Facebook Başkasının Gözünden

Facebbok kullanıcıları için, arkadaş olmadıkları profile kişilerin gözünden bakmayı sağlayan yeni bir kontrol aracı getireceğini açıkladı. Bununla birlikte, herkese açık profillerde de görüntülenecek olan bilgilerin yönetiminin de kolaylaşacak.

Profili Başkasının Gözünden Gör Özelliği Geri Geliyor

Facebook, profil görüntülenmeleri ve yönetimleri için üzerinde çalıştıkları yeni kontrol panelini Twitter hesabından yaptığı bir paylaşımla duyurdu. Hatırlarsanız Facebook ilk kullanıma açıldığı dönemlerde böyle bir kontrol paneline sahipti, ancak senesinde yaşanan güvenlik açıklarından dolayı bu özelliğin kapatılması kararı alınmıştı. Dünyanın en büyük sosyal ağı olan Facebook o dönemde 90 milyon kullanıcıya sahipti ve kullanıcılarının hesap güvenliğinden emin olmak için, uygulamadaki hesaplara yeniden giriş yapmalarını istemişi.

Facebook Hikayeler Günlük Milyon Kullanıcıya Ulaştı

Facebook, Mobil'de Kişi Profillerini Değiştiriyor!

Facebook, yaptığı açıklamada gerekli güvenlik kontrollerinin getirildiğini açıkladı. Yapılan güvenlik iyileştirmeleri ve kontrollerinden sonra, kullanıcılar için yeniden profili bir başkasının gözünden görebilmeyi sağlayacak olan kontrol panelinin yeniden aktif olacağını açıklayan Facebook bu panelin kullanıcılara ne zaman sunulacağı hakkında ise net bir açıklama yapmadı.

“Belirli kişilerin gözünden gör” seçeneğinden daha aktif olarak kullanılan bu özelliği yeniden getireceğini açıklayan Facebook konuyla ilgili güvenlik sorunlarının tamamen önüne geçmeden bu paneli kullanıcılara açmayacak gibi duruyor. Henüz profili arkadaş olmayan bir kişinin gözünden görme eklentisinin değerlendirmesini tamamlamamış olan Facebook’un bu konuda aceleci davranmak istemediğini söylemek yanlış olmaz.

Son dönemlerde yaşadığı güvenlik açıklarında iyileştirme yaparak kullanıcılara sevilen özellikleri yeniden sunan Facebook’un ilerleyen zamanlarda farklı özellikleri yeniden güncelleyerek kullanıcıların karşısına da çıkarabileceğini söyleyebiliriz.

📰 Bizi Google News'den takip edin

Facebook Büyümeye Devam Ediyor

Facebook hakkında Kişisel Verileri Koruma Kurulunun tarih ve / sayılı Karar Özeti

Karar Tarihi  : 18/09/
Karar No       : /
Konu Özeti    : Facebook “Başkasının Gözünden Gör” uygulaması üzerinden gerçekleşen veri ihlali hakkında Karar

Facebook temsilcisi tarafından Kurumumuza gönderilen tarihli e-posta ile Facebook sisteminin birbirinden farklı üç özelliği olan “başkasının gözünden gör”, “doğum günü kutlayıcı” ve “video yükleyicinin” etkileşimi sonucunda oluşan bir hatadan kaynaklanan veri ihlaline ilişkin bilgi verilmiştir. Facebook temsilcisinin göndermiş olduğu e-postada özetle;

• Facebook Inc. nezdinde Eylül tarihleri arasında access token (erişim jetonları) kullanılmak suretiyle Facebook platformları üzerinden çeşitli Facebook hesabı bilgilerinin ele geçirildiği,
• 25 Eylül tarihinde saldırganların erişim jetonları elde etmek için sistemleri üzerindeki üç hata arasındaki kompleks etkileşimden doğan bir zafiyetten faydalandıklarının tespit edildiği,
• Erişim jetonlarının, aynı dijital bir anahtar gibi, Facebook platformları üzerinden çeşitli bilgilerin elde edilebilmesi için kullanıldığı,
• İncelemeler sonucunda, ilgili zafiyetin Facebook’un kodu içerisinde 21 Temmuz tarihinde meydana geldiğinin tespit edildiği, ancak erişim jetonlarına yetkisiz olarak erişilmesine sebep olan bu saldırının 14 Eylül tarihinde başladığı kanaatini taşıdıkları, zira (25 Eylül tarihinde gerçekleştirilen incelemeler kapsamında) beklentinin üzerinde bir “View As” (Başkasının Gözünden Gör) trafiği artışının bu tarihte başladığının tespit edildiği,
• 28 Eylül tarihinde kod üzerindeki zafiyetin düzeltilerek saldırının durdurulduğu, bununla birlikte ihlal hakkındaki incelemelerin devam ettiği,
• İlgili erişim jetonunun ise sayfanın HTML kodu üzerinden görüntülenebildiği, saldırganların bu erişim jetonunu buradan elde etikleri, daha sonra saldırganların bu erişim jetonunu kullanarak bir diğer hesaba eriştikleri ve aynı adımları izleyerek bu hesapla ilişkili olan diğer hesapların erişim jetonlarını ele geçirdikleri,

