Sorun da bu: Phorm tam olarak ne yapıyor, biz bundan nasıl etkilenebiliriz, bilmiyoruz. Türkiye’de yaşadığımız için de en kötüsünü düşünüyoruz.
“Gezinti” TTNET’in Nisan 2012′de başlattığı hizmetin adı. Çalışmaya başladığı anda rızamız olmasa dahi internette gezdiğimiz sayfaları kaydetmeye ve her kullanıcıya bir numara vererek profilimizi oluşturmaya başladı. Bize sundukları ‘hizmet’, bizden topladıkları bilgiler karşılığında kişiselleştirilmiş reklamlar göstermek.
Bu şuna benziyor: Evimize gelip okuduğumuz gazeteden tuttuğumuz takıma kadar kaydediyorlar ve bizi eğitim, gelir, cinsiyet, yaş vb. kategorilere ayırıyorlar. Sonra da şirketlere dönüp “biz müşteriyi iyi biliriz” diyorlar. Kadıköy’de oturuyor ve bianet okuyorsanız t-shirt reklamı gösteriyorlar; AKP’yi öven haberleri okuyorsanız belki uzun kollu gömlek tercih edersiniz?
A.B. Derneği 17 Ekim 2012′de yaptığı suç duyurusunda Gezinti hizmetinin kullanıcıları yanıltarak ve açık rızalarını almadan bilgi topladığını, bunun Anayasa 20 ve TCK 132-134′e aykırı olduğunu belirtti. Bilgi Teknolojileri ve İletişim Kurulu (BTK) 2012 ve 2013 tarihlerinde aldığı iki kararla Phorm ve TTNET’in kullanıcılarını yanılttığını tespit etti, ve Gezinti hizmetinden dolayı TTNET’e 1,5 milyon TL ceza verdi.
Phorm bu karar uyarınca Gezinti hizmetinin onay mekanizmasını değiştirdi. Sistem bugün tam olarak şöyle işliyor: Yeni bir TTNET abonesi iseniz ilk internete girişinizdeGezinti sitesine yönlendiriliyorsunuz. Gezinti hizmetini kabul ederseniz internette yaptığınız işlemler kayıt altına alınıyor. Eğer reddederseniz işiniz oldukça zor: Sistemden çıkmak için üç ay boyunca her ay bir kez “hayır” demeniz ve bunu yılda üç kez tekrarlamanız gerekiyor! Kulağa inanılmaz gelebilir, ama zaten ilk başta izin vermeden dahil edildiğiniz ‘hizmet’in kullanıcı sözleşmesinde aynen bu yazıyor.
Balık tutar gibi ‘fişlemek’
Yukarıda tarif ettiğim durum Phorm’a göre yasal. Türkiye’deki yargı sistemine güveniyorsanız, Phorm’un bu değişiklik sonrası başka bir ceza almamış olmasını da yasal kabul edebilirsiniz. Eğer TTNET kullanıcısıysanız, Gezinti hizmeti konusunda yeterince bilgilendirilmediğinizi, rızanızın alınmadığı veya yanıltıldığınızı düşünüyorsanız bu durumu TTNET’e şikayet edebilir (444 0 375) ve haklarınızı arayabilirsiniz.
Ancak, yakın zamanda bir sitede keşfedilen bir kod TTNET kullanıcısı olmasanız dahi Phorm tarafından fişlenmenizin mümkün olabileceğine işaret ediyor. Jiyan haber sitesinde bu ay içinde yayımlanan bir makale Phorm’un haber siteleri üzerinden de ‘derin paket analizi’ (DPI) yaptığını iddia etti. Makale özetle www.RotaHaber.comsitesinde bulunan bir kodun Phorm’a ait Gezinti.com sunucularına bilgi aktardığını anlatıyor.
Ben de Türkiye’de en çok ziyaret edilen siteleri dePhormation adlı bir Firefox eklentisi ile tarayarak 22 adet sitede daha bu kodun yer aldığını gördüm. Aralarındamemurlar.net gibi kamu çalışanlarının sıklıkla ziyaret ettiği, sporx.com gibi futbol tutkunlarının takip ettiği, ve gecce.com gibi magazin dünyasına dair gelişmeleri yazan siteler var. Bu sitelerin birinin bile aylık ziyaretçi sayısı birkaç milyonu buluyor.
