WhatsApp şartnamesini neden değiştirdi, rakipleri daha mı güvenli, kullanıcılar için riskler neler?

4 Ocak Pazartesi günü dünyanın en büyük, Türkiye’nin ise en çok kullanılan dijital iletileşme uygulaması WhatsApp, kullanım kuralları ve kapalılık siyasetini 8 Şubat günü değiştireceğini duyurdu.

Son düzenleme, bir evvelki kullanım koşullarında geçen “Facebook reklam ve eserleriyle ilgili tecrübenizin iyileştirilmesi maksadıyla WhatsApp hesap bilgilerinizin Facebook’la paylaşılmamasını seçebilirsiniz” ibaresini kaldırarak, bu data paylaşımının mecburî olduğunu ima ediyor.

Aslında bu düzenleme, 2016’da fiilen gerçekleşmiş bir data paylaşım siyasetinin yasal düzenlemeler doğrultusunda kullanım şartnamesine geçirilmesinden ibaret.

Bu fiili durumun kullanıcı kontratında yazılı beyan edilmesiyle bir arada gündeme gelmesi ise bilgi mahremiyeti ve güvenliği konusunda çok büyük bir global farkındalığın oluşmasına sebep oldu.

Tesla CEO’su Elon Musk’ın 7 Ocak’taki tweetinde “Signal Kullanın” diyerek, kullanıcıları data paylaşımı açısından daha inançlı bir iletileşme uygulaması olan Signal’e yönlendirmesi de mevzuyu milletlerarası seviyede gündeme taşıdı.

Use Signal

— Elon Musk (@elonmusk) January 7, 2021

Bu tweet sonrası çok sayıda WhatsApp kullanıcısı, hesabını kapatarak Signal yahut Telegram üzere alternatif iletileşme platformlarına üye olmaya başladı.

Her iki platform da bu beklenmedik ve ağır talep sonucu hizmet vermekte zorlandıklarını belirten paylaşımlarda bulundu.

Birçok teknoloji şirketi ve bağlantı etiği uzmanı, WhatsApp’ın son kullanım kaideleri değişikliğinin baş karıştırıcı olduğunu ve kararın data güvenliği ile ilgili değerli bir kırmızı çizgiyi geçtiğini argüman etti.

Facebook ve WhatsApp ise mevcut siyaset değişikliğinin yalnızca Ağustos 2016’dan bu yana devam eden bir yürütmenin artık kullanıcı kontratına geçmesinden ibaret olduğunu, iki platform ortasında halihazırda devam eden data paylaşımında bir değişiklik olmadığını öne sürüyor.

Don’t believe what you read out there. While there have been changes related to business interactions on WhatsApp, all your personal threads remain end-to-end encrypted and no one other than yourself has access to your messages. Read more below: https://t.co/YMv4gcBszn

— David Marcus (@davidmarcus) January 10, 2021

Bu açıklama ise kullanıcıları rahatlatmaktan fazla daha da kızdırdı, WhatsApp bilgilerinin Facebook ile 5 yıla yakın bir müddettir esasen paylaşıldığını öğrenmelerine neden oldu.

WhatsApp yetkilileri ise bu paylaşım ibaresinin yaklaşık 5 yıldır kullanıcı kontratlarında bulunduğunu ve kontratın yeni bir durumu yansıtmadığında ısrarcı.

Fakat bu ibarenin açık ve net bir formda ortaya konmamasına yönelik tenkitler, kullanıcıları aldatıcı ve durumu gizleyici bir yasal ayrıntı olduğunu düşünmeye sevk ediyor.

Böylelikle WhatsApp ve onun üzerinden Facebook’a duyulan güvensizlik, dünya çapında çok sayıda kullanıcının platformdan ayrılarak öbür iletileşme uygulamalarına yönelmesine sebep oluyor.

WhatsApp neden kullanım şartnamesini değiştirdi?

