Meta ve TikTok, Reklam Tıklandığında Kullanıcıların Hassas PII Verilerini Çalıyor
Meta ve TikTok, reklam takip pikselleri aracılığıyla kullanıcıların kredi kartı bilgileri, PII verileri ve alışveriş davranışlarını izinsiz topluyor. Gizlilik tercihleri yok sayılıyor, reklamverenler yasal risk altında.
Sosyal medya devleri Meta ve TikTok, kullanıcılar reklamlara tıkladığında hassas kişisel verileri toplamak için reklam takip piksellerini silah olarak kullanıyor. Jscrambler tarafından yayınlanan yeni bir araştırma, bu şirketlerin kendi müşterilerini casusladığını ortaya koydu.
Takip Pikselleri Nasıl Çalışıyor?
Takip pikselleri, bir web sitesine enjekte edilen ve sayfa her yüklendiğinde çalışarak kullanıcı verilerini hizmet sağlayıcının sunucularına gönderen JavaScript kod parçacıklarıdır. W3Techs verilerine göre, tüm web sitelerinin %9'u Meta pikselini, %0.7'si ise TikTok pikselini çalıştırıyor.
Çalınan Veriler Neleri Kapsıyor?
Araştırmacılar, Meta ve TikTok piksellerinin şunları topladığını tespit etti:
- Kişisel Tanımlayıcı Bilgiler (PII): Ad, soyad, e-posta adresi, telefon numarası, konum
- Kredi Kartı Detayları: Son dört hane, son kullanma tarihi, kart sahibi adı
- Alışveriş Davranışları: Ürün isimleri, fiyatlar, miktarlar, kullanılan para birimi, sepet değerleri
- Form Yapıları: Meta, reklamverenlerin ödeme formlarının ve butonlarının yapısını da kaydediyor
Gizlilik Tercihleri Yok Sayılıyor
En kritik bulgu: Bu pikseller, kullanıcının veri paylaşım tercihlerini tamamen yok sayıyor. "Kişisel Bilgilerimi Paylaşma" seçeneği işaretlenmiş olsa bile, pikseller sayfa yüklendiği anda çalışmaya başlıyor. Jscrambler güvenlik araştırma başkanı Gareth Bowker, "Piksel scriptleri ile 'gerçek' infostealer'lar arasındaki temel fark, piksel scriptlerinin bir gizlilik politikasına sahip olması" diyor.
Reklamverenler Yasal Risk Altında
Bowker, sorumluluğun sadece Meta ve TikTok'ta olmadığını vurguluyor: "Birçok şirket, web sitelerinin hassas bölümlerine yerleştirdikleri üçüncü taraf araçları tam olarak anlamıyor veya incelemiyor. Bu durum, müşteri güvenini kaybetme, itibar zedelenmesi, uyumluluk sorunları ve gereksiz üçüncü taraf riskine maruz kalma anlamına geliyor."
GDPR ve California Consumer Privacy Act (CCPA) ihlalleri zaten sosyal medya şirketlerinin iş modelinin bir parçası. Ancak bu takipçileri çalıştırmayı kabul eden reklamverenler, üstlenebilecekleri yasal riskleri öngörmemiş olabilir.
Önceki Davalar Ne Gösteriyor?
Mass General Brigham ve Dana-Farber Kanser Enstitüsü'ne açılan toplu dava, benzer durumlarda ne olabileceğini gösteriyor. 2021'de bu kurumlar, ziyaretçilerinin kişisel ve sağlıkla ilgili online davranışlarının üçüncü taraflarca toplanması konusunda yeterince bilgilendirilmedikleri gerekçesiyle 18 milyon dolar tazminat ödemeyi kabul ettiler.
Bowker'in uyarısı net: "İşletmeler potansiyel tuzakların farkındaysa ve bu araçları incelemeyi, kısıtlamayı veya kaldırmayı başaramazsa, özellikle bireylerin gizliliğini korumak için tasarlanmış yasalar ihlal edildiğinde, işletmelerini riske atarlar."
Kaynak: darkreading.com
Yorumlar
0İlgili Makaleler
CISA, İran Destekli Saldırı Sonrası Endpoint Yönetim Sistemlerini Sertleştirmeyi Tavsiye Etti
CISA, Stryker'a yönelik Handala saldırısı sonrası BT liderlerini endpoint yönetim sistemlerini sertleştirmeye çağırdı. Phishing dirençli MFA ve çoklu yönetici onayı vurgulandı.
Ucuz KVM Cihazları Ağınıza Uzaktan Erişim Riski Getiriyor
Eclypsium araştırmacıları dört popüler düşük maliyetli KVM-over-IP cihazında dokuz zafiyet tespit etti. Kimlik doğrulama atlatmadan firmware manipülasyonuna kadar uzanan açıklar kritik risk oluşturuyor.
AI İkilemi: MCP Güvenliği Neden Yamalanamaz?
RSAC 2026'da sunulan araştırma, MCP'nin LLM ortamlarında yarattığı mimari güvenlik risklerini ortaya koyuyor. Yamalarla çözülemeyen bu sorunlar için yeni savunma stratejileri.
Ubiquiti UniFi'de Kritik Güvenlik Açığı: Hesap Ele Geçirmeye İzin Veriyor
Ubiquiti, UniFi Network uygulamasında CVSS 10.0 şiddetinde yol gezinme açığı ve CVSS 7.7 ayrıcalık yükseltme açığını yamaledi. Kullanıcılar 10.1.89 sürümüne güncellemeli.