Google Ad-Tech Kullanıcıları Ulusal Güvenlik 'Karar Vericilerini' ve Kronik Hastalığı Olan Kişileri Hedef Alabilir

---

Google'ın reklam ekosisteminin iç işleyişine ilişkin WIRED'ın yaptığı bir araştırma, şirketin kendi kurallarına rağmen, Amerikalıların hassas bilgilerinin dünya çapındaki en büyük markalardan bazılarına açıkça sunulduğunu ortaya koydu. Uzmanlar, bu bilginin diğer verilerle birleştirildiğinde belirli kişileri tespit etmek ve hedeflemek için kullanılabileceğini söylüyor.

Araştırma devi tarafından sunulan baskı ve video 360 (DV360) platformlarından biri, şirketlere, Amerika Birleşik Devletleri'ndeki cihazları, kronik hastalıklar ve mali sıkıntılar gibi diğer kişisel veriler dahil, Google'ın kamu politikaları uyarınca iddia edilen yasaklanmış kategorilerdeki internet kullanıcılarının listelerine göre hedefleme seçeneği sunuyor.

Platformda fiyat karşılığında erişilebilen diğer Amerikalı kullanıcı listeleri, uzmanlar tarafından, ABD yargıçları ve askeri personelinden, yürütme kurumu personeli ve Capitol Hill çalışanlarına kadar, hükümet çalışanlarının taşıdığı milyonlarca mobil cihazı izole etmeye çalışan veri aracılarının ortaya çıkardığı bilgiler nedeniyle ciddi ulusal güvenlik endişeleri oluşturuyor.

WIRED tarafından ilk kez incelenen ve ABD merkezli bir veri aracısından elde edilen iç bir elektronik tablo, DV360 platformunun şu anda yüzlerce hatta binlerce kısıtlı veya hassas "hedef kitle segmenti" barındırdığını gösteriyor. Her segment, ABD'deki sayısız mobil cihaz ve çevrimiçi profiline işaret eden büyük bir veri parçası içeriyor. Segmentler Google tarafından değil, DV360 müşterileri tarafından sistemlerine yükledikleri için oluşturuluyor ve diğerleri tarafından belirli hedef kitlelere reklam hedeflemek için kullanılıyor.

İrlanda'nın en eski bağımsız insan hakları kuruluşu olan İrlanda Sivil Özgürlükler Konseyi (ICCL) tarafından ilk olarak elde edilen veriler, kronik ağrı ve menopoz'dan fibromiyalji, psoriasis, artrit, yüksek kolesterol ve yüksek tansiyona kadar yüz milyonlarca cihaz kullanıcısını hedef alan segmentleri ortaya koyuyor.

Google sözcüsü Erica Walsh, "Diğer talep tarafı platformlarda olduğu gibi, reklamverenler, kendi birincil verilerine veya segment sağlayıcılarından gelen verilere dayanarak hedef kitle listelerini Display & Video 360'a yükleyebiliyor" diyor. "Politikalarımız, istihdam, sağlık durumu, mali durum gibi hassas bilgilere dayalı hedef kitle segmentlerinin kullanılmasına izin vermiyor."

Buna rağmen, verilerde yer alan çok sayıda segment, tamamen mali sıkıntı yaşadıklarını gösteren verilerle evlere ve işletmelere odaklanıyor; örneğin, iflas sürecinde olan veya uzun vadeli borçlarla yükümlü kişileri belirlemek için reklamverenlere yardımcı olmayı hedefliyor.

Google sözcüsü Allison Bodack, WIRED'a şirketin "uygun olmayan hedef kitle segmentlerini tespit ettiğinde harekete geçeceğini" söylüyor. "Kardiyovasküler sorunu olma olasılığı yüksek bireyler" veya "Astım gibi solunum yolu hastalığı olma olasılığı yüksek çocukların ebeveynleri" gibi tanımlara sahip segmentlerin neden tespit edilmediği sorulduğunda Bodack yanıt vermedi.