Bu sitelerde yer alan “ptreklam.com/tag/1.js” adlı kod hakkında görüştüğüm bir yazılımcı, kodun oldukça karmaşık bir şekilde ve kısaltılarak yazıldığını belirtti. Örnek olarak memurlar.net‘i analiz ettiğimizde bu kod’un Gezinti.com adresine gittiğini görebiliyoruz.[2]
Bu kodun tam olarak ne yaptığını sormak için bu 22 web sitesinin sahiplerine email yazdım. Bu kodun Gezinti hizmeti olduğunu bilip bilmediklerini, ne zamandır sitelerinde bulunduğunu ve hangi şirketin bu kodu sitelerine koymalarını talep ettiğini sordum. 72 saat geçtikten sonra bu sitelerden sadece 6′sından cevap geldi:
MacKolik.com ve Sahadan.com‘un sahibi Erdem Yurdanur bu kodu reklam ajansı Netbook Media’nın ricası üzerine 1 yıl kadar önce sitelerine koyduklarını ve bunun Gezinti hizmeti ile bir bağlantısı olduğunu bilmediğini belirtti. Avukatı ile görüşüp kodu sitelerinden kaldıracağını ekledi.
AjansSpor.com genel müdürü Fatih Topçu siteye bu kodu kendilerinin koymadığını, kodun reklam ajansından geliyor olabileceğini söyledi. HaberVitrini.comwebmaster’ı kodun Reklamz isimli reklam ajansının kaynak kodları içinde bulunduğunu, bu konuda bir bilgileri ve sorumlulukları olmadığını belirtti. Gecce.comwebmaster’ı da yine bu kodun Netbook Media şirketinden gelen reklam banner kodları içinde bulunduğunu tespit ettiklerini söyledi.
Konuyla ilgili olarak Netbook Media şirketinden aldığım cevap, topu TTNET ve Phorm’a atıyor. Açıklamalarında özetle reklam verenlerden gelen kodun internet sitelerine yüklendiğini, kendilerinin bilgi toplama süreci ile bir bağlantılarının olmadığını söylüyorlar. Reklam için yüklenen kodların asıl amacından farklı bir işlev kazanması durumu tamamen TTNET ve PT Reklam sorumluluğundadır, bize BTK bu konuda bir bilgi vermedi, diyorlar.
Son olarak, Jiyan’da yayınlanan makalede de konu edilen www.RotaHaber.com sitesi yöneticilerinden cevap aldım. Phorm Türkiye direktörü İpek Karadağ ile görüşüp destek aldıklarını belirttikleri cevaplarında bu kodun Mayıs 2014′ten beri aktif olarak sitelerinde yer aldığını, bu kodun “ilgi grubuna ait tüketicilere reklam gösterebilmek amaçlı tamamen bilinçli olarak diğer başka reklam kodları gibi” olduğunu, Phorm ile reklam ajansları arasında imzalanan anlaşma ile hayata geçtiğini ve tüm tarafların sistemin nasıl çalıştığını bildiğini belirttiler.
Phorm desteği ile Rota Haber’den gelen cevap “bu iddialarla haber yapılması durumunda… cezai haklarımızın saklı olduğunu peşinen belirtiriz” diye bitiyor.
Bana verilen bu son cevap ile yukarıda açıkladığım bilgilerin tutarsızlığı ve aşağıda paylaşacağım bilgilerin vahameti üzerine Phorm Türkiye yöneticilerine yaptığım görüşme teklifi ise ne yazık ki cevapsız bırakıldı.
Halbuki Phorm’un, kullanıcıları, reklam şirketlerini ve website yöneticilerini tam olarak bilgilendirmeden yaptığı işlemler haklı bir kuşku uyandırıyor, dahası, kendi sunucularına yönlendirilen Adobur.com adlı yeni bir sistem Gezinti’nin 2012′de kaldığı yerden devam ediyor.
Adobur: Sahte plakalı Gezinti
Yukarıdaki grafikte Memurlar.net adresinden PTreklam.com.tr‘ye ve Gezinti.com’a ulaşan bağlantıların yanında, Adobur.com adlı bir adrese daha bağlantı var. Adobur.com adresinin kime ait olduğunu ve ne zaman hizmete girdiğini whois ile sorguladığınızda ise karşınıza “NS1.PHORM.COM” ad sunucuları çıkıyor, sitenin hizmete girme tarihi ise “2013-12-11 06:55:14″. Yani Gezinti servisi kullanıcıların rızasını almak zorunda kaldıktan sonra Phorm, Adobur’u kurmuş olmalı.
www.Adobur.com/status adresine gittiğinizde de karşınıza Gezinti servisinin 2012′deki yöntemi çıkıyor: “Siz açıkça iptal etmek istemedikçe, biz size kişiselleştirilmiş Internet içeriği ve reklam göstermeye devam edeceğiz.”
