Verizon, müşterisine gönderdiği yenilenmiş bir telefona Mobil Cihaz Yönetimi (MDM) profili yükleyerek cihaza uzaktan erişim sağladığını ve daha sonra müşterinin verilerini sildiğini itiraf etti. Bu ciddi hata, Verizon'ın yenilenmiş telefonları müşterilere göndermeden önceki süreçlerini sorgulatıyor.
Talihsiz Verizon müşterisi Tom Collery, Şubat ayında kesilen çağrılar dahil olmak üzere ağ sorunları nedeniyle şirketi aradı. Verizon'ın cevabı, kendisine yeni bir Samsung Galaxy Z Flip7 göndermek oldu. Ancak Collery'ye teslim edilen cihaz, yepyeni bir telefon veya sorunsuz çalışan bir yenilenmiş cihaz yerine, şirket tarafından yönetilen telefonları izlemek ve kontrol etmek için kullanılan türde bir yazılımla yönetiliyordu.
Meğer cihaz, Collery'ye gönderilmeden önce düzgünce temizlenmemiş bir mağaza demo ünitesiymiş. Collery, telefonu birkaç hafta kullandığını, ardından tüm verilerinin uzaktan tetiklenen bir işlemle tamamen sıfırlanması nedeniyle silindiğini belirtti.
Verizon, Collery'nin başına gelen hata hakkında bir iç soruşturma yürüteceğini söylese de, hatanın nasıl oluştuğu veya benzer bir durumun tekrar yaşanmasını önlemek için neler yapıldığı hakkında bilgi vermedi. Verizon, taleplerimize sadece Collery'nin sorununun farkında olduklarını ve bu sorunu çözmek için çalıştıklarını belirterek cevap verdi.
Verizon, konuya ilişkin yaptığı tek açıklamada şu ifadeleri kullandı: “Bu müşterinin endişesinin farkındayız ve bu durumu çözmek için onunla doğrudan ve aktif bir şekilde çalışıyoruz.”
Verizon'dan "Bir Sürü Söz" Verildi
Collery, 22 yıldır Verizon müşterisi olduğunu belirtti. Verizon'ın yaşananlar hakkında tam bir açıklama yapmasını ve verilerinin kurtarılmasına yardımcı olmasını umuyordu. Collery, başka bir operatöre geçmeyi düşünebileceğini ancak şimdilik Verizon'a karşı yasal işlem başlatmaya odaklandığını söyledi.
“Yönetim ekibi soruşturma konusunda bir sürü söz verdi,” dedi. Ancak “Yardımcı gibi görünüyorlardı, en üst seviyeye ulaştığımda ise tamamen reddedildim.”
Verizon, Collery'ye 400 dolarlık bir kredi ve üzerinde MDM profili bulunmayan başka bir yenilenmiş telefon verdi. Şirket, delil olarak saklamak istediği MDM'li telefonu da ona bıraktı.
Collery, “MDM'li telefonu saklamama izin verildi ve bunun için bana kredi verildi, aksi takdirde tam bir telefon ücreti alırlardı,” dedi.
Collery eski bir demo ünitesi alsa da, müşterilerin daha önce diğer Verizon müşterilerine ait olan yenilenmiş telefonları alması daha yaygın olabilir. Bu tür telefonların yeni bir sahibine gönderilmeden önce kişisel veri içermediğinden emin olmak Verizon'ın sorumluluğundadır.
Verizon'ın Güvenlik Uygulamalarına Dair Endişeler
Elektronik Sınır Vakfı'nda güvenlik araştırmacısı ve kıdemli teknolog Cooper Quintin, olayın “Verizon ‘yenilenmiş’ dediğinde ne anlama geldiği konusunda endişe yarattığını” söyledi. “Yenilenmiş bir telefondan tamamen fabrika ayarlarına sıfırlanmış, adeta yeni gibi olmasını beklerdim.” Olayın, “kaç tane yenilenmiş telefonda hala orijinal sahibinin verilerinin kaldığı sorusunu akıllara getirdiğini” ekledi.
