Kişisel verilerin korunumu, tüm dünyada giderek daha fazla önem kazanırken yaşanan ihlaller de daha dikkat çekici hale geliyor. Bu durumun son örneği, ABD’de posta hizmetlerini sağlayan federal kurum pozisyonundaki ABD Posta Servisi’nde (USPS) yaşandı. TechCrunch teknoloji sitesi tarafından tespit edilen ihlalin ardından USPS, konuyu ele aldığını ve “ihlalin farkında olmadığını” iddia ederek uygulamayı durdurduğunu açıkladı.
TechCrunch, USPS‘in web sitesinde kullanılan gizli veri toplama kodu (izleme pikselleri olarak da bilinir) aracılığıyla müşterilerin bilgilerini paylaştığını tespit etti. Teknoloji ve reklam şirketleri, kodu içeren bir web sayfası müşterinin tarayıcısına her yüklendiğinde kullanıcı hakkında – hangi sayfaları ziyaret ettikleri gibi – bilgi toplamak için bu tür bir kod oluşturur.
USPS örneğinde, toplanan verilerin bir kısmı, gelen postalarının fotoğraflarını ulaşmadan önce görmek için bu hizmeti kullanan, oturum açmış USPS Bilgilendirilmiş Teslimat hizmeti müşterilerinin posta adreslerini içeriyordu. Kaç kişinin bilgilerinin toplandığı ya da ne kadar süreyle toplandığı belli değil. Buna karşın Mart 2024 itibariyle Bilgilendirilmiş Teslimat’ın 62 milyondan fazla kullanıcısı mevcut, dolayısıyla potansiyel olarak milyonlarca kişi bu ihlalden etkilenmiş olabilir.
İhlal edilen veriler teknoloji şirketlerine verildi
TechCrunch, gerçekleştirdiği testlerde USPS web sitesinin oturum açmış bir USPS Bilgilendirilmiş Teslimat hizmeti müşterisinin posta adresini Meta, LinkedIn ve Snap ile paylaştığını keşfetti. TechCrunch bunu, çoğu modern tarayıcıda bulunan araçları kullanarak ağ trafiğini inceleyerek test etti.
Ayrca TechCrunch ayrıca USPS web sitesine girilen takip numaralarının Bing, Google, LinkedIn, Pinterest ve Snap dahil olmak üzere reklamcılar ve teknoloji şirketleriyle de paylaşıldığını tespit etti. Müşteri USPS’nin web sitesinde oturum açmamış olsa bile, postanın posta sistemindeki gerçek dünya konumu gibi bazı transit izleme verileri de paylaşıldı.
USPS veri ihlalinden “haberimiz yok” diyor
USPS sözcüsü Jim McKean TechCrunch’a yaptığı açıklamada şunları söyledi: “Posta Servisi, ürün ve hizmetlerimizin kullanımını anlamak ve ürünlerimizi pazarlamak için toplu olarak kullandığımız bir analitik platformundan kendi iç amaçlarımız için yararlanmaktadır. Posta İdaresi bu analiz platformundan toplanan hiçbir kişisel bilgiyi üçüncü taraflara satmamakta ya da vermemektedir ve platformun URL’den kişisel bilgi toplayan ve bilgimiz dışında sosyal medya ile paylaşan herhangi bir yapılandırmasından haberdar değiliz.”
Facebook sözcüsü Emil Vazquez, konuyla ilgili yaptığı açıklamada bir açıklama yaptı: “Politikalarımızda, reklamverenlerin İş Araçlarımız aracılığıyla kişiler hakkında hassas bilgiler göndermemesi gerektiği konusunda net olduk. Bunu yapmak politikalarımıza aykırıdır ve bunun gerçekleşmesini önlemek için reklamverenleri İşletme Araçlarını düzgün bir şekilde kurmaları konusunda eğitiyoruz. Sistemimiz, tespit edebildiği tüm hassas verileri filtrelemek üzere tasarlanmıştır.”
LinkedIn sözcüsü Brionna Ruff da aynı yönde bir açıklama yaparak “müşteri reklam araçları ve anlaşmaları açıktır ve hassas verileri bizimle paylaşmalarını yasaklamaktadır” dedi.
Konunun yargıya taşınıp taşınmayacağı veya veri ihlali nedeniyle USPS’ye bir ceza kesilip kesilmeyeceği henüz bilinmiyor.
