kendimi düşünüyorum oldukça mahremiyet bilincine sahip bir kişi, çevrimiçi takipten ve çoğunlukla istenmeyen postalardan kaçınmak için yolumdan çıkıyor. Ama adını daha önce hiç duymadığım bir şirketin web sitesindeki ev adresime bakarken bulduğumda, bir yerde yanlış yaptığımı anladım.
Nisan ayının sonundaki kiramızın vadesinin gelmesinden birkaç gün önce, ortağım apartmanımızın sahibinden bir sadakat programı gibi ödül puanları toplarken kira ödeyebileceğimiz yeni bir yol hakkında bir e-posta aldı. Kiraların rekor seviyelerde olduğu bir zamanda iyi bir teklifti, bu yüzden tıkladı ve kiralama ödülleri şirketi Bilt Rewards’ın web sitesini yükledi ve tam adını ve daire numaramızı belirgin bir şekilde gösterdi.
Zaten bu oldukça endişe vericiydi. Apartmanımız Bilt’e bilgi vermişti ve şimdi web sitesinde bakıyorduk. Ortağımın aldığı e-postayı hiç almadım. Ama merak ettim, Bilt de benim bilgilerime sahip miydi?
E-postadaki bağlantıya her tıkladığında, adını ve apartman numarasını gösteren aynı kişiselleştirilmiş Bilt web sayfasını açtı, çünkü web sayfası bir API aracılığıyla bilgiyi doğrudan Bilt’in sunucularından alıyordu. (Bir API, iki şeyin internet üzerinden birbiriyle konuşmasına izin verir, bu durumda Bilt’in sunucuları bilgilerimizi depolar ve web sitesi.) Bunu tarayıcının geliştirici araçlarını kullanarak görebilirsiniz, süslü numaralara gerek yoktur. Tarayıcının araçlarını kullanarak, Bilt’in web sitesinde gösterilmemesine rağmen, web sitesinin içinde yaşadığımız apartmanın adını da çektiğini görebiliyordunuz.
En iyi ihtimalle bu, bir kayıt sayfasını kişiselleştirmeye yönelik kaba bir girişimdi ve en kötü ihtimalle ev adresimizin ihlaliydi. Ama aynı bilgiyi doğrudan Bilt’in sunucularından sadece onun e-posta adresini kullanarak almak da mümkündü – özel bir e-posta bağlantısına gerek yok – bu, e-posta adresleri herkese açık olan çoğumuz için maalesef fazla tahmine gerek duymaz.
E-posta adresimi girdim ve site, ortağımın bilgileriyle aynı şekilde adımı, bina adımı ve apartman numaramı döndürdü. Bu noktaya kadar adını duymadığım bir girişimin ev adresimi alıp sızdırması nasıl mümkün oldu?
Amerika Birleşik Devletleri’ndeki yaklaşık 50 milyon kiracıdan biriyim. Ortağım ve iki kedimizle New York şehrinin hemen dışında, yönetimi altındaki 80.000’den fazla kiralık daire ile ABD’nin en büyük kurumsal ev sahiplerinden biri olan Equity Residential’a ait bir apartmanda yaşıyorum. O zaman bile, Equity, Blackstone, AvalonBay ve Starwood dahil olmak üzere iki milyondan fazla eve karşılık gelen yaklaşık 20 kurumsal ev sahibinden biridir veya ABD’deki tüm kiralık konutların yaklaşık %4’ü.
Mülk teknolojisi alanındaki son patlama sayesinde ortaya çıkan birçok girişimden biri olan Bilt’e veya yaygın olarak bilinen adıyla proptech’e girin. Bilt, girişimci Ankur Jain tarafından Haziran 2021’de kuruldu ve kiracıların her kira ödemelerinde ödül kazanmalarını sağlıyor. Bilt’in şu anda ABD genelinde iki milyondan fazla kiralık eve, Equity’ye ait benimki gibi evler de dahil olmak üzere, en büyük kurumsal ev sahiplerinin çoğuyla yaptığı ortaklıklar aracılığıyla.
Bunu geçmişte ele aldığım diğer herhangi bir veri ihlali hikayesi olarak düşünerek başladım ve başka kimlerin etkilendiğini bilmek istedim.