Facebook, WhatsApp’ı 2014 yılında 22 milyar dolara satın aldı. WhatsApp, Ağustos 2016’dan bu yana Facebook ile giderek yaygın biçimde bilgi paylaşımı yapıyordu.

Bilgi paylaşımına başladıktan sonra WhatsApp, bir ay mühletle kullanıcılarına bu paylaşıma katılmama imkânı veren bir “opt out” müddeti tanımıştı.

Bir aylık “opt out” müddetince bilgi paylaşım uygulamasının dışında kalacağını beyan eden ayarları yapmayan her kullanıcı, otomatik olarak bilgi paylaşımına istek gösterir olarak kabul edildi ve dataları Facebook ile paylaşıldı.

Bu mühletten sonra platforma katılan herkes (1 milyarı aşkın yeni kullanıcı) bu paylaşım müsaadesini otomatik olarak onayladıklarının ön kabulüyle WhatsApp’ı indirip kullanabildi.

Ağustos 2016’daki bu “opt out” müddetinde WhatsApp ayarlarından uygulamadaki değişikliği reddetmeyen ve Eylül 2016’dan sonra bu platforma geçen herkesin dataları zati Facebook ile paylaşılıyordu.

Her ne kadar Facebook birinci satın alma devrinde WhatsApp’ı bağımsız ve inançlı bir uygulama olarak muhafaza kelamı verse de, Facebook ve WhatsApp kurucuları ortasında giderek büyüyen bir mahremiyet tartışması patlak verdi.

Tartışmaların odağında platformun kurucuları Brian Acton ve Jan Koum’un, WhatsApp’ın inançlı ve gönül rahatlığıyla kullanılabilecek bir iletileşme uygulaması olarak kalması istekleri vardı. Meğer Facebook yöneticileri Mark Zuckerberg ve Sheryl Sandberg, WhatsApp’ın daha geniş kullanıcı profilinin reklam gelirleri açısından daha yararlı olduğunu argüman etmişti.

Bu tartışmalar WhatsApp’ın satın alınma sürecinde arttı. Platformun kurucularından Brian Acton şirketten ayrıldı ve Temmuz 2014’te daha inançlı bir irtibat platformu Signal’i kurdu.

WhatsApp’ın bir öteki kurucusu Jan Koum, Facebook ile bir orta yol bulmaya çalıştı fakat o da Nisan 2018’de istifa etti.

Tartışmanın temelinde yüksek güvenliğe sahip uçtan uca şifreli iletileşme uygulamalarının nasıl fiyatsız kalmaya devam edebileceği sorunu var.

WhatsApp ve gibisi uygulamalar hem üst seviye şifreleme teknolojilerine sahip olup hem milyonlarca kullanıcının datalarını yönlendirip, hem de kesintisiz hizmet verebilmek için çok masraflı bir operasyon sürdürmek zorundalar. Bu uygulamaların parasız olmaya devam edebilmesi için platformların direkt kullanıcılardan fiyat almayıp, farklı yollardan gelir kazanma yolları geliştirmesi gerekiyor.

Threema üzere fiyatlı iletileşme uygulamaları ise fazla talep görmüyor ve kullanıcılar her durumda fiyatsız uygulamaları tercih ediyor.

Bu sorun yalnızca WhatsApp için değil, toplumsal medya platformları olan Facebook, Instagram ve Twitter üzere uygulamalar için de geçerli. Bu büyük platformları ücretsiz bir biçimde ayakta tutabilmek için yöneticiler, kullanıcı datalarını işleyerek reklam optimizasyonu yapmakta ve reklam veren şirketlerin en hakikat alıcıya ulaşmalarını sağlamakta.

Çünkü dijital reklamcılık, son yıllarda o kadar büyük ve monopolleşmiş bir pazar haline geldi ki, yalnızca Facebook ve Google’ın üst şirketi Alphabet bile Amerikan dijital reklam harcama pazar hissesinin yarısından fazlasını denetim eder oldular. Her iki şirket de bu alanda baskın durumlarını muhafazaya çalışıyor.

WhatsApp kullanıcılar için nasıl bir risk oluşturuyor?

Sorunun temelinde argüman edildiği üzere WhatsApp’ın yahut Facebook’un iletilerinizi okuması üzere bir mümkünlük yatmıyor. Zira WhatsApp, “uçtan uca şifreleme” özelliğine sahip. Yani bildirilerin içeriğini yalnızca gönderici ve alıcı görebiliyor.

Son tartışmaların asıl odağı kullanıcıların “meta-veri”lerinin, Facebook ve temaslı şirketleri ile reklam ve hizmet optimizasyonu için paylaşılması.

WhatsApp’ın Facebook ve kontaklı şirketler olan Facebook Payments, Onavo, Facebook Technologies ve CrowdTangle ile bu meta-veri paylaşım kurallarını ayrıntılı bir biçimde kendi sitesinde tanımlanmakta.

Facebook ile paylaşılan meta-veriler WhatsApp tarafından şu biçimde tanımlanıyor:

Hesap bilgileri
WhatsApp’taki aktivitelerin müddeti, vakti ve sıklığı
Telefon rehberindeki irtibat bilgileri
WhatsApp Hisse üzere ödeme hizmetleri kullanan şahısların ödeme, ticaret ve hesap bilgileri
WhatsApp Müşteri Hizmetleri ile irtibata geçerken kullanılan e-posta adresleri
Uygulamaya giriş ve çıkış bilgileri, kusur ve sistem sorunu bilgileri
WhatsApp’ın kullanıldığı aygıt, taşınabilir servis sağlayıcı, IP adresi, ve aygıtın bulunduğu milletlerarası vakit dilmi
Lokasyon-temelli bilgiler: Lokasyon dataları kapatılsa bile IP adresi ve telefon numarası alan kodu üzere bilgiler kullanılarak lokasyon bilgilerinin (şehir-ülke gibi) çıkarsama yapılması ve depolanması
Çerezler: WhatsApp Web üzere bilgisayar-temelli uygulamalar kullanılırken lisan tercihleri, giriş sağlanan bilgisayar bilgileri üzere bilgileri çıkarsamaya yarayan paket bilgiler.

Bu kadar geniş yelpazedeki bilginin Facebook ve ilişkili şirketlerle paylaşılması, kullanıcının açık ve kâfi olarak bilgilendirilmeden yapıldığı argümanıyla birleştiğinde ferdî bilgilerin korunması ile ilgili hukuksal ve etik bir dizi sorun ortaya çıkıyor.

Çünkü Mart 2018’de patlak veren Cambridge Analytica skandalı, yeniden Facebook’un üçüncü parti uygulamalarıyla 87 milyon kullanıcısının verisini paylaşması sonucunda baş göstermişti.

Bu skandaldan evvel mevzuyla ilgili en büyük itiraz, 2017’de Avrupa Birliği’nden (AB) gelmişti.

AB bölgesinde açık kullanıcı isteği olmadan yapılan bu tip bilgi paylaşımının önüne geçmek için müzakereler düzenlenmiş ve sonucunda WhatsApp Ireland Limited isimli şirket Avrupa Birliği ismine başka bir servis sağlayıcı olarak belirlenmişti.

AB Genel Bilgi Güvenliği Regülasyonu (GDPR) çerçevesinde reklam hizmetleri için bu tip bilgi paylaşımı dünyanın geri kalanından farklı olarak AB bölgesi genelinde iptal ettirilmişti.

WhatsApp’ın alternatifleri neler olabilir?

Her ne kadar WhatsApp ‘ın yeni siyaseti uzun vakittir devam eden fiili durumun ilanından öteye geçmese de son gelişmeler, birçok kullanıcıyı daha inançlı uygulamaları aramaya yönlendirdi.

Bu bağlamda yeni bir iletileşme uygulaması seçilirken göz önünde bulundurulması gereken iki hususu hatırlamak gerek.

Bunların birincisi, ‘uçtan uca şifreleme’ (end-to-end encryption, yani iletisi gönderen ve alan kişi dışında kimsenin görememesi) özelliği.