ifadelerine yer verilmiştir.

Facebook temsilcisi tarafından gönderilen tarihli e-postada bilgilendirmenin takip eden hafta içinde yazılı olarak Kurula arz edileceğinin ifade edilmesine rağmen sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (5) numaralı fıkrasında yer alan “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir….” hükmü uyarınca Facebook tarafından Kurul’a herhangi bir bildirim yapılmamıştır. Bunun üzerine Kurul, Kanun’un 15 nci maddesinin (1) numaralı fıkrasında yer alan “Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.” hükmü kapsamında resen inceleme yapma kararı almıştır.

Kurul tarafından yapılan inceleme neticesinde,

1. Veri ihlalinin, Facebook sisteminin birbirinden farklı üç özelliği olan Başkasının Gözünden Gör modu, Doğum Günü Kutlayıcı ve Video Yükleyicinin etkileşimi sonucunda oluşan bir zafiyetten kaynaklandığı, bu durumun bir kullanıcının kendi profilini Başkasının Gözünden Gör modunda görüntülediğinde;

            a. Gelen ekranda kullanıcının doğum gününün görünür olduğu arkadaşlarına doğum günü mesajı gönderme opsiyonunun                 verildiği,
            b. Doğum günü mesajı gönderme opsiyonunun Video Yükleyici ile kullanıldığı takdirde, Başkasının Gözünden Gör modu                   için video yükleyicisinin bir erişim jetonu ürettiği,
            c. Bu erişim jetonunun doğum günü mesajının gönderileceği kullanıcının arkadaşına ait olduğu,
            d. Üretilen bu erişim jetonu sonucunda karşı tarafın profil bilgilerini elde etmek üzere kullanılabildiği,

göz önünde bulundurulduğunda, bu tip hataların test aşamasında tespit edilerek değişiklik yayına alınmadan evvel düzeltilmesi gerektiği dikkate alınarak Şirketin bahse konu veri ihlali kapsamında Kanunun 12 inci maddesinin (1) numaralı fıkrasında belirtilen teknik ve idari tedbirleri almakta kusurlu olduğu,

       2. İlgili zafiyetin 21 Temmuz tarihinden 27 Eylül tarihine kadar yaklaşık 14 ay boyunca devam etmesinin gerekli denetim ve kontrollerin yapılmadığının göstergesi olduğu, bu durumun ise sayılı Kanunun 12 inci maddesinin (1) ve (3) numaralı fıkralarında belirtilen tedbirlerin alınması hususunda Facebook’un kusurlu olduğunu gösterdiği,

       3. İlgili zafiyetten kaynaklı olarak ihlalin 14 - 27 Eylül tarihleri arasında 13 gün boyunca gerçekleştiği Şirket tarafından belirtilmiş olup,

            a. 27 Eylül tarihinde güvenlik açığına yönelik yama geliştirildiği ancak 25 Eylül tarihinde Facebook tarafından                     ihlalin tespit edilmesine rağmen 2 gün boyunca ihlalin devam ettiği,
            b. 28 Eylül tarihinde geçici olarak “Başkasının Gözünden Gör” özelliğinin bütünüyle devre dışı bırakıldığı, bahse                         konu devre dışı bırakma işleminin tespitten itibaren 3 gün sonra yapılmış olduğu,
            c. Potansiyel olarak etkilendikleri belirlenen hesaplara ait erişim jetonlarının (yaklaşık 90 milyon) 27 Eylül tarihinden                   başlayarak 29 Eylül tarihine kadar devre dışı bırakıldığı,
            d. 14 Eylül tarihinde başlamış olan olağandışı bir aktivite sonrası ihlalin tespit edilmiş olduğu, olağandışı aktivitenin                    olmadığı 21 Temmuz - 14 Eylül tarihleri arasında da veri ihlalinin gerçekleşmiş olabileceği

göz önüne alındığında, ihlale zamanında müdahale edilmediği ve bu konuda teknik ve idari tedbirlerin alınmasında eksikliklerin göstergesi olduğu, bu durumun ise veri sorumlusunun Kanunun 12 inci maddesinin (1) numaralı fıkrasında belirtilen teknik ve idari tedbirleri almakta kusurlu olduğunu gösterdiği,

       4. İhlalinden etkilenen ve Facebook’u Türkçe olarak kullanan kullanıcıdan;

• kullanıcının (Grup 1) temel profil bilgilerine (isim, telefon numarası veya eposta bilgileri) ulaşıldığı,
• kullanıcı (Grup 2) için yukarıda yer alan temel profil bilgilerine ek olarak, aşağıda yer alan bilgilere de erişilmiş olunabileceği (ilgili alanlarda kullanıcı tarafından bilgi sağlanmış olması şartıyla);

o Kullanıcı adı, Ad [profilinde kullanıcı tarafından belirlenmiş olan takma ad (eğer mevcutsa)]
o Cinsiyet [kullanıcı tarafından profilde belirlendiği üzere]
o Yerel ayarlar [kullanıcı tarafından seçilen dil]
o İlişki durumu [kullanıcı tarafından profilde belirlendiği üzere]
o Din bilgisi [kullanıcı tarafından profilde tanımlandığı üzere]
o Memleket [kullanıcı tarafından profilde belirlendiği üzere]
o Konum [yaşanılan şehir, kullanıcı tarafından profilde belirlendiği üzere]
o Doğum günü [kullanıcı tarafından profilde belirlendiği üzere]
o Cihazlar [kullanıcı tarafından Facebook’a erişmek için kullanılan cihazlar – alanlar işletim sistemi (örn. iOS) ve donanım (örn.         iPhone) bilgilerini içermektedir]
o Eğitim geçmişi [kullanıcı tarafından profilde belirlendiği üzere]
o İş geçmişi [kullanıcı tarafından profilde belirlendiği üzere]
o Web sitesi [kullanıcı tarafından profilinde yer alan web sitesi alanına girilmiş olan sayfa adları]
o Kimlik doğrulama [bu, Facebook’un ilgili kullanıcının söylediği kişi olduğuna dair kuvvetli göstergelere sahip olduğunu gösteren      bir işareti ifade eder]
o Kullanıcının son zamanlarda bulunduğunu bildirdiği yerlerin listesi [bu yerler gönderilerin içinde geçen yer isimlerinden                    belirlenmektedir (önemli bir yapı ya da bir restoran gibi) ve bir cihazdan sağlanan konum bilgisi değildir]
o Facebook’ta son zamanlarda yapılan aramalar
o Kullanıcının takip ettiği ’e kadar başlıca hesaplar

• kullanıcının (Grup 3) ise ilk iki grubun erişilen veri türlerine ilave olarak profil sayfalarındaki verilerinin de riske maruz kaldığı,

göz önünde bulundurulduğunda, Facebook kullanıcılarına ait kişisel verileri ile özel nitelikli kişisel verilerine bu zafiyeti kullanan kişiler tarafından erişilebildiği, bu durumun “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/ tarihli ve /10 sayılı Kararının (3) numaralı maddesine ve Kanunun 12 inci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği,

       5. İhlalden etkilenen kişilere ait çok sayıda kişisel verilerin elde edildiği dikkate alındığında, bu verilere yetkisiz bir şekilde                  erişenler tarafından ilgili kişiler hakkında profilleme yapılabileceği ve bu faaliyetlerin bu kişilerin aleyhine bir sonuç                          oluşturabileceği,

       6. Veri ihlali hakkında Facebook tarafından Kurum’a bildirim yapılmadığı,
           tespit edilmiş olup, bu kapsamda

• Şirketin bahse konu veri ihlali kapsamında Kanunun 12 inci maddesi (1) numaralı fıkrasında belirtilen teknik ve idari tedbirlerde kusurunun bulunması nedeniyle, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca Şirket hakkında TL,
• Söz konusu veri ihlalinin 25 Eylül tarihinde tespit edilmesine rağmen Kanunun 12 nci maddesinin (5) numaralı fıkrası gereğince veri ihlali hakkında Kuruma bildirim yapılmadığı hususu da dikkate alınarak, Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında TL,

idari para cezası uygulanmasına,

oy birliğiyle karar verilmiştir.

KAYNAK: KİŞİSEL VERİLERİ KORUMA KURUMU RESMİ WEB SİTESİ