FTC, stalkerware kurucusu Scott Zuckerman'a yönelik yasağı onayladı

ABD Federal Ticaret Komisyonu'na göre, müşterilerinin ve casusluk yaptıkları kişilerin kişisel bilgilerinin açığa çıkmasına neden olan bir veri ihlali sonrasında gözetim sektöründen men edilen bir takip yazılımı üreticisi, istilacı yazılımı satmaya geri dönemeyecektir.

FTC, tüketici casus yazılım şirketi Support King'in ve yan kuruluşları SpyFone ve OneClickMonitor'un kurucusu Scott Zuckerman'ın yasağı iptal etme talebini reddetti.

Pazartesi günü FTC, Zuckerman'ın bu yılın Temmuz ayında yasak kararını iptal etmesi veya değiştirmesi için federal gözlemciye dilekçe vermesinin ardından bir basın açıklamasıyla reddi duyurdu.

2021 yılında FTC, Zuckerman'ın “herhangi bir gözetleme uygulamasını, hizmetini veya işletmesini sunmasını, tanıtmasını, satmasını veya reklamını yapmasını” yasaklayarak onun başka bir takip yazılımı işi yürütmesini etkili bir şekilde engelledi. Ajans ayrıca Zuckerman'a SpyFone tarafından toplanan tüm verileri silmesini, ayrıca sık sık denetimlerden geçmesini ve işletmeleri için belirli siber güvenlik uygulamaları oluşturmasını da emretti.

O zamanlar FTC Tüketiciyi Koruma Bürosu direktör vekili olan Samuel Levine, “SpyFone, sapkınların özel bilgileri çalmasına yardımcı olan bir gözetim işinin küstah bir markasıdır” dedi. “Stalkerware cihaz sahiplerinden gizlendi ancak şirketin üstünkörü güvenliğinden yararlanan bilgisayar korsanlarına tamamen maruz kaldı.”

Dilekçeye göre Zuckerman, dilekçesinde, Support King'in artık faaliyet göstermemesine ve Porto Riko'da yalnızca bir restoran işletmesine ve başka “turizm girişimleri” planlamasına rağmen, FTC emrinin güvenlik gerekliliklerinin mali maliyetler nedeniyle diğer işletmelerini yürütmesini zorlaştırdığını iddia etti.

E-posta yoluyla kendisine ulaşıldığında Zuckerman yorum yapmayı reddetti ve soruları avukatına iletti.

FTC yasağı, 2018'de bir güvenlik araştırmacısının SpyFone'a ait, selfie'ler, kısa mesajlar, sohbet uygulaması mesajları, ses kayıtları, kişiler, konum, karma şifreler ve oturum açma bilgileri ve daha fazlası dahil olmak üzere son derece hassas verileri herkesin görebilmesi ve erişebilmesi için çevrimiçi olarak açığa çıkaran bir Amazon S3 paketi bulması sonucu ortaya çıkan bir olaydan kaynaklandı.

Açığa çıkan veriler arasında 44.109 benzersiz e-posta adresi ve ihlali bulan araştırmacıya göre, SpyFone takip yazılımının yüklü olduğu 3.666 telefondan “en az 2.208 mevcut 'müşteri' ve her klasörde yüzlerce veya binlerce fotoğraf ve ses” yer alıyordu.

2021 FTC emrinin üzerinden bir yıldan az süre geçtikten sonra Tmzilla, Zuckerman'ın başka bir takip yazılımı şirketi işletiyor gibi göründüğünü bildirdi. 2022'de Tmzilla, takip yazılımı uygulaması SpyTrac'tan çok sayıda ihlal edilmiş veri aldı. Veriler, SpyTrac'in, FTC yasağını aşmak için bir girişim gibi görünen, Support King ile doğrudan bağlantısı olan serbest geliştiriciler tarafından çalıştırıldığını ortaya çıkardı. Ayrıca, ihlal edilen veriler arasında Zuckerman'a silme talimatı verilen SpyFone kayıtları ve takip yazılım uygulamalarından biri olan OneClickMonitor'un bulut depolama alanına erişim anahtarları da yer alıyordu.

Takip yazılımları konusunda önde gelen uzmanlardan Eva Galperin haberi kutladı. Galperin, Tmzilla'a şunları söyledi: “Bay Zuckerman, eğer birkaç yıl ortalıkta gözükmezse, herkesin FTC'nin yalnızca şirkete karşı değil, özellikle kendisine karşı da yasaklama yayınlamasının nedenlerini unutacağını umuyordu.”

Dijital haklar kar amacı gütmeyen Electronic Frontier Foundation'ın siber güvenlik direktörü Galperin, Tmzilla'ın 2022'de Zuckerman'ın açıkça FTC yasağını ihlal ettiğini ortaya çıkarması, “Zuckerman'ın dersini almadığını gösteriyor” diye ekledi.

Stalkerware uygulamaları, müşterilerinin sevdiklerinin telefonlarını ve cihazlarını gizlice gözetlemelerine olanak tanıyor. Tmzilla'ın çetelesine göre, potansiyel olarak yasa dışı faaliyetleri mümkün kılmanın yanı sıra, son sekiz yılda en az 26 takip yazılımı şirketi saldırıya uğradı veya hassas veriler çevrimiçi ortamda açığa çıkarıldı. Tekrarlanan bu olaylar, bu şirketlerin müşterilerinin ve gözetledikleri kişilerin gizliliğini korumada defalarca başarısız olduklarını gösteriyor.