Kullanılmış bir cihazı bir operatöre geri gönderen herkesin öncelikle verilerini silmeye çalışması gerektiğini belirten Quintin, Verizon'ın herhangi bir cihazın tamamen silindiğinden ve yeni gibi olduğundan emin olmak için sıkı bir sürece sahip olmasının kritik olduğunu vurguladı.
“Verilerinizi yenilemeden önce silmeyi başaracaklar mı? Bu durumda MDM'i silmeyi başaramadılarsa, bunun tekrar olabilecek bir şey olduğunu düşünüyorum. Yenilenmiş telefonları silme ve sıfırlama konusundaki tam olarak ne gibi uygulamaları olduğunu ve daha önce başka birisine satılan bir telefonda önceki sahibinin verilerinin kaldığı başka durumlar olup olmadığını sorgulatıyor,” diye ekledi.
Quintin, olayın Verizon'ı kullanıcılara göndermeden önce yenilenmiş telefonları nasıl işlediği konusunda kapsamlı bir inceleme yapmaya teşvik etmesi gerektiğini söyledi. “Açıkçası, bunun sadece bir iç incelemeyi tetiklememesi gerektiğini düşünüyorum, dışarıdan bir inceleme de gerektiriyor,” dedi. Verizon bir iç inceleme yapacağını söylese de, Quintin “Genel olarak şirketlerin kendi kendilerini denetlemelerine güvenmiyorum” dedi.
MDM profilleri, şirketlerin çalışanlarına tahsis ettiği cihazları uzaktan yönetmek için BT departmanları tarafından kullanılır. Söylemeye gerek yok ki, Verizon'ın bir müşterinin cihazına bu düzeyde erişimi olmamalıdır.
Beklenmedik Fabrika Ayarlarına Sıfırlama
Yenilenmiş telefon, Collery'nin Verizon ağıyla ilgili sorunlarını çözmedi ancak ilk başta işe yarıyor gibiydi. San Francisco'da yaşayan Collery, verilerini yeni cihaza aktardı ve orijinal telefonu iade etti. Sonra işler tuhaflaştı.
Yaklaşık 10 gün sonra, Collery'nin Nisan ayında bir Reddit gönderisinde yazdığı gibi, telefon “sürekli olarak güvenlik güncellemeleri yapıp yeniden başlıyordu.” Birkaç gün içinde “telefon yeniden başladı ve fabrika ayarlarına sıfırlanmış gibi açıldı,” diye yazdı.
“Google ve Samsung hesaplarına giriş yapmaya çalıştığımda, izinlerim olmadığını ve erişim için IT yöneticimle iletişime geçmem gerektiğini belirten mesajlar aldım,” diye yazdı Collery.
Fabrika ayarlarına sıfırlamadan sonra, telefonun Verizon'ın MDM sistemine bağlı olduğu anlaşıldı. Telefon ekranında beliren bir mesajda, “Bu cihaz yönetiliyor. Verizon mülkiyeti bu cihazı tam olarak yönetilecek şekilde yapılandırmıştır,” yazıyordu.
Ekranda beliren mesaj ayrıca “Cihaz Verizon'a aittir” ve “BricTECH ile korunmaktadır” diyordu. BricTECH, Android telefonları destekleyen bir tür cihaz yönetim sistemidir.
Collery'nin yaşadığı beklenmedik yeniden başlatmalar ve fabrika ayarlarına sıfırlama, Verizon'ın MDM sistemini kullanarak çok sayıda cihaza talimat gönderdiğinin kanıtı olabilir. Quintin, “Bu türden bir filo demo telefonunuz varsa ve MDM'iniz varsa, tüm telefonlara talimat gönderirsiniz,” dedi.
Eğer Verizon'ın demo telefonları periyodik olarak silme politikası varsa, bu,“o politikanın devreye girme zamanı gelmiş olabilir ve bu yüzden telefonu silinmiş olabilir,” dedi Quintin.