DV360 aracılığıyla erişilebilen ve astımlı Amerikalıları hedef alan segmentler, en az yüz milyonlarca mobil kimlik içeriyor. Bunlar arasında sadece "Astımı olan kişiler" başlığı altında bir liste bulunuyor. Kullanıcılarının diyabetli olduğu varsayılan listelerde yüz milyonlarca daha fazla kimlik bulunuyor. Belirli ilaçlara, bazı kontrol altında tutulan maddelere ihtiyaç duyacakları düşünülen kullanıcıları hedefleyen listelerde çok sayıda cihaz ve kullanıcı profili bulunuyor. Bir liste, 140 milyondan fazla mobil kimliği, yaygın bir "opioid kaynaklı" yan etkisinden kurtulmaları gerektiğini düşündüren opioid kullanımına bağlıyor.

Google, reklamverenlere "Endokrin bozukluğu olma olasılığı yüksek kişiler" listesine erişim sağlayan bir veri aracısının kurallarını ihlal edip etmediği sorulduğunda yanıt vermedi. (Şirket sadece politikalarının bu tür segmentlerin "kullanılmasına izin vermediğini" belirtti.) ABD hükümetindeki ulusal güvenlik işlerinde çalışan veya sınırlı ABD savunma teknolojilerine erişimi olan sözleşmeli çalışanları hedef alan hedef kitle segmentlerine herhangi bir risk seviyesi atayıp atamadığı sorulduğunda Google'ın sözcüleri yanıt vermedi.

ICCL tarafından elde edilen 33.000 hedef kitle segmentinden oluşan liste arasında, WIRED, hassas hükümet işlerinde çalışan kişileri belirlemeyi hedefleyen birkaç segment belirledi. Örneğin, "özellikle ulusal güvenlik alanında çalışan" karar vericiler olarak kabul edilen ABD hükümet çalışanlarını hedefliyor. Diğer segment ise, füzelerden uzay fırlatma araçlarına ve sınıflandırılmış askeri ve istihbarat verilerini barındıran şifreleme sistemlerine kadar savunma teknolojilerini üretmek ve ihraç etmek için Dışişleri Bakanlığı'na kayıtlı şirketlerde çalışan bireyleri hedefliyor.

Google platformunun işleyişi hakkında ilk elden bilgi sahibi olan kaynaklar, iş yerlerindeki intikam alma olasılığına karşı anonimlik koşuluyla onayladılar. Google'ın reklam alıcılarının bu segmentlere gerçekten erişebildiğini doğruladılar. Google Ads, genellikle bireyler ve küçük işletmeler tarafından ücretsiz olarak kullanılan bir platformken, DV360, aylık 50.000 dolardan fazla reklam satın alan şirketler için tasarlanmış ücretli bir platformdur. Google'ın DV360 ortakları arasında Disney ve NBCUniversal gibi şirketler yer alıyor.

Global Cyber Strategies CEO'su ve yakında yayımlanacak olan "Teknoloji ve Ulusal Güvenlik Yolculuğu" kitabının yazarı Justin Sherman, "Bu, yabancı bir düşmanın ilgisini çekebilecek, görünüşte önemsiz bir veri türü" diyor. "Her veri kümesinde bulunmuyor, ancak bir tıbbi durum, güçlü bir ilacın kullanımı ve potansiyel olarak bir istihbarat bağlamında istismar edilebilecek bir şeye işaret ediyor."

Son on yıldır çevrimiçi reklamcılık, geniş bir kaynaktan toplanan gözetim verilerine dayalı bireyleri "mikro hedeflemek" için teknolojiler içerecek şekilde evrim geçirdi. Kullanıcılar, benzersiz mobil tanımlayıcıların yardımıyla bireyleri izole etmeyi amaçlayan veri aracıları tarafından "segmentlere" ayrılıyor. Mobil cihazlar için atanmış alfanümerik dizeler ve reklam ekosisteminde yaygın olarak paylaşıldığı biliniyor. Bu mobil kimlikler, sadece bir kullanıcının hareketlerini değil, kullandıkları uygulamaları da dahil olmak üzere çevrimiçi alışkanlıklarını takip etmek için kullanılıyor ve web tarama davranışını ve satın alma bilgilerini takip eden "çerezler" ile düzenli olarak birleştiriliyor.