Reklamcılıkta “OPT-OUT” olarak belirtilen ve her kullanıcının sisteme dahil olduğunu, isterlerse çıkacaklarını varsayan bu model tam da BTK’nin 2012 ve 2013 kararlarında yasa dışı saydığı, Gezinti onay süreci bizzat böyle olduğu için Phorm’un değiştirmek zorunda kaldığı model.
Adobur’lu sitelere girdiğinizde de bilgisayarınıza önce “OPTED_IN” diye bir çerez (cookie) otomatik olarak yükleniyor. Bu sizin Adobur (Phorm) reklam sistemine girmiş olmanız anlamına geliyor. Hemen arkasından da “UID” diye bir çerez yükleniyor. Bu da size Phorm’un verdiği numara. Bu numara ile internette gezdiğiniz sayfaları kaydedip profilinizi çıkartabilirler.
Yukarıda listelediğim çok ziyaretçi alan ve o kodu barındıran sitelere girdiğinizde de Gezinti veya Adobur sizin profilinize göre reklam gösterebiliyor. Yani TTNET ve Phorm bize bir şekilde çerez’i yutturup fişleyebiliyor.
Phorm ne yapıyor?
Bu yazıda özetlediğim bu bilgileri derlemek 5 günümü aldı. Hala da o kod tam olarak ne yapıyor, sadece kişiselleştirilmiş reklam mı görüyoruz yoksa bu sadece işin görünen yüzü mü, bilmiyoruz; hatta Adobur resmi olarak Phorm’a mı ait onu dahi bilmiyoruz. Sorun da bu: Phorm tam olarak ne yapıyor, biz bundan nasıl etkilenebiliriz, bilmiyoruz. Türkiye’de yaşadığımız için de en kötüsünü düşünüyoruz. Ben aklımdaki en kötü ihtimali söyleyeyim: TTNET internet paketi sözleşmelerinde bulunan gerçek kimlik bilgileri ile Phorm’un derlediği davranı�� bilgisi eşleştirilirse hepimiz siyasi görüşümüzden cinsel tercihimize kadar fişleniriz.
Phorm bunu yapmadığını, IP adresini dahi kaydetmediğini söylüyor, ben ise 2012′de hepimizi kandırmış bir şirkete güvenmekte zorlanıyorum. Phorm Türkiye’de nasıl iş yaptığı konusunda kullanıcılara karşı tamamen şeffaf olana dek de güvenmeyeceğim. O yüzden cevaplanmamış sorularımı tekrarlıyorum:
1) Derin paket analizi (DPI) kullanıyor musunuz?
İnternet güvenliği uzmanları kullandığını söylüyor, Phorm, TTNET ve BTK ise bunu hiç itiraf etmedi. Komplo teorilerinden şikayet ediyorlarsa önce şeffaf olmalılar.
2) Neden DPI kullanıyorsunuz?
Phorm’un tarif ettiği davranışsal reklam modeli, belirli kategorideki siteleri sık sık ziyaret eden kullanıcılar üzerinden pekala işliyor; zaten geri kalan bütün davranışsal reklam şirketleri de bu modeli çerezlerle uyguluyor. Başka DPI kullanan yok. Phorm, DPI yöntemi ile kullanıcının internet erişimini gözetliyor, buna neden ihtiyaç duyuyor?
3) Adobur.com sizin mi?
Adobur adıyla bilgilerimizi kim topluyor, hangi ülkeye götürüyor, nasıl kullanıyor bilmiyoruz; ama Adobur’un bilgi toplama kodları ve çerezleri milyonlarca vatandaşın girdiği sitelere resmi reklam sözleşmeleriyle yerleştiriliyor, bunu net olarak biliyoruz.
4) Neden BTK kararını ve yasaları bile bile ihlal ediyorsunuz?
