WhatsApp zımnilik kontratını neden değiştirdi?

Son düzenleme, bir evvelki kullanım kaidelerinde geçen “Facebook reklam ve eserleriyle ilgili tecrübenizin güzelleştirilmesi maksadıyla WhatsApp hesap bilgilerinizin Facebook’la paylaşılmamasını seçebilirsiniz” ibaresini kaldırarak, bu data paylaşımının mecburî olduğunu ima ediyor.

Aslında bu düzenleme, 2016’da fiilen gerçekleşmiş bir bilgi paylaşım siyasetinin yasal düzenlemeler doğrultusunda kullanım şartnamesine geçirilmesinden ibaret.

Bu fiili durumun kullanıcı kontratında yazılı beyan edilmesiyle birlikte gündeme gelmesi ise bilgi mahremiyeti ve güvenliği konusunda çok büyük bir global farkındalığın oluşmasına sebep oldu.

Tesla CEO’su Elon Musk’ın 7 Ocak’taki tweetinde “Signal Kullanın” diyerek, kullanıcıları bilgi paylaşımı açısından daha inançlı bir iletileşme uygulaması olan Signal’e yönlendirmesi de mevzuyu memleketler arası seviyede gündeme taşıdı.

Bu tweet sonrası çok sayıda WhatsApp kullanıcısı, hesabını kapatarak Signal yahut Telegram üzere alternatif iletileşme platformlarına üye olmaya başladı.

Her iki platform da bu beklenmedik ve ağır talep sonucu hizmet vermekte zorlandıklarını belirten paylaşımlarda bulundu.

Birçok teknoloji şirketi ve irtibat etiği uzmanı, WhatsApp’ın son kullanım kuralları değişikliğinin baş karıştırıcı olduğunu ve kararın bilgi güvenliği ile ilgili kıymetli bir kırmızı çizgiyi geçtiğini sav etti.

Facebook ve WhatsApp ise mevcut siyaset değişikliğinin yalnızca Ağustos 2016’dan bu yana devam eden bir yürütmenin artık kullanıcı mukavelesine geçmesinden ibaret olduğunu, iki platform ortasında halihazırda devam eden bilgi paylaşımında bir değişiklik olmadığını öne sürüyor.

Bu açıklama ise kullanıcıları rahatlatmaktan çok daha da kızdırdı, WhatsApp bilgilerinin Facebook ile 5 yıla yakın bir müddettir esasen paylaşıldığını öğrenmelerine neden oldu.

WhatsApp yetkilileri ise bu paylaşım ibaresinin yaklaşık 5 yıldır kullanıcı kontratlarında bulunduğunu ve kontratın yeni bir durumu yansıtmadığında ısrarcı.

Fakat bu ibarenin açık ve net bir formda ortaya konmamasına yönelik tenkitler, kullanıcıları aldatıcı ve durumu gizleyici bir yasal ayrıntı olduğunu düşünmeye sevk ediyor.

Böylelikle WhatsApp ve onun üzerinden Facebook’a duyulan güvensizlik, dünya çapında çok sayıda kullanıcının platformdan ayrılarak başka iletileşme uygulamalarına yönelmesine sebep oluyor.

WhatsApp neden kullanım şartnamesini değiştirdi?

Facebook, WhatsApp’ı 2014 yılında 22 milyar dolara satın aldı. WhatsApp, Ağustos 2016’dan bu yana Facebook ile giderek yaygın halde bilgi paylaşımı yapıyordu.

Bilgi paylaşımına başladıktan sonra WhatsApp, bir ay müddetle kullanıcılarına bu paylaşıma katılmama imkânı veren bir “opt out” mühleti tanımıştı.

Bir aylık “opt out” mühletince bilgi paylaşım uygulamasının dışında kalacağını beyan eden ayarları yapmayan her kullanıcı, otomatik olarak data paylaşımına istek gösterir olarak kabul edildi ve bilgileri Facebook ile paylaşıldı.

Bu mühletten sonra platforma katılan herkes (1 milyarı aşkın yeni kullanıcı) bu paylaşım müsaadesini otomatik olarak onayladıklarının ön kabulüyle WhatsApp’ı indirip kullanabildi.