Mobil kimlikler ve diğer reklam tabanlı tanımlayıcıların amacı, görünüşte, kullanıcıların kimliklerini korumaya yardımcı olmaktır; ancak, diğer veri kümeleriyle birleştirildiğinde, bilgilerinin "anonimleştirildiği" kişilerin yeniden tanımlanmasının önemsiz hale gelebileceği bir sır değil.

ABD Ulusal İstihbarat Bürosu tarafından Haziran 2023'te gizlilikten çıkarılan bir hükümet raporu, ticari verilerin çeşitli bilgilerle ilgili kimlikleri tersine mühendislik yoluyla veya anonimliği kaldırmak için birleştirilebileceğini belirtiyor. O dönemde ulusun en üst istihbarat görevlisinin danışmanları raporunda, "Yanlış ellere geçtiğinde [ticari olarak elde edilebilir bilgi] aracılığıyla elde edilen hassas bilgiler, şantaj, taciz, taciz ve kamuoyu linçine yol açabilir" diye eklediler.

Bu konuyu göstermek için, Google'ın reklam değiş tokuşunun çevresinde bulunan birçok veri aracı, anonim profilleri kamu ve hükümet kaynaklarından alınan bilgilerle "zenginleştirerek" pazarlamacıların bireysel tüketiciler hakkında karmaşık dosyalar hazırlamasına yardımcı oluyor. Bu genellikle kredi kartı işlemleri, sosyal medya gönderileri, iflas dosyaları, araç kayıtları, istihdam kayıtları ve web siteleri, uygulamalar ve IoT cihazlarından sessizce toplanan çok sayıda web izleme verilerini içerir.

Bu erişimle, veri aracıları, örneğin "silahlı kuvvetler kariyerine sahip" ve "genel olarak kumar oynayan" veya "aktif muhafazakâr seçmen" ve muhtemelen "sınıf mücadelesine katılma olasılığı yüksek" olan potansiyel hedef kişilerden oluşan özelleştirilmiş listeler oluşturmayı amaçlıyorlar.

ICCL tarafından sağlanan veriler.

Verilerin ICCL tarafından ilk olarak nasıl elde edildiği, rakip yabancı istihbarat kurumlarının Amerikalıların verilerine minimum çaba ile nasıl erişebileceğine dair temel bir örnek sunuyor. ICCL'nin araştırma birimi Enforce'un direktörü Johnny Ryan, erişimin ne kadar kolay olduğunu görünce şaşırdığını söylüyor. "Kapsamlı bir süreç için hazırlıklıydım; gizliliğimi test edecekti" diyor, "ancak kayıt olduğumda hiç sorulmadı."

Veri aracısının segmentlerine erişmek için Ryan, sahte bir "veri analitiği" şirketi için bir web sitesi oluşturdu. "Şirket" resmi olarak hiçbir yerde kayıtlı değil, yalnızca birkaç web sayfasından oluşuyor. Ryan, üzerinde görünüşte savaşın ortasında bir Rus askerinin resmini ve Ukrayna haritasını yerleştirdi. Şirketin çalışması, "özel müşterilere", alanda "hedefler" hakkında "gerçek zamanlı" farkındalık sağlamasında yardımcı olmak olarak belirsizce tanımlanıyor. Ryan, ABD merkezli veri aracılarına yaklaşırken bu inanılmaz örtüyü kullandı.

"Herkes olabilirdim" diyor.

Süregelen araştırmanın bütünlüğünü korumak için WIRED, ICCL tarafından izlenen herhangi bir veri aracıyı tanımlamayı geciktirmeyi kabul etti.