İlk aramam, aynı binadaki bir komşumdu, Bilt’in web sitesinin adresimi nasıl sızdırdığını öğrendiğimde, kendisinin de etkilenip etkilenmediğini kontrol etmeyi kabul etti. Dizüstü bilgisayarımı çıkardım ve e-posta adresini Bilt’in API’sine girdik, bu hemen adını, bina adını ve apartman numarasını döndürdü; yüzü, daha önce benimkinin yaptığı gibi, korkudan dehşete dönüştü.
İkinci çağrım, Peloton bisikletleri, akıllı telefon uygulamaları ve ara sıra seks oyuncağı gibi sızdıran çevrimiçi hizmetlerle daha önce karşılaştığınız bir isim olan İngiltere siber güvenlik test şirketi Pen Test Partners’ın kurucusu Ken Munro’ydu. Benden habersiz, eyaletteki meslektaşlarından birinin binamda bir dairesi var ve ev adresinin ayrıntılarının da API tarafından ifşa edildiğini doğruladı.
Şimdi Bilt’in sızdıran web sitesi tarafından sırf e-posta adreslerini bile bile bilgileri ifşa edilen dört kişiyiz.
Yanıtı pek iyi olmayan Bilt ile iletişime geçtim.
Şimdi Bilt’in CEO’su olan Jain, “Aşağıya gönderdiğiniz API amaçlandığı gibi çalışıyor,” diye yanıtladı. (Jain e-postasını “kayıt dışı” ilan etti, bu da her iki tarafın da şartları önceden kabul etmesini gerektiriyor. Jain’e reddetme fırsatı olmadığı için yanıtlarını yayınlayacağımızı söyledim.)
Jain, “Bunun tek istisnası, Bilt’i yerel yerleşik portallarına henüz entegre etmedikleri Equity Residential tarafından işletilen bir avuç bina” dedi. “Ancak az sayıda bina göz önüne alındığında, Equity kısa vadede daha manuel bir yaklaşım kullanarak e-posta davetiyeleri ve açılış sayfaları göndermek için bir risk kararı aldı. Bu küçük pilot bina grubu için, bu API kullanılarak oluşturulan açılış sayfaları yalnızca e-posta gerektirir” dedi.
Jain, API tarafından döndürülen bilgilerin “herhangi bir genel kayıt araması yoluyla yaygın ve kolay bir şekilde erişilebilir olduğunu” ve “bu API aracılığıyla bu genel kayıtlarda mevcut olmayan hiçbir özel bilginin ifşa edilmediğini” söyledi. (Jain ve ben, bu noktaya kadar ev adresimi büyük ölçüde internetten uzak tuttuğum için aynı fikirde olmadığımızı kabul etmek zorunda kalacağız – ve her durumda, birinin kişisel bilgilerinin bir yerde herkese açık hale getirilmesi, bunu yapmak için bir gerekçe değildir. başka bir yerde halka açık.)
Yorum için ulaşıldığında, Equity sözcüsü Marty McKenna şunları söyledi: “Bilt ile entegrasyonumuzu tamamlarken bu süreci sınırlı sayıda binada kullanıyoruz. Bunun bir güvenlik sorunu olduğu konusunda hemfikir değiliz” dedi McKenna.
McKenna, kaç Equity binasında, bilgileri ifşa edilen sakinlerin bulunduğunu söylemeyi defalarca reddetti. Ancak kendi sızdırılmış bilgilerim, bu sayının binlerce kiracıya denk gelen en az 21 Hisse Senedi binası olabileceğini düşündüren ipuçları bıraktı. Binaların sayısı sorulduğunda, McKenna rakama itiraz etmedi.
Bilt, en sonunda sızdıran API’sini 26 Mayıs’ta, ben ilk temas kurduktan neredeyse bir ay sonra taktı.
Ama imzalı kira sözleşmemde veri toplama veya paylaşımdan bahsetmeden, Bilt’in bilgilerimi nereden aldığı hala net değildi.
McKenna bu gizemi çözerek bana şunları söyledi: “Equity Residential, hizmetlerin sakinlerimize sağlanmasına izin vermek için hizmet sağlayıcılarla bilgi paylaşıyor. Bunu yapma yetkimiz, web sitemizde bulunan Kullanım Koşullarımızda ve Gizlilik Politikamızda yatmaktadır.”