Ağustos 2016’daki bu “opt out” müddetinde WhatsApp ayarlarından uygulamadaki değişikliği reddetmeyen ve Eylül 2016’dan sonra bu platforma geçen herkesin dataları aslında Facebook ile paylaşılıyordu.

Her ne kadar Facebook birinci satın alma devrinde WhatsApp’ı bağımsız ve inançlı bir uygulama olarak muhafaza kelamı verse de, Facebook ve WhatsApp kurucuları ortasında giderek büyüyen bir mahremiyet tartışması patlak verdi.

Tartışmaların odağında platformun kurucuları Brian Acton ve Jan Koum’un, WhatsApp’ın inançlı ve gönül rahatlığıyla kullanılabilecek bir iletileşme uygulaması olarak kalması istekleri vardı. Halbuki Facebook yöneticileri Mark Zuckerberg ve Sheryl Sandberg, WhatsApp’ın daha geniş kullanıcı profilinin reklam gelirleri açısından daha yararlı olduğunu tez etmişti.

Bu tartışmalar WhatsApp’ın satın alınma sürecinde arttı. Platformun kurucularından Brian Acton şirketten ayrıldı ve Temmuz 2014’te daha inançlı bir bağlantı platformu Signal’i kurdu.

WhatsApp’ın bir öbür kurucusu Jan Koum, Facebook ile bir orta yol bulmaya çalıştı lakin o da Nisan 2018’de istifa etti.

Tartışmanın temelinde yüksek güvenliğe sahip uçtan uca şifreli iletileşme uygulamalarının nasıl fiyatsız kalmaya devam edebileceği sorunu var.

WhatsApp ve gibisi uygulamalar hem üst seviye şifreleme teknolojilerine sahip olup hem milyonlarca kullanıcının bilgilerini yönlendirip, hem de kesintisiz hizmet verebilmek için çok masraflı bir operasyon sürdürmek zorundalar. Bu uygulamaların ücretsiz olmaya devam edebilmesi için platformların direkt kullanıcılardan fiyat almayıp, farklı yollardan gelir kazanma yolları geliştirmesi gerekiyor.

Threema üzere fiyatlı iletileşme uygulamaları ise fazla talep görmüyor ve kullanıcılar her durumda fiyatsız uygulamaları tercih ediyor.

Bu sorun yalnızca WhatsApp için değil, toplumsal medya platformları olan Facebook, Instagram ve Twitter üzere uygulamalar için de geçerli. Bu büyük platformları parasız bir biçimde ayakta tutabilmek için yöneticiler, kullanıcı datalarını işleyerek reklam optimizasyonu yapmakta ve reklam veren şirketlerin en hakikat alıcıya ulaşmalarını sağlamakta.

Çünkü dijital reklamcılık, son yıllarda o kadar büyük ve monopolleşmiş bir pazar haline geldi ki, yalnızca Facebook ve Google’ın üst şirketi Alphabet bile Amerikan dijital reklam harcama pazar hissesinin yarısından fazlasını denetim eder oldular. Her iki şirket de bu alanda baskın durumlarını muhafazaya çalışıyor.

WhatsApp kullanıcılar için nasıl bir risk oluşturuyor?
Sorunun temelinde sav edildiği üzere WhatsApp’ın yahut Facebook’un iletilerinizi okuması üzere bir mümkünlük yatmıyor. Zira WhatsApp, “uçtan uca şifreleme” özelliğine sahip. Yani iletilerin içeriğini yalnızca gönderici ve alıcı görebiliyor.

Son tartışmaların asıl odağı kullanıcıların “meta-veri”lerinin, Facebook ve ilişkili şirketleri ile reklam ve hizmet optimizasyonu için paylaşılması.

WhatsApp’ın Facebook ve irtibatlı şirketler olan Facebook Payments, Onavo, Facebook Technologies ve CrowdTangle ile bu meta-veri paylaşım kurallarını ayrıntılı bir halde kendi sitesinde tanımlanmakta.