Verizon FCC'ye Yazdığı Mektupta Hatayı Kabul Etti
Collery'nin verileri telefondan silinmişti ve Google ile Samsung hesaplarındaki yedeklemelerin düşündüğü kadar güncel olmadığı ortaya çıktı. Sağlık sektöründe çalışan Collery, bir telefon görüşmesinde, “Her şeyimi kaybettim. Telefon rehberleri, mesajlar, videolar, belgeler, resimler, hasta bilgilerinden büyükannemin ölmeden önceki son videosuna kadar her şey. Birkaç yıllık her şey hem yedeklerimden hem de o telefonda orijinal olarak bulunan her şey tamamen silindi.” dedi.
Verizon desteğinden memnun kalmayan Collery, Reddit'te bir gönderi paylaştı ve daha sonra konuyu yaymaya karar verdi. Kendisiyle paylaşılan belgeler arasında, FCC'ye şikayette bulunduktan sonra Verizon'ın Federal İletişim Komisyonu'na sunduğu bir mektup da bulunuyordu.
Verizon'ın FCC'ye 2 Nisan tarihli mektubunda, Collery'ye ödeme yapan bir müşteri için uygun bir telefon yerine yanlışlıkla bir mağaza demo ünitesinin gönderildiği belirtildi.
“Bay Collery'nin sonunda ‘demo telefon’ olarak tanımlanan bir cihaz almasına yol açan hatanın ciddiyetini kabul ediyoruz. Bu cihazın Verizon'a bağlı bir Mobil Cihaz Yönetimi (MDM) kaydı olduğu tespit edildi. Bu prosedürel hata resmi olarak şirket içi incelemeye alındı,” dedi Verizon'ın yönetici ilişkileri departmanı FCC'ye.
Collery, bir Verizon süpervizörünün kendisine yenilenmiş telefonların “yeni gibi” olduğunu ve “150 noktalı denetimden” geçtiğini garanti ettiğini söyledi. Verizon, FCC'ye verdiği yanıtta tüm yenilenmiş cihazların üreticiden geldiğini ve sıkı bir süreçten geçtiğini savundu.
“Yönetim Ofisi tarafından, tüm Sertifikalı cihazların doğrudan üreticiden geldiği ve sıkı kalite güvence standartlarını karşılayacak şekilde tasarlandığı bilgisi verilmiştir,” dedi Verizon FCC'ye.
Verizon FCC'ye Vaka "Çözüldü" Dedi
Verizon'ın mektubunda telefon yenilemesini kimin yaptığı belirtilmedi. Quintin, eğer Verizon telefonları silmesi için bir yüklenici kullanıyorsa ve bu yüklenici MDM profilini silmediyse, “bu diğer şirketin verileri hiç siliyor mu, merak etmeme neden oluyor. O şirketten geçen ve hiç fabrika ayarlarına sıfırlanmayan çok sayıda telefon var mı?” diye sordu.
Verizon'ın FCC'ye yazdığı mektup, Collery'yi şirketle iletişime geçmeye iten ağ sorunlarını da tartıştı. Verizon'ın araştırma yaptığını ve “bölgedeki bazı müşteri cihazlarının son zamanlarda optimalin altında kapsama alanı bildirdiğini” bulduğunu belirtti. Bu müşteriler, baz istasyonu değişiklikleri, yapraklar, su kütleleri, inşaat, nüfus değişiklikleri ve Verizon'ın kontrolü dışındaki diğer parazitler gibi çeşitli nedenlerle günlük olarak sinyal/kapsama alanı dalgalanmaları yaşayabilir.”
Verizon'ın mektubunda, Collery'nin evde ses ve veri kapsama alanını iyileştirmek için “mini bir hücre kulesi gibi çalışan” bir ağ genişletici kullanabileceği belirtildi. Collery'ye göre, Verizon kendisine bir genişletici sağlayacağını söyledi ancak asla göndermedi ve daha sonra cihazın stokta olmadığını bildirdi.
Verizon'ın FCC'ye yazdığı mektupta şöyle deniyordu: “Bay Collery, bu şikayetin dosyalanmasından önce bu konuyla ilgili rahatsızlık için 400,00 dolardan fazla tazminat aldı. Bu konuyla ilgili başka bir kredi verilmeyeceğini belirttik.” Mektup, Verizon'ın yönetim ofisinin “bu vakayı çözülmüş kabul ettiğini” ekledi.
