FTC, Scott Zuckerman'a Yönelik Stalkerware Yasağını Onayladı

ABD Federal Ticaret Komisyonu (FTC), SpyFone ve SpyTrac gibi kötü şöhretli takip yazılımı (stalkerware) uygulamalarının kurucusu Scott Zuckerman'a yönelik yasağını onayladı. Bu karar, Zuckerman'ın kendisini gözetim sektöründe faaliyet göstermekten men eden 2021 tarihli kararı bozma yönündeki son dilekçesini reddediyor. Söz konusu yasak, hem müşterilerinin hem de gözetim hedeflerinin kişisel bilgilerini ifşa eden önemli bir veri ihlalinin ardından getirilmişti.

FTC, Takip Yazılımı Kurucusunun İtirazını Reddetti

Pazartesi günü FTC, federal gözlemciyi orijinal yasağı iptal etme veya değiştirme talebinde bulunan Zuckerman'ın Temmuz ayındaki dilekçesine yanıt olarak, ret kararını bir basın bülteniyle duyurdu. Tüketici casus yazılımı şirketi Support King ile onun yan kuruluşları SpyFone ve OneClickMonitor'ın kurucusu olan Zuckerman, bu nedenle izinsiz gözetim yazılımları satmaktan men edilmiş olarak kalacak.

2021 tarihli FTC kararı, Zuckerman'ı “herhangi bir gözetim uygulaması, hizmeti veya işini sunmaktan, tanıtmaktan, satmaktan veya reklamını yapmaktan” özel olarak men ederek, başka bir takip yazılımı girişimini başlatmasını etkili bir şekilde engelledi. Kurum ayrıca Zuckerman'ın SpyFone tarafından toplanan tüm verileri silmesini, sık sık denetimlerden geçmesini ve işletmelerinde sağlam siber güvenlik uygulamaları uygulamasını zorunlu kıldı.

“SpyFone, takipçilerin özel bilgileri çalmasına yardımcı olan bir gözetim işi için küstahça bir markaydı,” diyen Samuel Levine, o zamanki FTC Tüketiciyi Koruma Bürosu'nun vekiliydi. “Takip yazılımı cihaz sahiplerinden gizlenmişti, ancak şirketin özensiz güvenliğini istismar eden bilgisayar korsanlarına tamamen açıktı.”

Zuckerman'ın Maddi Sıkıntı İddiası

Dilekçesinde Zuckerman, FTC kararının katı güvenlik gerekliliklerinin diğer, alakasız işletmelerini finansal olarak etkilediğini savundu. Support King'in artık faaliyette olmamasına rağmen bu maliyetlerin külfetli olduğunu iddia etti ve mevcut girişimlerinin Porto Riko'da bir restoran ve planlanan turizm projelerini içerdiği bildiriliyor. E-posta yoluyla ulaşıldığında yorum yapmaktan kaçınan Zuckerman, soruları avukatına yönlendirdi.

Yasağa Yol Açan 2018 Veri İhlali

FTC yasağı, 2018'de bir güvenlik araştırmacısının SpyFone'a ait bir Amazon S3 depolama alanını keşfetmesiyle ortaya çıktı. Bu depolama alanı, son derece hassas verileri — özçekimler, kısa mesajlar, sohbet uygulaması mesajları, ses kayıtları, kişiler, konum verileri, hashlenmiş parolalar ve oturum açma bilgileri dahil — çevrimiçi olarak herkese açık ve erişilebilir bıraktı. İhlal 44.109 benzersiz e-posta adresini içeriyordu ve araştırmacıya göre, en az 2.208 "müşteriyi" ve SpyFone yüklü 3.666 telefondan binlerce fotoğraf ve ses dosyasını etkiledi.

Yasak İhlali İddiaları

2021 FTC kararından bir yıldan kısa bir süre sonra, TechCrunch, Zuckerman'ın başka bir takip yazılımı şirketi olan SpyTrac'i işlettiğini bildirdi. SpyTrac'ten sızan veriler, uygulamanın Support King ile doğrudan bağlantılı serbest geliştiriciler tarafından yönetildiğini ortaya koydu ve bu durum, FTC yasağını aşma girişimini düşündürdü. Dahası, sızan veriler arasında Zuckerman'ın silmesi emredilen SpyFone kayıtları ve diğer takip yazılımı uygulamalarından biri olan OneClickMonitor'ın bulut depolama alanına erişim anahtarları da bulunuyordu.

Uzman Görüşleri

Takip yazılımı konusunda önde gelen bir uzman ve Elektronik Sınır Vakfı'nda siber güvenlik direktörü olan Eva Galperin, FTC'nin kararını memnuniyetle karşıladı.

Galperin, TechCrunch'a verdiği demeçte, “Bay Zuckerman, birkaç yıl ortadan kaybolursa herkesin FTC'nin sadece şirkete değil, özellikle kendisine neden yasak getirdiğini unutacağını açıkça umuyordu,” dedi.

Galperin, TechCrunch'ın 2022'de Zuckerman'ın FTC yasağını açıkça ihlal ettiğine dair ifşasının “Zuckerman'ın dersini almadığını gösterdiğini” ekledi.

Daha Geniş Takip Yazılımı Riskleri

Takip yazılımı uygulamaları, kullanıcılarının başkalarının telefonlarını ve cihazlarını gizlice izlemesine olanak tanır ve genellikle potansiyel olarak yasa dışı faaliyetleri kolaylaştırır. Bu etik ve yasal endişelerin ötesinde, sektörün sorunlu bir güvenlik ihlalleri geçmişi bulunmaktadır. TechCrunch'ın analizine göre, son sekiz yılda en az 26 takip yazılımı şirketi ya hacklendi ya da hassas verileri çevrimiçi olarak açıkta bıraktı. Bu tekrarlanan olaylar, bu şirketlerin hem müşterilerinin hem de gözetim için hedefledikleri kişilerin gizliliğini korumadaki sürekli başarısızlığını vurgulamaktadır.