Facebook ile paylaşılan meta-veriler WhatsApp tarafından şu formda tanımlanıyor:

Hesap bilgileri

WhatsApp’taki aktivitelerin müddeti, vakti ve sıklığı

Telefon rehberindeki irtibat bilgileri

WhatsApp Hisse üzere ödeme hizmetleri kullanan bireylerin ödeme, ticaret ve hesap bilgileri

WhatsApp Müşteri Hizmetleri ile irtibata geçerken kullanılan e-posta adresleri

Uygulamaya giriş ve çıkış bilgileri, kusur ve sistem sorunu bilgileri

WhatsApp’ın kullanıldığı aygıt, taşınabilir servis sağlayıcı, IP adresi, ve aygıtın bulunduğu milletlerarası vakit dilimi

Lokasyon-temelli bilgiler: Lokasyon dataları kapatılsa bile IP adresi ve telefon numarası alan kodu üzere bilgiler kullanılarak lokasyon bilgilerinin (şehir-ülke gibi) çıkarsama yapılması ve depolanması

Çerezler: WhatsApp Web üzere bilgisayar-temelli uygulamalar kullanılırken lisan tercihleri, giriş sağlanan bilgisayar bilgileri üzere bilgileri çıkarsamaya yarayan paket bilgiler.

Bu kadar geniş yelpazedeki datanın Facebook ve ilişkili şirketlerle paylaşılması, kullanıcının açık ve kâfi olarak bilgilendirilmeden yapıldığı savıyla birleştiğinde şahsî dataların korunması ile ilgili hukuksal ve etik bir dizi sorun ortaya çıkıyor.

Çünkü Mart 2018’de patlak veren Cambridge Analytica skandalı, yeniden Facebook’un üçüncü parti uygulamalarıyla 87 milyon kullanıcısının verisini paylaşması sonucunda baş göstermişti.

Bu skandaldan evvel bahisle ilgili en büyük itiraz, 2017’de Avrupa Birliği’nden (AB) gelmişti.

AB bölgesinde açık kullanıcı isteği olmadan yapılan bu tip bilgi paylaşımının önüne geçmek için müzakereler düzenlenmiş ve sonucunda WhatsApp Ireland Limited isimli şirket Avrupa Birliği ismine başka bir servis sağlayıcı olarak belirlenmişti.

AB Genel Bilgi Güvenliği Regülasyonu (GDPR) çerçevesinde reklam hizmetleri için bu tip bilgi paylaşımı dünyanın geri kalanından farklı olarak AB bölgesi genelinde iptal ettirilmişti.

WhatsApp’ın alternatifleri neler olabilir?

Her ne kadar WhatsApp ‘ın yeni siyaseti uzun vakittir devam eden fiili durumun ilanından öteye geçmese de son gelişmeler, birçok kullanıcıyı daha inançlı uygulamaları aramaya yönlendirdi.

Bu bağlamda yeni bir iletileşme uygulaması seçilirken göz önünde bulundurulması gereken iki hususu hatırlamak gerek.

Bunların birincisi, ‘uçtan uca şifreleme’ (end-to-end encryption, yani iletisi gönderen ve alan kişi dışında kimsenin görememesi) özelliği.

İkincisi de uygulamaların hangi kullanıcı bilgilerini depoladığı ve üçüncü parti hizmetlerle paylaştığı. Bu iki hususta da öne çıkan uygulamaların başında Signal ve Telegram geliyor.

WhatsApp, iki kıymetli fiyatsız rakibi Signal ve Telegram üzere güçlü bir uçtan uca şifreleme özelliğine sahip. Fakat WhatsApp’ta direkt bildiriler şifrelense bile WhatsApp kendi sunucularında depoladığı meta-veriler (gönderici, alıcı, gönderi vakti ve gönderen lokasyonu) şifrelenmiyor.

Dahası WhatsApp’ın bu meta-verileri de reklam ve hizmet optimizasyonu için üçüncü şahısların kullanımına açtığı daha evvel ortaya çıkmıştı. Bu, WhatsApp’ın güvenilirliği ile ilgili uzun vakittir kesim tarafından eleştirilen bir nokta.