Phorm 2012′de Gezinti’yi başlattığında da kullanıcının açık rızasını almak gerekliydi, ihlal etti, ceza aldı; Adobur ile yine aynısını yapıyor. Ceza alana dek suç işlemeye devam etmek, arada elde edilen kar cezadan fazlaysa aynı suçu bir daha işlemek sadece bizim hukuk sisteminin ayıbı değil, kullanıcıya karşı asıl Phorm’un ayıbı.
5) Topladığınız bilgi karşısında kullanıcıya ne sunuyorsunuz?
Facebook eski arkadaşlarımızla iletişim kurmaya yarıyor, Twitter haber almaya; Google’ınsa eposta servisi, ajandası, haritası var. Bunların hepsine kendi istediğimiz kadar bilgi veriyoruz. Dilediğimizde (zor da olsa) silebiliyoruz. Phorm bize sormadan tüm internet erişimimizi kayıt altına alıyor, karşılığında ne veriyor: reklam. Biz bu sisteme dahil olmayı zaten istemeyeceğimiz için mi zorunlu tutuyor ve bilgimizi çalıyorsunuz?
Biz ne yapabiliriz?
enPhormasyon.org adresinde Phorm’un ne olduğu, nasıl çalıştığı ve BTK’nin Gezinti hakkındaki kararının değerlendirmesi var. Alternatif Bilişim Derneği tarafından açılan imza kampanyası Phorm’un Türkiye’deki faaliyetlerinin derhal durdurulmasını ve Türkiye Cumhuriyeti vatandaşları hakkında topladıkları tüm bilginin imha edilmesini talep ediyor.
Phorm şirketinin 2006-2007 yıllarında aynı sistemle faaliyet gösterdiği İngiltere’de internet servis sağlayıcıları kamuoyu baskısı sonucu Phorm ile anlaşmalarını bir bir iptal ettiler. Türkiye’de tekel konumunda olan TTNET’e baskı yapmak kolay değil, ama bir yandan yasal yollarla BTK’ye başvururken bir yandan da kamuoyunu bilinçlendirmek gerekli. Bu yazı o niyetle yazıldı.
Hakkaniyet adına şunu vurgulamak isterim: Phorm kişiselleştirilmiş reklam sunan tek şirket değil. Ama derin paket analizi ve rıza almadan bilgi toplamak gibi yöntemlerle “internete ihanet ediyor“. İnternetin fikir babası Tim Berners Lee’nin önerdiği gibi, bizden bilgimizi isteyenler, hangi bilgiyi ne için aldığını ve karşılığında bize ne verdiğini net bir şekilde açıklamalı. Phorm bir musibet oldu, biz ders alalım. Hakkımızda en çok şeyi bilen Google’ın bize kişiselleştirilmiş reklam göstermesine engel olmak mümkünmümkün. Bu haklar bizden önce mücadele edenler sayesinde kazanıldı. Belki biz de Phorm’un haklarımıza saygı duymasını sağlayabilir, Reklam Özdenetim Kurulu’nun önerdiği gibi, bizden veri toplayan sitelere, bunu bize bildirmek zorunda olduklarını kabul ettirebiliriz. [3]
Notlar:
[1] Gezinti.com Türkiye’nin en çok ziyaret edilen 83. sitesi (Alexa’ya göre 81.). bianet.org sitesinden bile daha sık ziyaret ediyoruz. Ama ziyaretimiz ortalama 5 saniye sürüyor ve çoğunlukla rızamız dışında olduğu için fark etmiyoruz. Türkçe yayın yapan diğer sitelere yurt dışında yaşayan Türkiyelilerin de ilgi gösterdiğini, ancak Gezinti.com’a yurt dışından kimsenin girmiyor (yönlendirilmiyor) olması dikkat çekici.
[2] Memurlar.net’teki Phorm varlığı aslında Eylül 2012′de keşfedilmiş ve Phorm hakkındaki ilk yazının da çıktığı sosyalmedya.co‘da yayımlanmış. Devlet sırrı kavramını alabildiğine geniş tutan hükümetin, memurların bilgisini yabancı ülke vatandaşlarına ait bir şirkete teslim etmekte sakınca görmemesi de dikkat çekici.
[3] Bu yazı vesilesiyle bize yardımcı olan tüm anonim yazılımcılara teşekkür etmek isterim: print(“tnx!”)
Bu yazı https://korsanparti.org adresinden alınmıştır.