İkincisi de uygulamaların hangi kullanıcı bilgilerini depoladığı ve üçüncü parti hizmetlerle paylaştığı. Bu iki bahiste da öne çıkan uygulamaların başında Signal ve Telegram geliyor.

WhatsApp, iki kıymetli fiyatsız rakibi Signal ve Telegram üzere güçlü bir uçtan uca şifreleme özelliğine sahip. Fakat WhatsApp’ta direkt bildiriler şifrelense bile WhatsApp kendi sunucularında depoladığı meta-veriler (gönderici, alıcı, gönderi vakti ve gönderen lokasyonu) şifrelenmiyor.

Dahası WhatsApp’ın bu meta-verileri de reklam ve hizmet optimizasyonu için üçüncü şahısların kullanımına açtığı daha evvel ortaya çıkmıştı. Bu, WhatsApp’ın güvenilirliği ile ilgili uzun vakittir dal tarafından eleştirilen bir nokta.

Signal’in artıları neler?

Signal ise WhatsApp ‘ın uçtan uca şifreleme protokolünü daha ileri götürerek meta-verileri de şifreliyor. Böylece bu tip dataların üçüncü şahıslara satılması yahut bilgilere diğer kanallar yoluyla erişilmesi -Signal dahil – mümkün değil.

Signal’in WhatsApp’a kıyasla en kıymetli avantajı ise daha ileri düzeyde güvenlik özelliklerine sahip olması.

Bunların başında “kaybolan mesajlar” özelliği geliyor. Bu özellik gönderilen ve alınan iletilerin kullanıcı tarafından belirlenen süreyi geçince yahut okununca otomatik olarak silinmesini sağlıyor.

Bunun yanında Signal “tek gösterimlik” medya (video, fotoğraf, ses) bildirileriyle bu tip bilgilerin görüldükten sonra otomatik silinmesini muhtemel kılıyor.

Ayrıyeten Signal’in “açık kaynak kodlu” olması ve programcıların bu uygulamanın tam olarak dataları nasıl işlediğini çok net bir biçimde görebilmeleri de bu platformu kapalı-kod uygulamasına sahip WhatsApp’a kıyasla daha inançlı kılıyor.

Signal bilgileri kendi sunucuları yahut diğer bir bulut depolama alanında yedeklenmiyor. Bildiriler yalnızca kullanıcının telefonunda depolanıyor. Bu da gönderici ve alıcı dışında kimsenin iletilere erişememesini sağlıyor.

Bir başka alternatif: Telegram

Bir öteki kıymetli “uçtan uca şifreleme” özelliğine sahip uygulama ise Telegram.

Her ne kadar WhatsApp ‘a kıyasla daha az kullanıcı meta-verisi kullansa da Telegram, Signal’den biraz daha fazla güvenlik açığına sahip.

Bunların en kıymetlisi Telegram’da “gizli sohbet” özelliği kullanılmadığı sürece uçtan uca şifreleme olmaması.

“Gizli sohbet” uygulaması lakin iki kişi ortasında yapılabiliyor ve WhatsApp ‘takine misal çok kullanıcılı kümelerde uygulanamıyor.

Fakat “gizli sohbet” özelliği kullanılmadığında bildiriler Telegram sunucularında şifrelenip tekrar tıpkı sunucularda çözümlenmesinden sonra alıcıya gönderiliyor.

Şifreleme anahtarları Telegram’da depolandığı için teorik olarak “gizli sohbet” özelliği dışındaki bildirilere bu platformun erişimi olabilir.

Bu hususa dönük Telegram’ın savunması, “ancak birden fazla ülkenin güvenlik kurumlarından talep geldiği takdirde” bu tip bildirilere erişim olabileceği tarafında.

Bunun yanı sıra Telegram, bugüne kadar üçüncü parti uygulamalara ve güvenlik güçlerine asla bilgi paylaşmadığını da ekliyor.