Signal’in artıları neler?

Signal ise WhatsApp ‘ın uçtan uca şifreleme protokolünü daha ileri götürerek meta-verileri de şifreliyor. Böylece bu tip bilgilerin üçüncü şahıslara satılması yahut bilgilere öteki kanallar yoluyla erişilmesi -Signal dahil – mümkün değil.

Signal’in WhatsApp’a kıyasla en değerli avantajı ise daha ileri düzeyde güvenlik özelliklerine sahip olması.

Bunların başında “kaybolan mesajlar” özelliği geliyor. Bu özellik gönderilen ve alınan bildirilerin kullanıcı tarafından belirlenen süreyi geçince yahut okununca otomatik olarak silinmesini sağlıyor.

Bunun yanında Signal “tek gösterimlik” medya (video, fotoğraf, ses) bildirileriyle bu tip bilgilerin görüldükten sonra otomatik silinmesini muhtemel kılıyor.

Ayrıyeten Signal’in “açık kaynak kodlu” olması ve programcıların bu uygulamanın tam olarak dataları nasıl işlediğini çok net bir halde görebilmeleri de bu platformu kapalı-kod uygulamasına sahip WhatsApp’a kıyasla daha inançlı kılıyor.

Signal dataları kendi sunucuları yahut diğer bir bulut depolama alanında yedeklenmiyor. İletiler yalnızca kullanıcının telefonunda depolanıyor. Bu da gönderici ve alıcı dışında kimsenin iletilere erişememesini sağlıyor.

Bir öbür alternatif: Telegram

Bir öbür değerli “uçtan uca şifreleme” özelliğine sahip uygulama ise Telegram.

Her ne kadar WhatsApp ‘a kıyasla daha az kullanıcı meta-verisi kullansa da Telegram, Signal’den biraz daha fazla güvenlik açığına sahip.

Bunların en kıymetlisi Telegram’da “gizli sohbet” özelliği kullanılmadığı sürece uçtan uca şifreleme olmaması.

“Gizli sohbet” uygulaması lakin iki kişi ortasında yapılabiliyor ve WhatsApp ‘takine benzeri çok kullanıcılı kümelerde uygulanamıyor.

Lakin “gizli sohbet” özelliği kullanılmadığında iletiler Telegram sunucularında şifrelenip yeniden tıpkı sunucularda çözümlenmesinden sonra alıcıya gönderiliyor.

Şifreleme anahtarları Telegram’da depolandığı için teorik olarak “gizli sohbet” özelliği dışındaki iletilere bu platformun erişimi olabilir.

Bu mevzuya dönük Telegram’ın savunması, “ancak birden fazla ülkenin güvenlik kurumlarından talep geldiği takdirde” bu tip iletilere erişim olabileceği tarafında.

Bunun yanı sıra Telegram, bugüne kadar üçüncü parti uygulamalara ve güvenlik güçlerine asla bilgi paylaşmadığını da ekliyor.

Lakin Telegram iletileri şifrelemek için MTProto2.0 isimli kendi kapalı-kod çözümleme protokolünü kullanıyor.

Bu şifreleme protokolü kapalı-kod olduğu için bağımsız kriptografik tahlilinin yapılması mümkün değil. Bu da Telegram’ın dal içerisinde Signal’e kıyasla daha “muğlak” kabul edilmesine yol açıyor.

Yerli iletileşme uygulamalarından Bilgi Teknolojileri Kurumu’nun sunduğu “Dedi”nin “Sıkça Sorulan Sorular” kısmında, bu uygulamanın Signal baz alınarak geliştirildiği ve hiçbir kullanıcı verisini kayıt altına almadığı belirtiliyor. Bildiriler transfer hedefli sunucularda tutulduktan sonra alıcıya iadesi gerçekleştiğinde sistemden siliniyor ve yedeklemesi alınmıyor. Bip ve Yaay’e kıyasla Dedi kodları açık kaynak olduğu için bildirilerin nasıl şifrelendiği ve transfer edildiğiyle kullanıcı bilgilerini nasıl işlediği bağımsız programcılar tarafından da denetlenebiliyor.