Ryan'ın reklam teknolojisi kötüye kullanımı konusundaki araştırması, 2024 yılında Federal Ticaret Komisyonu (FTC) tarafından Mobilewalla adlı bir veri aracı şirketine karşı açılan bir dava için bilgi sağladı. FTC'nin iddiasına göre Mobilewalla, "hamile kadınları ve genç anneleri" özel olarak hedeflemek için kullanılan segmentlere yaygın olarak erişim sağlamış, aynı zamanda insanların tıbbi tesisleri ve ev içi şiddet sığınaklarını ziyaretlerini izleyen mobil kimlikler de satmıştır. (Benzer şekilde, WIRED, ICCL'nin verilerinde hamile kadınlara bağlı milyonlarca mobil cihazı ve "yatkınlık" kelimesini içeren "hastalığa" atıfta bulunan 140'tan fazla listeyi belirledi. 51 milyon mobil kimlik, önleyici bakımı muhtemelen yetersiz bırakma olasılığı yüksek kadınlara özel bir segment oluşturuyor.)

FTC hükümet şikayetine göre, Mobilewalla 2021 yılında tek başına 183 milyondan fazla mobil kimlik topladı. Şirket, 2018 ile 2020 arasında verilerinin yaklaşık %60'ını, reklamverenlerin çevrimiçi reklam alanları için yıldırım hızında açık artırmalarda yarıştığı pazar yerleri olan gerçek zamanlı teklif (RTB) değişimlerinden doğrudan sağladı.

Enforce ve Elektronik Gizlilik Bilgi Merkezi (EPIC) tarafından geçen ay yapılan bir şikayet, FTC'yi, Google'ın RTB araçlarının hassas verilerin yabancı düşmanlara sunulmasına izin verip vermediğini araştırmaya çağırıyor. Ryan ve diğer uzmanların söylediğine göre, bu bilgiler "aktif askeri, istihbarat personeli ve önemli liderler" ile ilişkili çok büyük miktarda kişisel veriyi içerir.

Verilerde yansıyan koşullar, davranışlar ve özellikler, örneğin finansal borç olasılığı, yüksek alkol kullanımı eğilimi ve belirli tıbbi durumlar, bir federal çalışanın gizli bilgiye erişiminin uygunluğunu olumsuz etkileyebilecek kriterlerdir ve bu da şantaj amacıyla kullanılabileceğine işaret etmektedir.

EPIC ve Enforce, Google'ın hem "doğrudan" hem de "dolaylı" olarak Çin de dahil olmak üzere yabancı düşmanlara "Amerika'nın liderleri ve hassas savunma personeli" hakkında "olağanüstü derecede hassas" ticari veri sağladığını öne sürerek, Google'ı geniş ve yaygın olarak göz ardı edilen bir "ulusal güvenlik krizi"nin ardındaki baskın ticari varlık olarak suçluyor.

EPIC'in üst düzey avukatı Sara Geoghegan, "Google'ın kendine özgü düzenlemeleri bizi koruyamaz" diyor. Şikayeti, geçen yıl yeni bir federal yasa olan Yabancı Düşmanlara Karşı Amerikalıların Verilerini Koruma Yasası (PADFAA) kapsamında veri aracı anlaşmaları konusunda getirdiği kısıtlamalara işaret ediyor. Geoghegan'a göre, Google'ın reklam araçları, Kongrenin FTC'nin ortadan kaldırmakla görevlendirdiği benzersiz bir ulusal tehdit oluşturuyor.

Google sözcüsü Erica Walsh, şirketin herhangi bir yanlış davranışta bulunduğunu reddediyor. Örneğin, Google'ın reklam değişimlerinin Çinli şirketlerden iş kabul etmeye devam ettiğini, ancak Rus varlıklarla veri paylaşımını uzun süre önce durdurduğunu söylüyor. Geçen yıl, Google, ABD tüketicileri hakkında alacakları bilgi türlerini sınırlandırmak için Çin ile bağlantısı olan şirketleri belirlemek için yeni bir sistem geliştirdi. "Bu, ABD'deki belirli bir kullanıcıya bağlı verileri, bilinen bu varlıklara teklif talepleri için paylaşmadığımız anlamına gelir" diyor.

