Veri Brokerları Silme Taleplerinize Yanıt Vermiyor: Kaliforniya Çalışması Ortaya Koydu Siber Güvenlik

Veri Brokerları Silme Taleplerinize Yanıt Vermiyor: Kaliforniya Çalışması Ortaya Koydu

UC Irvine araştırması, veri brokerlarının silme ve vazgeçme taleplerinin %70'ine yanıt vermediğini ortaya koydu. Brokerlar yasalara uymuyor.

Veri brokerları, Amerika Birleşik Devletleri'ndeki çoğu yetişkinin kişisel bilgilerini toplayarak işverenler, ev sahipleri, sigorta şirketleri ve devlet kurumları gibi alıcılara satıyor. Kaliforniya sakinleri, bu brokerlardan verilerinin silinmesini veya satışının/paylaşımının durdurulmasını talep etme hakkına sahip. UC Irvine'den bir araştırma ekibi, bu taleplerin brokerlar tarafından nasıl karşılandığını incelemek için Kaliforniya'daki tüm kayıtlı brokerlara talepler gönderdi. Sonuçlar tüketiciler için pek de iç açıcı değil.

Araştırmacılar, 2025 sonbaharında Kaliforniya'nın kamuya açık listesindeki her erişilebilir broker'a silme ve vazgeçme talepleri gönderdi. Toplamda 322 silme talebi ve yaklaşık 360 vazgeçme talebi oluşturuldu. Gerçek kişileri dahil etmemek için her talep türü için çalışan e-posta adresleri ve olası Kaliforniya adresleriyle iki hayali kimlik oluşturdular.

Brokerların silme taleplerine yanıt vermesi için 45 günlük bir süre var. Ancak brokerların yaklaşık %70'i bu süre sonunda herhangi bir sonuç bildirmedi. Vazgeçme taleplerinde durum biraz daha iyiydi; taleplerin yaklaşık dörtte biri bir tür onay aldı. Ancak yanıt veren brokerların üçte biri yasal süreyi aştı. Her iki talep türünde de yanıt oranları %26 ile %38 arasında kaldı.

Teknik Analiz

Vazgeçme talepleriyle ilgili önemli bir kural var: Broker, talebi işleme koymak için kimlik doğrulaması isteyemez. Ancak brokerların yaklaşık %22'si bu kuralı ihlal etti. Ayrıca, bir kısmı gerekenden fazla kişisel bilgi talep etti. 2026 başında Kaliforniya Gizlilik Koruma Ajansı, Ford Motor Company'ye vazgeçme sürecine gereksiz engeller eklediği için 375.703 dolar ceza kesti.

Sistem Güvenliği

Bazı brokerlar daha da rahatsız edici davranışlar sergiledi. Üç broker, gizlilik talepleri aldıktan hemen sonra aynı e-posta adreslerine pazarlama e-postaları göndermeye başladı. Bir broker, silme talebini onayladıktan sonra yanıtına gerçek kişilere ait tüketici kayıtları ekledi. Başka bir broker ise vazgeçme talebine 'Zaten katılmayı seçtiniz' sayfasıyla yanıt verdi.

Araştırmanın bir sınırlaması, kullanılan kimliklerin hayali olması. Brokerların bu kişilere ait kayıtları olmadığı için gerçek verilerin silinip silinmediği test edilemedi. Çalışma daha çok sürecin işleyişini ölçtü: Brokerlar yanıt verdi mi, zamanında verdi mi, yasal olarak izin verilenden fazlasını istedi mi? Gerçek verilerin akıbeti ayrı bir soru.

Kaliforniya, Ağustos 2026'da devreye girecek yeni bir araçla bu sorunu çözmeyi hedefliyor. DROP (Deletion Request and Opt-out Platform) adlı platform, tüm kayıtlı brokerları kapsayan tek bir talep göndermeye olanak tanıyor. Brokerların platformu kontrol etmesi ve biriken talepleri işleme koyması zorunlu. Kaliforniya dışındakiler ise hâlâ her brokerla tek tek iletişime geçmek veya bir kaldırma hizmeti kullanmak zorunda.

Kaynak: helpnetsecurity.com

Paylaş: