gibi şeffaflık raporu da vermiyor. Yani biz bu incelemeleri resmi olarak bilmiyoruz. Ne olup, bittiğini, nereye ne verdiklerini raporlamıyorlar bile. Çünkü bunu raporlasalar, kullanıcıların büyük kısmı uygulamayı kullanmayı bırakacak, başka uygulamalara geçecek.  

Araştırmada başka ne bilgiler var? 

WhatsApp için çalışan içerik moderatörlerinin iddialarının çoğu, geçen yıl ABD Menkul Kıymetler ve Borsa Komisyonu'na yapılan gizli bir ihbar şikâyetinde de yer alıyor. ProPublica'nın edindiği şikâyet, WhatsApp'ın kullanıcı mesajlarını, resimlerini ve videolarını incelemek için sözleşmeli çalışanları, yapay zeka sistemlerini ve hesap bilgilerini kapsamlı bir şekilde kullanmasını detaylandırıyor.

WhatsApp sözcüsü;

"WhatsApp, geçerli yasal taleplere yanıt verir, belirli bir kişinin kime mesaj gönderdiğini gerçek zamanlı olarak ileriye dönük olarak sağlamamızı gerektiren istekler dâhil."

diyor. Yani kolluk güçleri talep ederse, sadece o güne kafdarkileri değil, sonrasını da izliyorlar. Burada sözcünün verdiklerini kabul ettiği veriler ise içerikten ziyade metaveri olarak gözüküyor.

"İnsanları meta verilerine bakarak öldürüyoruz."

Metaveri önemli değil diyorsanız, başlıktaki cümleye bakın. Bu cümle CIA eski direktörüne ait. Bunu 2014 yılında Johns Hopkins Üniversitesi'nde düzenlenen bir sempozyumda, hem CIA hem de NSA'nın eski direktörü olan General Michael Hayden söylemiş [7]. Ondan önce de Edward Snowden bu tür konulara 2013'den itibaren sürekli işaret etti.

Peki ama "Metaveri nedir?" ProPublica bunu şöyle tanımlamış;

"Meta veri" terimi, sıradan bir kulağa soyut gelebilir; Dijital öncesi bir benzetme kullanmak gerekirse, meta veriler bir zarfın dışında yazılanlara eşdeğerdir – gönderenin ve alıcının adları ve adresleri ve postanın nereye ve ne zaman gönderildiğini yansıtan posta damgası – "içerik" ise zarfın içine mühürlenmiş mektupta ne yazdığıdır.

Bilgi ve istihbarat alanlarındakiler, bu bilgilerin ne kadar önemli olabileceğini anlıyorlar. Eski NSA genel danışmanı Stewart Baker bir keresinde "Meta veriler size kesinlikle birinin hayatı hakkında her şeyi anlatır. Yeterli meta veriniz varsa, içeriğe gerçekten ihtiyacınız yoktur."

Facebook Inc., WhatsApp kullanıcılarından ne kadar veri topladığını, bununla ne yaptığını ve kolluk kuvvetleriyle ne kadar paylaştığını da tam söylemiyor. WhatsApp'ın, bir kullanıcının etkinliği hakkında çok şey ortaya çıkarabilecek şifrelenmemiş kayıtlar olan meta verileri kolluk kuvvetleriyle paylaştığı çeşitli dava dosyalarından görülüyor. Signal gibi bazı diğer uygulamalar, kullanıcılarının mahremiyetini ihlal etmekten kaçınmak için kasıtlı olarak çok daha az meta veri topluyor ve bu nedenle kolluk kuvvetleriyle çok daha az paylaşıyor.

Algoritmanın işaretlediği mesajlara kim bakıyor?

ProPublica WhatsApp mesajlarını denetleyen kişilerden 29 tanesiyle görüşmüş. 20-30 yaş aralığında ve "İçerik Denetim Ortakları" adını taşıyan bu kişiler dış hizmet (outsourcing) firması Accenture tarafından işe alınıyor. WhatsApp elemanı değiller. Dışarıdan çalışıyorlar. Birçoğunun mağaza memuru, bakkal denetçisi ve baristalık gibi iş geçmişi var.

16,5 $/saat ücretle çalıştırıldığı ve gizlilik sözleşmesi yapıldığı kaydedilen bu insanlar, salgınla birlikte evden de çalışabiliyorlar (mesajları evlerde kimler kimler görüyor). Ekranlarında bir Facebook yazılım aracını kullanarak konularına göre "reaktif" ve "proaktif" kuyruklar halinde düzenlenen bir "ticket" akışını inceliyorlar. Her iki kuyruk türü için de bir ticket sunulduğunda üç seçeneğe sahip: Hiçbir şey yapmayın, daha fazla inceleme için kullanıcıyı "izlemeye" alın veya hesabı yasaklayın.

Şirket, WhatsApp inceleyicilerinin "içerik moderatörleri" olmadığını iddia ederken, tek tek öğeleri silememesini neden olarak gösteriyor (Zaten silse, insanlar birilerinin bu mesajları gördüğünü anlayacaklar).

Her çalışan, performans kriterleri nedeniyle günde 600'den fazla ticket işliyor ve bu da ticket başına bir dakikadan az zaman anlamına geliyor. ProPublica sayıyı öğrenememiş ama ABD-İngiltere gibi yerlerde çalışan 1.000 kadar kişiden bahsediyor.

WhatsApp moderatörleri, "Spam Raporu", "Sivil Kötü Aktör" (siyasi nefret söylemi ve dezenformasyon), "Terörizm Küresel Güvenilir Tehdit", "CEI" (çocuk sömürücü görüntüleri) ve "CP" (çocuk pornografisi) dahil olmak üzere çok çeşitli kategorileri inceliyor. Başka bir kategori grubu, WhatsApp'ı müşterilerle sohbet etmek ve mallarını satmak için kullanan milyonlarca küçük ve büyük işletmenin mesajlaşma ve davranışlarını ele alıyor. Bu sıralar, "işletme kimliğine bürünme yaygınlığı", "ticaret politikasını ihlal etme olasılığı" ve "işletme doğrulaması" gibi başlıklara sahip (acaba ticari sırlar ne oluyor?).

WhatsApp'ın inceleme sistemi, hatalı dili çevirisi de dahil olmak üzere pek çok sorun içeriyor. Hizmetin büyük çoğunluğu ABD dışında olmak üzere 180 ülkede kullanıcısı var. Accenture, çeşitli dilleri konuşan çalışanları işe alsa da, bazı dillerdeki kötüye kullanım şikayetlerini değerlendirmek için sitede anadili olan değerlendirici bulunmuyor. Bu, Facebook'un dil-çeviri aracını kullanması anlamına geliyor, yorumlar o kadar yanlış olabiliyor ki bazen Arapça mesajları İspanyolca olarak etiketliyor.

Konuyu hukukçulara soracağız. Çünkü kullanıcılara "mesajlarınız görünmüyor" dedikten sonra, bir nedenle mesajların açılması ve kim olduğu belirsiz insanlarca denetlenmesi, ne kadar doğru acaba?

WhatsApp'ın mesajlarınızla ne yaptığına dair daha çok detayı dipnot 4'den kendiniz de okuyabilirsiniz.


Yazarın Diğer Yazıları

Göstermelik "Ulaştırma ve Altyapı Bakanlığı Şûrası"nın ardından…

Devletin ne kadar liyakatsız insanlarla dolu olduğunu gösteren, "Şûra olmayan" daha çok "show" denilebilecek bir etkinlik gerçekleşti. 7 yıl sonra yapılan etkinliğe, malum zevat, arkalarından ceketlerini ilikleyerek koşanlar ve devlete satış yapan özel firmalar dışında katılan var mıydı?

İTÜ Rektörü’nün, yılların vakıfları, gelenekleri, girişimci gençler ile iş insanlarıyla derdi ne?

Yeni Rektör İsmail Koyuncu, İTÜ'nün geleneklerini koruyan ve bugünkü hale gelmesini sağlayan vakıfları yok etmeye uğraşıyor. Böyle bir duruma İTÜ paydaşları tepki verip engel olabilir mi? Boğaziçililer kadar çaba gösterilir mi? Sarı öküzü korurlar mı?

Hacker ve gazetecilerin, vergiden kaçanlarla savaşı

Birileri (etik hackerlar ve gazeteciler) bize bu verileri gösteriyor. Buna karşılık yapılması gereken, okuyup, geçmek midir? Kamuoyunun bu konuyu yüksek sesle konuşması ve sorması gerekmiyor mu?