Kısa cevap evet, web sitesinde kimsenin okumayı düşünmediği – benim de düşünmediğim – gizlilik politikası. Bir Hisse senedi binasına girdiğiniz andan itibaren, onun Gizlilik Politikası Bir daire kiralamak için bir sözleşme imzalarken hakkınızda toplanan veriler gibi çevrimdışı toplama dahil olmak üzere çok çeşitli veri toplamaya izin verir. Ve bu verilerin çoğu, Equity adına hizmet sunmak gibi çok çeşitli nedenlerle üçüncü taraf şirketlerle paylaşılabilir. Bilt gibi şirketler, politikaya göre, “erişebilir [to personally identifiable information] bu hizmetleri bize veya bizim adımıza sağlamak için.
Ve Equity’ye özgü değil. Diğer kurumsal ev sahiplerinin çoğu, kişisel bilgilerinizi toplama, kullanma ve paylaşma veya satma konusunda kendilerine geniş bir serbestlik sağlayan gizlilik politikalarında benzer her şeyi kapsayan bir dil kullanır.
ABD’nin doğu kıyısında 79.000 daireye sahip olan AvalonBay, ABD’de aynı dili kelimesi kelimesine kullanıyor. gizlilik politikası kiracıları hakkında kişisel bilgileri birlikte çalıştığı üçüncü şahıslara verme konusunda. Bu, çamaşırhane hizmetleri, otopark sağlayıcıları veya – Bilt gibi – kira ödeme işlemcilerini içerebilir. Ve kişisel bilgilerinize erişimi olan üçüncü tarafların sayısı hızla artabilir.
Austin’deki Texas Üniversitesi Amerikan Araştırmaları Bölümü’nde yardımcı doçent olan ve araştırmaları proptech ve konutları içeren Erin McElroy, TechCrunch’a konutun bir hak veya sosyal bir maldan ziyade bir meta olarak ele alındığını söyledi. Kiracıların giderek daha fazla tüketici olarak çerçevelenmesiyle, bir kişinin belirli bir ürün veya hizmeti kullanırken yaşayabileceği şeylerin çoğu artık kiracı olarak da deneyimleniyor. McElroy, “Bu, konutun şirketleştirilmesi ve finansallaştırılmasıyla ilgili stratejik ve kısmi bir olay, kiracıların kendilerini kesinlikle tüketici olarak görmemeleri ve böyle bir şeyin olabileceğini hayal ederek kira sözleşmelerindeki tüm ince yazıları okumaları,” dedi.
Bazı gizlilik politikaları daha da ileri gider. 86.000’den fazla konut birimine sahip olan GID, Gizlilik Politikası Bu, kiracılarının kişisel bilgilerinin büyük bir kısmını bağlı kuruluşlarına, diğer yönetim şirketlerine ve bilgilerinizi daha fazla toplayan, birleştiren ve başkalarına satan veri komisyoncularına açıkça satmasına izin verir.
Gizlilik avukatı ve Hunton Andrews Kurth ortağı Lisa Sotto, TechCrunch’a bir telefon görüşmesinde “Veri kullanımını yöneten bir gizlilik politikasına sahip olmak çok yaygındır” dedi. Sotto, gizlilik politikalarının boş sözler olmadığını söyledi: “Bunlar Federal Ticaret Komisyonu tarafından düzenleniyor ve FTC, haksız veya aldatıcı ticaret uygulamalarını yasaklıyor.”
FTC, hassas kişisel bilgileri ifşa eden ipotek veri firmaları, veri ihlallerini örtbas etme girişimleri ve gizlilik vaatlerini ihlal eden teknoloji şirketleri gibi verileri kötüye kullanan veya zayıf veri güvenliği uygulamalarına sahip şirketlere karşı önlem alabilir ve bazen de alır. Olarak hukuk firmasındaki avukatlar Orrick yazdı: “Kiracılarınızın verilerini satabilmeniz, o verileri satmanız gerektiği anlamına gelmez.”
Ancak bir kiracının kişisel bilgilerinin paylaşımını özel olarak koruyan hiçbir kural yoktur.
Bunun yerine, yasa çıkarmak her eyalete kalmıştır. Sotto, yalnızca bir avuç ABD eyaletinin – California, Connecticut, Colorado, Utah ve Virginia – bu eyaletlerdeki tüketicileri koruyan gizlilik yasalarını kabul ettiğini söyledi. Ve şu anda yalnızca Kaliforniya yasası bu yazının yazıldığı sırada yürürlüktedir.
Kaliforniya, GDPR kapsamında tüm Avrupalılara sunulanlara benzer şekilde, bireysel gizlilik haklarını yürürlüğe koyan ilk ABD eyaleti oldu. Kaliforniya Tüketici Gizliliği Yasası veya bilindiği gibi CCPA, Ocak 2020’de yürürlüğe girdi ve Kaliforniyalılara şirketlerin ve kuruluşların kendilerinde topladığı verilere erişme, bunları değiştirme ve silme hakkı veriyor. CCPA, veriye aç şirketler için büyük bir sorun haline geldi, çünkü yasalar onları Kaliforniyalılara verilerinin üçüncü taraflara satılmasından vazgeçme hakkını sağlamak için gizlilik politikalarında geniş istisnalar oluşturmaya zorladı. Aynı zamanda, GDPR’nin yıllar önce yaptığı gibi, şirketlerin Kaliforniya sakinleri için tamamen ayrı bir gizlilik politikası sunmasını da gerektirdi.
CCPA, GDPR gibi, en hafif tabirle kusurludur. Ancak ABD’nin eyalet çapındaki ilk gizlilik yasası olarak, diğer eyaletlerin izlemesi ve ideal olarak zaman içinde iyileştirmesi için çıtayı yükseltti.
Virginia, Ocak 2023’te yürürlüğe girecek bir yasaya sahip olan bir sonraki eyalet. Ancak eleştirmenler, yasa tasarısının metninin “zayıf” olduğunu söylüyor. yazar Amazon ve Microsoft lobicileri tarafından, kurumsal çıkarlarına hizmet etmek için çalışıyor. Teknoloji devleri, Virginia’nınki gibi yoğun bir şekilde lobi yapılan eyalet gizlilik yasalarını destekliyor ve zorluyor. federal yasaları harekete geçirmenin nihai hedefi Bu, ABD’de eyalet yasalarının yama işinin yerini alacak daha zayıf genel kurallar yaratacaktır – kuralların en güçlü olduğu Kaliforniya’nınkiler de dahil.
Ancak Amerikalıların bir kısmı bazı gizlilik yasaları kapsamında olsa da, çoğunluğu bir kişinin bilgilerinin paylaşılmasına karşı çok az korumaya sahip olan veya hiç koruması olmayan eyaletlerde yaşıyor.
McElroy, “Gerçekten bir mevzuat kıtlığı var” dedi. “Kiracılara, kendileri hakkında ne tür verilerin toplandığı hakkında genel olarak hiçbir şey söylenmiyor. Muvafakat verme şansları yok ve onlara herhangi bir potansiyel zarar belirtisi gösterilmiyor” dedi.
Kurumsal ev sahibimin kişisel bilgilerimi korumaya pek önem vermeyen üçüncü şahıslarla paylaşacağını bilerek bu daireye mi taşınacaktım? Belki değil. Fakat yükselen kiralar ve küresel ekonomik gerilemeye rağmen, rekor kar Amerika’nın en büyük kurumsal ev sahiplerinden bazıları tarafından, kiracıların fazla seçeneği olmayabilir.
McElroy, “Konut bu şirketler tarafından süpürülürken, çoğu şehirde ekonomik bir konut krizi yaşanıyor ve kiracılar kiralık bir yer bulmak konusunda çok seçici olamazlar” dedi. “Çoğu zaman kiracılar, sadece seçenekler olmadığı için daha az suistimal edici veri politikalarına sahip bir ev sahibi bulmaktan vazgeçmek zorunda kalıyor.”
Peki, bir teknoloji girişimi ev adresimi nasıl elde etti? Kolayca ve yasal olarak. Sızdırmaya gelince? Bu sadece kötü güvenlik.
TechCrunch hakkında daha fazlası: