Son düzenleme, bir önceki kullanım şartlarında geçen “Facebook reklam ve ürünleriyle ilgili deneyiminizin iyileştirilmesi amacıyla WhatsApp hesap bilgilerinizin Facebook’la paylaşılmamasını seçebilirsiniz” ibaresini kaldırarak, bu veri paylaşımının zorunlu olduğunu ima ediyor.
Aslında bu düzenleme, 2016’da fiilen gerçekleşmiş bir veri paylaşım politikasının yasal düzenlemeler doğrultusunda kullanım şartnamesine geçirilmesinden ibaret.
Bu fiili durumun kullanıcı sözleşmesinde yazılı beyan edilmesiyle beraber gündeme gelmesi ise veri mahremiyeti ve güvenliği konusunda çok büyük bir küresel farkındalığın oluşmasına sebep oldu.
Tesla CEO’su Elon Musk’ın 7 Ocak’taki tweetinde “Signal Kullanın” diyerek, kullanıcıları veri paylaşımı açısından daha güvenli bir mesajlaşma uygulaması olan Signal’e yönlendirmesi de konuyu uluslararası düzeyde gündeme taşıdı.
Bu tweet sonrası çok sayıda WhatsApp kullanıcısı, hesabını kapatarak Signal veya Telegram gibi alternatif mesajlaşma platformlarına üye olmaya başladı.
Her iki platform da bu beklenmedik ve yoğun talep sonucu hizmet vermekte zorlandıklarını belirten paylaşımlarda bulundu.
Birçok teknoloji şirketi ve iletişim etiği uzmanı, WhatsApp’ın son kullanım şartları değişikliğinin kafa karıştırıcı olduğunu ve kararın veri güvenliği ile ilgili önemli bir kırmızı çizgiyi geçtiğini iddia etti.
Facebook ve WhatsApp ise mevcut politika değişikliğinin sadece Ağustos 2016’dan bu yana devam eden bir yürütmenin artık kullanıcı sözleşmesine geçmesinden ibaret olduğunu, iki platform arasında halihazırda devam eden veri paylaşımında bir değişiklik olmadığını öne sürüyor.
Bu açıklama ise kullanıcıları rahatlatmaktan ziyade daha da kızdırdı, WhatsApp bilgilerinin Facebook ile 5 yıla yakın bir süredir zaten paylaşıldığını öğrenmelerine neden oldu.
WhatsApp yetkilileri ise bu paylaşım ibaresinin yaklaşık 5 yıldır kullanıcı sözleşmelerinde bulunduğunu ve sözleşmenin yeni bir durumu yansıtmadığında ısrarcı.
Ancak bu ibarenin açık ve net bir şekilde ortaya konmamasına yönelik eleştiriler, kullanıcıları yanıltıcı ve durumu gizleyici bir yasal detay olduğunu düşünmeye sevk ediyor.
Böylece WhatsApp ve onun üzerinden Facebook’a duyulan güvensizlik, dünya çapında çok sayıda kullanıcının platformdan ayrılarak diğer mesajlaşma uygulamalarına yönelmesine sebep oluyor.
WhatsApp neden kullanım şartnamesini değiştirdi?
Facebook, WhatsApp’ı 2014 yılında 22 milyar dolara satın aldı. WhatsApp, Ağustos 2016’dan bu yana Facebook ile giderek yaygın şekilde veri paylaşımı yapıyordu.
Veri paylaşımına başladıktan sonra WhatsApp, bir ay süreyle kullanıcılarına bu paylaşıma katılmama imkânı veren bir “opt out” süresi tanımıştı.
Bir aylık “opt out” süresince veri paylaşım uygulamasının dışında kalacağını beyan eden ayarları yapmayan her kullanıcı, otomatik olarak veri paylaşımına rıza gösterir olarak kabul edildi ve verileri Facebook ile paylaşıldı.
Bu süreden sonra platforma katılan herkes (1 milyarı aşkın yeni kullanıcı) bu paylaşım iznini otomatik olarak onayladıklarının ön kabulüyle WhatsApp’ı indirip kullanabildi.
