Tekerlekli casuslar: Otomobil üreticileri bilgileri nasıl topluyor ve sonrasında nasıl yeniden satıyor

Analiz ve yeniden satış amacıyla kişisel bilgilerinizi toplama konusunda sahip olduklarınız arasında en aktif olanın hangisi olduğunu tahmin edebilir misiniz?

Otomobiliniz. Mozilla Vakfı uzmanlarına göre ne akıllı saatler, akıllı hoparlörler, güvenlik kameraları ne de Gizlilik Dahil Değil projesi tarafından analiz edilen diğer cihazlar, modern otomobillerin veri toplama hacimlerine yaklaşamıyor. Bu proje, cihazların sahiplerinin kişisel verilerini nasıl kullandığını anlamak için kullanıcı sözleşmelerini ve gizlilik politikalarını inceleyen uzmanları içeriyor.

Proje tarihinde ilk kez, incelenen otomobil markalarının tamamı (25’te 25’i) kabul edilemeyecek derecede kapsamlı kişisel bilgi toplama, kullanımındaki şeffaflık eksikliği, yetersiz belgelenmiş veri iletimi ve depolama uygulamaları (örneğin, şifrelemenin kullanılıp kullanılmadığı bilinmemesi) için “kırmızı kart” aldılar. Daha da kötüsü, 25 markadan 19’u resmi olarak topladıkları bilgileri yeniden satabileceklerini belirtiyor. Bu tür gizlilik ihlallerinin pastadaki kreması, otomobil sahiplerinin veri toplama ve aktarımından vazgeçme konusunda neredeyse hiçbir güce sahip olmamasıdır: yalnızca iki marka, Renault ve Dacia, sahiplerine toplanan kişisel verileri silme hakkı sunmaktadır; ancak bu hakkı kullanıp kullanmamanız gerektiğini anlamak bile o kadar kolay değil.

Otomobil alıcılarının genellikle okumadan bile kabul ettiği lisans sözleşmelerinin derinliklerinde gizlilik haklarının tamamen ölçüyü aşan ihlalleri var. Burada otomobil sahibi örneğin “demografik bilgiler”, “görüntüler”, “ödeme bilgileri”, “coğrafi konum” vb. gibi kasıtlı olarak belirsiz isimler içeren 160 diğer veri kategorisine ek olarak, sahibinin cinsel tercihlerini ve genetik bilgilerini paylaşma izni (Nissan), kolluk kuvvetlerinin resmi olmayan talepleri üzerine bilgilerin açıklanması (Hyundai) ve stres düzeylerine ilişkin verilerin toplanmasına onay vermektedir.

Derecelendirmelerdeki en kötü marka, diğer olası ceza puanlarının yanı sıra özel bir etiket olan “Güvenilmez Yapay Zeka” kazanan Tesla’ydı.

Otomobiller nasıl bilgi toplar

Modern otomobiller kelimenin tam anlamıyla sensörlerle doludur; motor sıcaklığı, direksiyon simidi açısı veya lastik basıncı gibi şeyleri ölçen motor ve şasi sensörlerinden çevre ve iç kameralar, mikrofonlar ve direksiyon simidindeki el varlığı sensörleri gibi daha ilginç sensörlere kadar çeşitlilik gösterir.

Bunların hepsi tek bir veriyoluna bağlı olduğundan, bu yüzden otomobilin ana bilgisayarı tüm bu bilgileri merkezi olarak alır. Ek olarak, tüm modern otomobiller GPS ve hücresel iletişim, Bluetooth ve Wi-Fi modülleriyle donatılmıştır. Birçok ülkede hücresel iletişim ve GPS’in varlığı yasalarca zorunlu kılınmıştır (bir kaza durumunda otomatik olarak yardım çağırmak için), ancak üreticiler bu işlevi hem sürücünün hem de kendilerinin rahatlığı için memnuniyetle kullanırlar. Otomobilin ekranından rota planlayabilir, arızaları uzaktan teşhis edebilir, otomobili önceden çalıştırabilirsiniz… Ve elbette, “sensörler ve kameralar → otomobil bilgisayarı → hücresel ağ” köprüsü bilgi toplamak için sabit bir kanal oluşturur: bu bilgiler nereye gidiyorsunuz, nereye ve ne kadar süreyle park ediyorsunuz, direksiyonu ne kadar keskin çevirip hızlanıyorsunuz, emniyet kemeri vb. kullanıp kullanmadığınıza dair bilgilerdir.

Arama yapmak, müzik dinlemek, gezinmek vb. için sürücünün akıllı telefonu otomobilin yerleşik sistemine bağlandığında daha fazla bilgi toplanır. Akıllı telefon, otomobil işlevlerini kontrol etmek için üreticisinin mobil uygulamasıyla donatılmışsa, sürücü otomobilde olmasa bile veriler toplanabilir.

Buna karşılık, kameralar, mikrofonlar, Wi-Fi erişim noktaları ve Bluetooth işlevleri aracılığıyla yolcularla ilgili bilgiler toplanabiliyor. Bunlar sayesinde kimlerin düzenli olarak sürücü ile otomobilde seyahat ettiğini, ne zaman ve nereye girip çıktığını, hangi akıllı telefonu kullandığını vb. öğrenmek çok kolay.

Otomobil üreticileri neden bu bilgilere ihtiyaç duyuyor?

Daha fazla para kazanmak için. “Ürün ve hizmetlerin kalitesini artırmaya” yönelik analizlerin yanı sıra veriler yeniden satılabilir ve otomobilin özellikleri, üreticinin daha fazla kâr elde etmesi için uyarlanabilir.

Örneğin sigorta şirketleri, kaza olasılığını daha doğru tahmin etmek ve sigorta maliyetlerini ayarlamak için belirli bir sürücünün sürüş tarzı hakkında bilgi satın alır. Daha 2020 yılında, otomobillerin %62’si bu tartışmalı işlevle fabrikada donatılmıştı ve bu rakamın 2025 yılı itibariyle %91’e çıkması bekleniyor.

Pazarlama şirketleri de bu tür verileri, reklam sahibinin gelirine, medeni durumuna ve sosyal durumuna göre reklamlarını hedeflemek için kullanmaya isteklidir.

Ancak kişisel verileri yeniden satmadan bile, BMW’nin ısıtmalı koltuklarla yapmayı başaramamasından dolayı abonelikler yoluyla ek araç işlevlerini etkinleştirmek veya devre dışı bırakmak veya ödeme güçlüğü durumunda zorla araç kilitleme uygulaması ile pahalı otomobilleri krediyle satmak gibi pek çok hoş olmayan para kazanma senaryosu vardır.

Veri toplama ve telematikte başka hangi sorunlar var?

“Reklamlarda yanlış bir şey olmadığını” ve “hakkımda öğrenebilecekleri ilginç bir şey olmadığını” düşünseniz bile, yukarıda açıklanan teknolojiler nedeniyle sizin ve otomobilinizin maruz kaldığı ek riskleri göz önünde bulundurun.

Veri sızıntıları. Üreticiler bilgilerinizi aktif olarak toplar ve yeterli koruma olmadan kalıcı olarak saklar. Kısa bir süre önce Toyota, tamamı bulut özellikli milyonlarca taşıttan toplanan 10 yıllık verilerinin sızdırdığını itiraf etti. Audi’nin 3.3 milyon müşteriye ilişkin bilgileri sızdırılmıştı. Diğer otomobil üreticileri de veri ihlallerinin ve siber saldırıların kurbanı oldu. Bu kadar çok kişisel veri yalnızca pazarlamacıların değil, gerçek suçluların ve dolandırıcıların eline geçerse bu durum felaket anlamına gelebilir.

Hırsızlık. 2014 yılında, bulut işlevleri aracılığıyla bir taşıtın çalınma olasılığını araştırdık. 2015’ten bu yana, suçluların bir otomobili uzaktan ele geçirmesinin fütüristik bir fantezi değil, acı bir gerçek olduğu açıkça ortaya çıktı. Son yıllardaki otomobil hırsızlıkları genellikle meşru bir uzaktan kumandalı anahtarlıktan gelen sinyallerin uzaktan iletilmesinden yararlanıyor, ancak geçen yılki KIA ve Hyundai salgını “TikTok kaçırmaları” otomobilin akıllı işlevlerine dayanıyordu ve hırsızın yalnızca bir USB sürücüsü takmasını gerektiriyordu.

Akrabaların gözetimi. Otomobil size değil de bir akrabanıza veya işverene ait olduğunda, sahibi otomobilin konumunu takip edebilir, kullanımı için coğrafi sınırlar belirleyebilir, hız sınırlarını ve izin verilen sürüş sürelerini belirleyebilir ve hatta ses sisteminin ses seviyesini bile kontrol edebilir! Volkswagen ve BMW gibi birçok otomobil markası bu tür özellikler sunuyor. Takip yazılımı araştırmamızdan ve yakın zamandaki AirTag takip skandallarından bildiğimiz gibi, bu tür kabiliyetler adeta istismar edilmek için adeta can atıyor.

Riskler nasıl azaltılır?

Sorunun boyutu nedeniyle basit çözümler yok. Bu nedenle, radikalliğin azalan sırasında bazı hafifletme seçenekleri bulunur:

1. Yürüyün veya bisiklet sürün.
2. Eski model bir otomobil satın alın. 2012’den önce üretilen otomobillerin neredeyse tamamı çok sınırlı veri toplama ve aktarma kapasitesine sahiptir.
3. Minimum sayıda “akıllı” sensöre sahip ve/veya iletişim modülü olmayan bir otomobil satın alın. Bazı üreticiler sınırlı kabiliyetlere sahip temel konfigürasyonlar sunmaktadır ancak bu, kullanım kılavuzunun dikkatle okunmasını gerektirir. Otomobilde özel bir iletişim modülünün (GSM/3G/4G) bulunmaması, kabiliyetlerinin sınırlı olduğunun güvenilir bir işaretidir. Gittikçe daha fazla otomobilin temel konfigürasyonlarda bile akıllı özelliklerle geldiğini unutmayın (bu yol zaten Akıllı TV’ler tarafından açıldı; bunlar veri toplayıp satarak para kazanırlar).
4. Otomobilinizin mobil uygulamasını telefonunuza yüklemeyin. Elbette, otomobili akıllı telefonunuzdan çalıştırmak veya binmeden önce ısıtmak genellikle kullanışlıdır, ancak harcadığınız paraya ek olarak bu özellikler için son derece kişisel bilgilerle ödeme yapmak gerekli mi? Bu konu fazlasıyla tartışmaya açık.
5. Apple’ın CarPlay veya Android Auto eşleştirme işlevlerini etkinleştirmeyin. Bu işlevler etkinleştirildiğinde, akıllı telefon işletim sistemi üreticisi otomobilden her türlü bilgiyi alır ve buna karşılık olarak da otomobil de telefondan bilgileri alır.
6. Otomobilinizi Bluetooth veya Wi-Fi üzerinden telefonunuza bağlamayın. Bu şekilde yine bazı işlevsellikleri kaybedersiniz, ancak en azından otomobil telefon üzerinden üreticiye bilgi göndermeyecek ve telefonun adres defterini ve diğer kişisel verilerini indirmeyecektir. Yalnızca “kulaklık” ve “telefon kulaklığı” protokolleri için bir Bluetooth bağlantısı kurarak bir orta yol bulabilirsiniz: otomobil hoparlörleri aracılığıyla telefonunuzdan müzik çalabilirsiniz, ancak diğer veri türlerinin (adres defteri gibi) aktarımı mümkün olmaz.
7. Öncekileri hariç tutmayan bir bonus ipucu: Mozilla, otomobil üreticilerine toplu bir dilekçe imzalamayı önerdi, onları iş modellerini değiştirme ve müşterileri gözetleyerek para kazanmayı bırakma çağrısında bulundu. Bu konuda dilekçe sunan insanlara yetki verilmelidir!