Ancak Collery bitirmemişti. MDM kontrollü bir cihaz kullanmanın gizlilik sonuçları konusunda endişeli olan Collery, Verizon'dan, Verizon'ın MDM yazılımı tarafından kaydedilen kişisel bilgiler hakkında kayıtlar istedi. Ayrıca cihaza hangi komutların gönderildiğine dair ayrıntılar da istiyordu.
Verizon Yasal Emir Olmadan Veri Sağlamayı Reddeti
Verizon'ın yönetici ilişkileri temsilcisi, Collery'ye 12 Mayıs tarihli bir e-postada, “Hukuk ekibinden geri bildirim aldım. MDM hakkında herhangi bir ayrıntı sağlamak için yasal bir emir gerekecektir,” dedi.
Collery, 13 Mayıs tarihli bir e-postada Verizon'a, Kaliforniya Tüketici Gizliliği Yasası'na göre şirketlerin, bir tüketici talep ettiğinde kendileri hakkında topladıkları kişisel bilgileri açıklamakla yükümlü olduklarını belirtti. Collery ayrıca Verizon'a, Kaliforniya'nın mahremiyet ihlali yasasının ihlal başına 5.000 dolar tazminat öngördüğü konusunda uyardı.
Anlaşmazlığı sona erdirmeye çalışan Verizon, Collery'nin mevcut cihaz ödemelerini affetmeyi teklif etti. Collery, bir Verizon temsilcisinin kendisine bunun “bu durumdan vazgeçmem için yeterli olup olmayacağını” sorduğunu söyledi.
Collery bu teklifi kabul etmedi ve yasal yollara başvuruyor. CCPA kapsamında verileri için Verizon'a resmi bir talep gönderdi ve Verizon'a veri talebine yanıt vermesi için süre tanıdıktan sonra CCPA kapsamında şikayette bulunmayı planlıyor. Tahkim davası açabilmesi için ön koşul olan bir anlaşmazlık bildirimi Verizon'a sundu. Ayrıca küçük talepler mahkemesinde dava açmayı da düşünüyor.
“İyi niyetle müzakereye devam etmeye istekli olsam da, Verizon cihazımdan hangi kişisel bilgilerin çıkarıldığını ve Verizon'da kimin tüm kişisel verilerimi silme komutunu verdiğini doğrulayacak temel ayrıntıları açıklamayı reddettiğinde adil müzakere yapmak zor,” dedi Collery, 13 Mayıs tarihli e-postada Verizon'a.
“Hizmetim Hala Berbat”
Silinen verileri kurtarmak kayıp bir umut gibi görünüyor. Collery, Verizon'ın telefonu bir uBreakiFix mağazasına götürmesini tavsiye ettiğini, ancak bir uBreakiFix çalışanının MDM profili nedeniyle herhangi bir veri kurtaramadığını söyledi. Quintin, MDM bir telefondan kaldırıldıktan sonra Verizon'ın muhtemelen verileri çıkarmak için başka bir yöntemi olmayacağını belirtti.
Verizon ayrıca, MDM yüklü olan yedek telefonu almadan önceki orijinal telefonunu bulmaya çalıştığını da söyledi. Bir Verizon çalışanı 24 Nisan'da ona, “Orijinal cihazınızı kurtarmaya çalışmak için son bir deneme yapıyorum. Söz veremem ama şu anda Depo ekibiyle kurtarmaya çalışıyorum,” dedi.
Bu denemeden bir sonuç çıkmadı. Orijinal telefon bulunmuş olsa bile, telefon düzgünce silinmemiş olsaydı verileri çıkarmak imkansız olurdu.
Bunun da ötesinde, Collery ilk etapta Verizon ile iletişime geçmesine neden olan hizmet sorunlarının hiçbir zaman çözülmediğini söyledi. Collery, demo ünitesini değiştirmek için ikinci yenilenmiş telefonu aldıktan sonra bile Verizon hizmetinin iyileşmediğini söyledi.
“Hizmetim hala berbat,” dedi Collery geçen hafta. “Bina önünde GPS sinyali bile alamıyorum. Genellikle herhangi bir şeyin çalışması için en az birkaç blok gitmem gerekiyor.”