FTC henüz PADFAA temelli bir dava açmadı ve bu konu hakkında yorum yapmayı reddetti. Ancak yasa, sadece "belirli bir kullanıcıya bağlı" verilerden çok daha ötesine geçiyor. Google ve diğer ABD şirketleri artık, ne kadar anonim olursa olsun, diğer verilerle birleştirildiğinde belirli bir kullanıcıya bağlanabilen herhangi bir bilgiyi, düşman ülkelerle bağlantılı şirketlere sağlayamayacaklar.

Çin'in dünyanın en büyük güvenlik ve istihbarat aparatı olduğu ve onlarca yıldır ABD şirketlerini ve kurumlarını veri çalmak için ele geçirmiş bir siber saldırgan ordusu çalıştırdığı bildiriliyor. En son olarak ülkenin en az 11 telekomünikasyon ağını ele geçirdi.

Global Cyber Strategies'ten Sherman, "Çin hükümetinin bir mobil reklam kimliğini bir kişinin adına bağlamasının bir şaka olacağını" söylüyor.

Walsh, Google'ın yeni kurallarına göre, Çinli varlıklara sunulan RTB verilerinden mobil kimliklerin otomatik olarak çıkarıldığını belirtiyor. Diğer tanımlayıcılarla birlikte, Google, cihazların reklam alan yerlerinin konum bilgilerini de kaldırılarak, Çinli şirketlerin görebileceği şeyi bir şehrin adı ile sınırlandırıyor. Google, bir Amerikalı'nın kullandığı bir web sayfasının URL'sini veya bir uygulama adını vereceğini söylüyor, ancak yalnızca gerçek zamanlı olarak.

Uyumluluğun sağlanması için Walsh, yetkilendirilmiş RTB alıcılarını "düzenli olarak" denetleyecek bağımsız bir şirketin çalıştığını söylüyor. Google, denemeler hakkında daha fazla bilgi vermedi, ancak kamu belgeleri, onların Google tarafından karşılandığı ve her 12 aylık dönemde yalnızca bir kez gerçekleştiği yönündeydi.

Uzun süredir reklamcılık sektöründe araştırmacı ve siber güvenlik firması Silent Push'ta üst düzey tehdit araştırmacısı olan Zach Edwards, Google'ın Çin'e veri akışını sınırlama girişimlerinin nihayetinde çok az etkiye sahip olabileceğini söylüyor. Bir şirket bir teklifi kazandığında ve reklamı bir web sayfasında yayınlandığında, Google'ın önceden kaldırdığı aynı verileri edinmenin mümkün olduğunu söylüyor, bunlar arasında kullanıcının tam IP adresi ve kullandıkları cihaz hakkında ayrıntılı bilgiler bulunuyor. Çinli siber saldırganların, bununla geçmişte milyonlarca kullanıcının cihazlarında kötü amaçlı kod yürütmek için kullandıkları biliniyor. Bu tehdide "kötü amaçlı reklamcılık" deniliyor.

Edwards, "Teklif isteğini kaldırması tamamen anlamsız" diyor. "Çinli reklamverenlerden on milyonlarca dolar aldığınız ve her gösterim satın almalarına göz yumduğunuzda, herkesi geçip sayfaya girmeyi başarıyorlar." Son raporlara göre, Çinli şirketler, ABD tüketicilerini hedef alan reklamlara "muazzam miktarda para" harcıyor ve Meta, X, YouTube ve dijital reklam pazarını domine eden benzer Silikon Vadisi şirketleri için önemli kazançlar elde ediyor. Şubat 2024'teki Meta kazanç görüşmesinde, Meta, 2023 yılı için toplam 133 milyar dolar olan "Çin merkezli reklamverenlerin toplam gelirimizin %10'unu" oluşturduğunu belirtti.