Ağustos 2016’daki bu “opt out” süresinde WhatsApp ayarlarından uygulamadaki değişikliği reddetmeyen ve Eylül 2016’dan sonra bu platforma geçen herkesin verileri zaten Facebook ile paylaşılıyordu.
Her ne kadar Facebook ilk satın alma döneminde WhatsApp’ı bağımsız ve güvenli bir uygulama olarak koruma sözü verse de, Facebook ve WhatsApp kurucuları arasında giderek büyüyen bir mahremiyet tartışması patlak verdi.
Tartışmaların odağında platformun kurucuları Brian Acton ve Jan Koum’un, WhatsApp’ın güvenli ve gönül rahatlığıyla kullanılabilecek bir mesajlaşma uygulaması olarak kalması istekleri vardı. Oysa Facebook yöneticileri Mark Zuckerberg ve Sheryl Sandberg, WhatsApp’ın daha geniş kullanıcı profilinin reklam gelirleri açısından daha kazançlı olduğunu iddia etmişti.
Bu tartışmalar WhatsApp’ın satın alınma sürecinde arttı. Platformun kurucularından Brian Acton şirketten ayrıldı ve Temmuz 2014’te daha güvenli bir iletişim platformu Signal’i kurdu.
WhatsApp’ın bir diğer kurucusu Jan Koum, Facebook ile bir orta yol bulmaya çalıştı ancak o da Nisan 2018’de istifa etti.
Tartışmanın temelinde yüksek güvenliğe sahip uçtan uca şifreli mesajlaşma uygulamalarının nasıl ücretsiz kalmaya devam edebileceği problemi var.
WhatsApp ve benzeri uygulamalar hem üst düzey şifreleme teknolojilerine sahip olup hem milyonlarca kullanıcının verilerini yönlendirip, hem de kesintisiz hizmet verebilmek için çok masraflı bir operasyon sürdürmek zorundalar. Bu uygulamaların bedava olmaya devam edebilmesi için platformların doğrudan kullanıcılardan ücret almayıp, farklı yollardan gelir kazanma yolları geliştirmesi gerekiyor.
Threema gibi ücretli mesajlaşma uygulamaları ise fazla talep görmüyor ve kullanıcılar her durumda ücretsiz uygulamaları tercih ediyor.
Bu sorun sadece WhatsApp için değil, sosyal medya platformları olan Facebook, Instagram ve Twitter gibi uygulamalar için de geçerli. Bu büyük platformları bedava bir şekilde ayakta tutabilmek için yöneticiler, kullanıcı verilerini işleyerek reklam optimizasyonu yapmakta ve reklam veren şirketlerin en doğru alıcıya ulaşmalarını sağlamakta.
Zira dijital reklamcılık, son yıllarda o kadar büyük ve tekelleşmiş bir pazar haline geldi ki, sadece Facebook ve Google’ın üst şirketi Alphabet bile Amerikan dijital reklam harcama pazar payının yarısından fazlasını kontrol eder oldular. Her iki şirket de bu alanda baskın pozisyonlarını korumaya çalışıyor.
WhatsApp kullanıcılar için nasıl bir risk oluşturuyor?
Problemin temelinde iddia edildiği gibi WhatsApp’ın veya Facebook’un mesajlarınızı okuması gibi bir olasılık yatmıyor. Çünkü WhatsApp, “uçtan uca şifreleme” özelliğine sahip. Yani mesajların içeriğini sadece gönderici ve alıcı görebiliyor.
Son tartışmaların asıl odağı kullanıcıların “meta-veri”lerinin, Facebook ve bağlantılı şirketleri ile reklam ve hizmet optimizasyonu için paylaşılması.
WhatsApp’ın Facebook ve bağlantılı şirketler olan Facebook Payments, Onavo, Facebook Technologies ve CrowdTangle ile bu meta-veri paylaşım kurallarını detaylı bir şekilde kendi sitesinde tanımlanmakta.
Facebook ile paylaşılan meta-veriler WhatsApp tarafından şu şekilde tanımlanıyor:
Hesap bilgileri
WhatsApp’taki aktivitelerin süresi, zamanı ve sıklığı
Telefon rehberindeki irtibat bilgileri
WhatsApp Pay gibi ödeme hizmetleri kullanan kişilerin ödeme, ticaret ve hesap bilgileri
WhatsApp Müşteri Hizmetleri ile irtibata geçerken kullanılan e-posta adresleri
Uygulamaya giriş ve çıkış bilgileri, hata ve sistem problemi bilgileri
WhatsApp’ın kullanıldığı cihaz, mobil servis sağlayıcı, IP adresi, ve cihazın bulunduğu uluslararası zaman dilimi
Lokasyon-temelli veriler: Lokasyon verileri kapatılsa bile IP adresi ve telefon numarası alan kodu gibi bilgiler kullanılarak lokasyon bilgilerinin (şehir-ülke gibi) çıkarsama yapılması ve depolanması
Çerezler: WhatsApp Web gibi bilgisayar-temelli uygulamalar kullanılırken dil tercihleri, giriş sağlanan bilgisayar bilgileri gibi verileri çıkarsamaya yarayan paket veriler.
Bu kadar geniş yelpazedeki verinin Facebook ve bağlantılı şirketlerle paylaşılması, kullanıcının açık ve yeterli olarak bilgilendirilmeden yapıldığı iddiasıyla birleştiğinde kişisel verilerin korunması ile ilgili hukuki ve etik bir dizi problem ortaya çıkıyor.
Zira Mart 2018’de patlak veren Cambridge Analytica skandalı, yine Facebook’un üçüncü parti uygulamalarıyla 87 milyon kullanıcısının verisini paylaşması sonucunda baş göstermişti.
Bu skandaldan önce konuyla ilgili en büyük itiraz, 2017’de Avrupa Birliği’nden (AB) gelmişti.
AB bölgesinde açık kullanıcı rızası olmadan yapılan bu tip veri paylaşımının önüne geçmek için müzakereler düzenlenmiş ve neticesinde WhatsApp Ireland Limited adlı şirket Avrupa Birliği adına ayrı bir servis sağlayıcı olarak belirlenmişti.
AB Genel Veri Güvenliği Regülasyonu (GDPR) çerçevesinde reklam hizmetleri için bu tip veri paylaşımı dünyanın geri kalanından farklı olarak AB bölgesi genelinde iptal ettirilmişti.
WhatsApp’ın alternatifleri neler olabilir?
Her ne kadar WhatsApp ‘ın yeni politikası uzun zamandır devam eden fiili durumun ilanından öteye geçmese de son gelişmeler, birçok kullanıcıyı daha güvenli uygulamaları aramaya yönlendirdi.
Bu bağlamda yeni bir mesajlaşma uygulaması seçilirken göz önünde bulundurulması gereken iki hususu hatırlamak gerek.
Bunların ilki, ‘uçtan uca şifreleme’ (end-to-end encryption, yani mesajı gönderen ve alan kişi dışında kimsenin görememesi) özelliği.
İkincisi de uygulamaların hangi kullanıcı verilerini depoladığı ve üçüncü parti hizmetlerle paylaştığı. Bu iki konuda da öne çıkan uygulamaların başında Signal ve Telegram geliyor.
WhatsApp, iki önemli ücretsiz rakibi Signal ve Telegram gibi güçlü bir uçtan uca şifreleme özelliğine sahip. Ancak WhatsApp’ta doğrudan mesajlar şifrelense bile WhatsApp kendi sunucularında depoladığı meta-veriler (gönderici, alıcı, gönderi zamanı ve gönderen lokasyonu) şifrelenmiyor.
Dahası WhatsApp’ın bu meta-verileri de reklam ve hizmet optimizasyonu için üçüncü şahısların kullanımına açtığı daha önce ortaya çıkmıştı. Bu, WhatsApp’ın güvenilirliği ile ilgili uzun zamandır sektör tarafından eleştirilen bir nokta.
Signal’in artıları neler?
Signal ise WhatsApp ‘ın uçtan uca şifreleme protokolünü daha ileri götürerek meta-verileri de şifreliyor. Böylelikle bu tip verilerin üçüncü şahıslara satılması veya verilere başka kanallar yoluyla erişilmesi -Signal dahil – mümkün değil.
Signal’in WhatsApp’a kıyasla en önemli avantajı ise daha ileri seviyede güvenlik özelliklerine sahip olması.
Bunların başında “kaybolan mesajlar” özelliği geliyor. Bu özellik gönderilen ve alınan mesajların kullanıcı tarafından belirlenen süreyi geçince veya okununca otomatik olarak silinmesini sağlıyor.
Bunun yanında Signal “tek gösterimlik” medya (video, fotoğraf, ses) mesajlarıyla bu tip verilerin görüldükten sonra otomatik silinmesini olası kılıyor.
Ayrıca Signal’in “açık kaynak kodlu” olması ve programcıların bu uygulamanın tam olarak verileri nasıl işlediğini çok net bir şekilde görebilmeleri de bu platformu kapalı-kod uygulamasına sahip WhatsApp’a kıyasla daha güvenli kılıyor.
Signal verileri kendi sunucuları veya başka bir bulut depolama alanında yedeklenmiyor. Mesajlar sadece kullanıcının telefonunda depolanıyor. Bu da gönderici ve alıcı dışında kimsenin mesajlara erişememesini sağlıyor.
Bir diğer alternatif: Telegram
Bir başka önemli “uçtan uca şifreleme” özelliğine sahip uygulama ise Telegram.
Her ne kadar WhatsApp ‘a kıyasla daha az kullanıcı meta-verisi kullansa da Telegram, Signal’den biraz daha fazla güvenlik açığına sahip.
Bunların en önemlisi Telegram’da “gizli sohbet” özelliği kullanılmadığı sürece uçtan uca şifreleme olmaması.
“Gizli sohbet” uygulaması ancak iki kişi arasında yapılabiliyor ve WhatsApp ‘takine benzer çok kullanıcılı gruplarda uygulanamıyor.
Ancak “gizli sohbet” özelliği kullanılmadığında mesajlar Telegram sunucularında şifrelenip yine aynı sunucularda çözümlenmesinden sonra alıcıya gönderiliyor.
Şifreleme anahtarları Telegram’da depolandığı için teorik olarak “gizli sohbet” özelliği dışındaki mesajlara bu platformun erişimi olabilir.
Bu konuya dönük Telegram’ın savunması, “ancak birden fazla ülkenin güvenlik kurumlarından talep geldiği takdirde” bu tip mesajlara erişim olabileceği yönünde.
Bunun yanı sıra Telegram, bugüne kadar üçüncü parti uygulamalara ve güvenlik güçlerine asla veri paylaşmadığını da ekliyor.
Ancak Telegram mesajları şifrelemek için MTProto2.0 adlı kendi kapalı-kod çözümleme protokolünü kullanıyor.
Bu şifreleme protokolü kapalı-kod olduğu için bağımsız kriptografik analizinin yapılması mümkün değil. Bu da Telegram’ın sektör içerisinde Signal’e kıyasla daha “muğlak” kabul edilmesine yol açıyor.
Yerli mesajlaşma uygulamalarından Bilgi Teknolojileri Kurumu’nun sunduğu “Dedi”nin “Sıkça Sorulan Sorular” bölümünde, bu uygulamanın Signal baz alınarak geliştirildiği ve hiçbir kullanıcı verisini kayıt altına almadığı belirtiliyor. Mesajlar transfer amaçlı sunucularda tutulduktan sonra alıcıya iadesi gerçekleştiğinde sistemden siliniyor ve yedeklemesi alınmıyor. Bip ve Yaay’e kıyasla Dedi kodları açık kaynak olduğu için mesajların nasıl şifrelendiği ve transfer edildiğiyle kullanıcı verilerini nasıl işlediği bağımsız programcılar tarafından da denetlenebiliyor.