Aralarında Yelp ve Duolingo’nun da bulunduğu bazı şirketlerin önde gelen Android uygulamaları, reklam izleme amaçlı bilgileri kullanıcı Facebook’a kullanıcı girişi yaptıktan hemen sonra doğrudan sosyal ağa gönderiyor. Bu veriler sizin kimliğinizin belirlenmesi için kullanılabilir. Söz konusu iddia Londra merkezli hayır ve gözlem kuruluşu olan Privacy International (PI) tarafından yayınlanan yeni bir raporda dile getirildi.
PI, Yelp ve Duolingo’nun yanı sıra iki adet İslami dua ve namaz uygulamasının, aynı zamanda bir İncil uygulamasının ve Indeed adlı bir iş arama uygulamasının da benzer verileri Facebook’a gönderdiğini saptadı. Bu bilgiler kullanıcılar sosyal ağda gezinirken, hedeflenmiş reklam gösterimi amacıyla kimliklerinin saptanmasına yardımcı olması için kullanılıyor olabilir. Tam olarak hangi tür verilerin Facebook’a gönderildiği bilinmiyor, ancak PI’nin raporu, iletimin Facebook’un kullanıcıyı servisleri içinde ve kullanıcı Facebook’u bir mobil cihazda açtığında izlemesine yardımcı olan özelleştirilmiş tanımlayıcıları ortaya çıkarabileceğini söylüyor.
Rapor geçen aralık ayında yine PI tarafından gerçekleştirilen benzer bir araştırmayı temel alıyor. Bu araştırma da bazı çok bilinen Android uygulamalarının Facebook’a, kullanıcı rızası ve açık bilgilendirme olmaksızın veri gönderdiğini ortaya çıkarmıştı. Aynı zamanda bu sorunun hem iOS hem de Android uygulamalarında görüldüğünü kaydetmişti. Geçen ay da Wall Street Journal; Apple’ın sıkı gizlilik kuralları ve koruma tedbirlerine rağmen, siz bir mobil uygulamayı kullandığınızda verileri ayıklayan ve bunları Facebook’a gönderen aynı geliştirici araçlarının iPhone uygulamalarında da kullanıldığını yazmıştı.
“Bu sadece gizlilik için değil, aynı zamanda rekabet için de oldukça sorunlu. Uygulamaların Facebook’a gönderdiği veriler tipik olarak, bir Müslüman dua uygulaması gibi belirli bir uygulamanın açıldığı veya kapatıldığı gerçeği gibi bilgileri içeriyor.” deniliyor PI raporunda. “Bu kulağa oldukça basit geliyor, ama gerçekte değil. Veriler, bir kullanıcının Google reklam kimliği gibi, benzersiz bir tanımlayıcıyla gönderildiğinden, bu verileri bir profile bağlamak ve birinin ilgi alanlarını, kimliklerini ve günlük rutinlerini inceleyen bir resim çizmek kolay olacaktır.” şeklinde de sorun özetleniyor.
PI, Aralık 2018 raporunda “Facebook; kullanıcıları, kullanıcıları olmayanları ve oturumu kapatmış olan kullanıcıları düzenli olarak Facebook Business Tools üzerinden izliyor. Uygulama geliştiricileri, geliştiricilerin belirli bir işletim sistemi için uygulamalar oluşturmasına yardımcı olan bir dizi yazılım geliştirme aracı olan Facebook Yazılım Geliştirme Kiti (SDK) aracılığıyla Facebook ile veri paylaşıyor.” şeklinde durumu ifade etmişti. Raporda; aralarında Spotify ve Kayak gibi, 10 ila 500 milyon arasında yüklemesi olan büyük uygulamaların da bulunduğu, PI tarafından test edilen 34 Android uygulamasının yaklaşık üçte ikisinin, kullanıcıları bilgilendirmeden veya açık onay almadan Facebook’a bilgi gönderdiği de yazıldı.
PI, belirli sayıda uygulamanın Aralık 2018 raporundan sonra bu uygulamayı bıraktığını söylüyor. Benzer şekilde WSJ’nin haberinde dikkat çekilen iOS uygulamalarının işletmecilerinin büyük çoğunluğu da hassas kullanıcı verilerini toplamak amacıyla Facebook’un ölçüm ve geliştirici araçlarını kullanmayı bıraktı. Ne var ki, Yelp ve Duolingo gibi uygulamalar bu tür faaliyetleri sürdürüyor. PI, Duolingo ile iletişim hâlinde olduğunu ve şirketin gerçekleştirdiği işlemi askıya almaya razı olduğunu kaydetti. Ancak iOS ve Android ekosistemi içindeki kaç uygulamanın, Facebook’un reklam hedefleme araçlarını geliştirmek için Apple ve Google’ın veri toplama ve kullanıcı gizliliği politikalarının etrafından dolaşmakta olduğu net şekilde bilinmiyor.
Facebook bu gibi durumlarda sorumluluğu uygulama geliştiricilerine yüklüyor, hassas verileri toplayarak platform kurallarını çiğnememeleri veya geliştirici araçlarını kötüye kullanmalarını tavsiye ediyor. Ayrıca şirket, bu hassas verilerin büyük bir kısmını kullanmadığını; kredi kartı numarası gibi verilerin iletildiği çok uç durumlarda ise bunları otomatik olarak sildiğini söylüyor. Ne var ki, bu gibi hassas verilerin neden toplandığı ve Facebook ya da veri toplayan uygulamaların geçmişte bu verilerle neler yaptığı konusunda açıklayıcı bir bilgi verilmiyor.
“Uygulamalar ürünlerini, Facebook’un giriş ve reklam izleme araçları gibi Facebook hizmetleriyle entegre etmek için Facebook SDK’yı kullanır. Bununla birlikte Facebook, uygulamaların Facebook’a gönderdikleri verilerin yasal olarak toplandığından emin olmak için tüm sorumluluğu uygulamalara yükler” deniliyor PI raporunda. Facebook’tan henüz konuyla ilgili bir açıklama gelmedi.