EPIC'in şikayeti, Google'ın uygulamalarını yalnızca ABD'deki varlıklara ilk olarak yayınlaması halinde bile verilerin kaçınılmaz olarak yabancı aktörlerin eline geçeceğini söylüyor. "Google, yayınladığı veriye ne olacağı üzerinde hiçbir denetimi yok," diye iddia ediyor. Bu, reklamcılık sektörü için teknik standartlar geliştiren kuruluşun da görüşüydu. Etkileşimli Reklam Bürosu (IAB) olarak bilinen bu kuruluş, 2018'de bir satıcının veriyi aldıktan sonra verinin nasıl kullanılacağını sınırlandırmanın "teknik bir yolu olmadığını" kabul etti.

Yabancı aktörler ve özel gözetim firmaları, RTB sistemlerini suistimal ederek, talep ve teklif tarafları arasında yayınlanan kullanıcılar hakkındaki bilgiler olan teklif akışı verilerine erişmek için kabuk reklam şirketleri oluşturarak yakalandılar. 2022'de, dijital reklam analizi firması Adalytics, Google'ın Rusya'nın en büyük devlet bankası tarafından sahip olunan bir reklam teknolojisi şirketi olan RuTarget ile RTB verilerini paylaştığını iddia eden bir rapor yayınladı; Google'ın cevaben bu faaliyeti durdurduğunu söylüyor. 2023'te, Bloomberg, kendi talep tarafı platformunu işleterek Google'ın RTB verilerine doğrudan erişim sağlayan bir İsrail gözetim şirketi olan Rayzone'u rapor etti.

Geçen yıl, 404 Media, aynı şekilde Google sistemine erişim sağlamak için kullanılan başka bir İsrail aracı olan Patternz hakkında raporladı.

Oregon Senatörü Ron Wyden, federal kurumların genellikle arama gerektirmeyen verileri satın almasını yasaklayan bir yasa tasarısının yazarı, Google'ın platformunun askeri ve istihbarat personeli hakkında herhangi bir kişisel veriye yabancı şirketlerin erişim sağlamasının "şok edici bir uygulama" olduğunu söyledi. "Federal düzenleyiciler Google'a ağır cezalar uygulaymalı ve şirketi, askerlerimizi zarara uğratmayı bırakana kadar federal sözleşmelerden uzaklaştırmalıdır," diye düşünüyor.

EPIC ve Enforce tarafından atıfta bulunulan Google iç belgeleri, sorunu çözmek için pratik adımlar atmama konusunda tarihsel bir isteksizlik ortaya koyuyor. İki yıl önce federal bir antitröst davasında ilk kez ortaya çıkan 2014 tarihli bir değişim, üst düzey bir yöneticinin "gönderdiğimiz verilerle alıcıların aslında ne yaptığını anlamada zorluk çektiğini" kabul ettiğini gösteriyor.

Bu açıklama, başka bir yöneticinin "sorunu çözmenin gerçek mali etkisi" hakkında bir soruşturma yapmasına neden oldu.

Diğer bir belge, 2021'in sonlarından, Google'ın pazarlama başkanı Lorraine Twohill'in CEO Sundar Pichai'ye gerçek zamanlı teklif sisteminden uzaklaşmayı tavsiye ettiği bir mektup içeriyordu. "Kullanıcılar, reklamlarımızın, Google'a güvenememelerinin ve kişisel bilgilerimizi üçüncü taraflara sattığımıza inanmalarının nedeni olduğunu söylüyorlar." Twohill mektubunda Google'ın reklamcılık uygulamaları hakkındaki görüşünü belirterek yazdı; "kullanıcı verilerindeki gerçek zamanlı teklif = kötü", daha sonra "Gizliliğinizle ilgili arkadaşınız" diye imzaladı.