Lakin Telegram bildirileri şifrelemek için MTProto2.0 isimli kendi kapalı-kod çözümleme protokolünü kullanıyor.

Bu şifreleme protokolü kapalı-kod olduğu için bağımsız kriptografik tahlilinin yapılması mümkün değil. Bu da Telegram’ın dal içerisinde Signal’e kıyasla daha “muğlak” kabul edilmesine yol açıyor.

Yerli ‘Bip’ ve ‘Yaay’ alternatiflerine geçilebilir mi?

WhatsApp ile ilgili siyaset değişikliği duyurusunu takiben Türkiye’de iki yerli uygulama öne çıktı: Bunlar Turkcell’in Bip ve TürkTelekom çatısı altında bulunan TT Ventures’un Yaay isimli iki iletileşme platformu.

Çok bahsedilmeyen “Laff” ve “Dedi” isimli uygulamalar da bu seçeneklere dahil edilebilir.

Turkcell Bip, memleketler arası rakiplerine kıyasla çok daha fazla kullanıcı bilgisi işleyen bir platform olduğu için Signal, Telegram ve WhatsApp’ın gerisinde kalıyor.

Bip’in kullanıcıdan istediği kimlik ve bağlantı bilgileri, telefon numarası, irtibatlar listesi, kullanılan aygıt bilgileri, lokasyon ve multimedya dataları, bu platformu WhatsApp’a kıyasla bile daha fazla şahsî ve iletileşme verisi kullanan bir uygulama haline getiriyor.

Bip’in kullanıcı kontratında yer alan “BiP, hukuka uygun olması durumunda, Ferdî Dataları pazarlama ve başka iş ortaklarına, ayrıyeten BiP yahut üçüncü şahıslarca ilginizi çekebileceği düşünülen farklı eser yahut hizmetleri size sunmak isteyen itinayla seçilmiş öteki üçüncü şahıslara iletebilir” ibaresi, bu noktada WhatsApp ‘tan şahsî meta-verilerin üçüncü partilerle paylaşımı sebebiyle ayrılan kullanıcılar için tercih sebebi olacak bir uygulama izlenimi vermiyor.

Tıpkı halde Yaay uygulamasının 3.15 hususunun a ve b bentlerine istinaden kullanıcı bilgilerinin “ticari emellerle ürün/hizmet sunulması, reklam, gayeli reklam, kampanya, teklif, ikram, promosyon, tanıtım, kutlama, ödül, çekiliş üzere pazarlama faaliyetleri ile eser ve hizmetlerin çeşitlendirilmesi, performans ölçüm/derecelendirme süreçleri, iş geliştirme ve irtibat faaliyetleri kapsamında kullanılabileceğini” belirtiyor.

Bu da WhatsApp’la ilgili meta-veri paylaşımı sorunlarından kaçan kullanıcılar için daha iyi bir mahremiyet ve bilgi güvenliği tahlili sunmuyor.

Yerli iletileşme uygulamalarından Bilgi Teknolojileri Kurumu’nun sunduğu “Dedi” uygulaması bu bahiste daha iyi bir imaj sergiliyor.

“Dedi” uygulamasının ‘Sıkça Sorulan Sorular’ kısmında uygulamanın alanın en iyi örneği olan Signal üzerinde geliştirildiği ve hiçbir kullanıcı verisini kayıt altına almadığı belirtiliyor.

İletiler transfer maksatlı sunucularda tutulduktan sonra alıcıya iadesi gerçekleştiğinde sistemden siliniyor ve yedeklemesi alınmıyor.

Bip ve Yaay’e kıyasla Dedi kodları açık kaynak olduğu için iletilerin nasıl şifrelendiği ve transfer edildiği, kullanıcı bilgilerini nasıl işlediği bağımsız programcılar tarafından da denetlenebiliyor.

Bu nedenle yerli uygulama tercih edenler için “Dedi” rakiplerine kıyasla bilgi güvenliği konusunda daha tatmin edici bir data sürece protokolü sunuyor.

Cumhuriyet