Özellikle oyuncular tarafından tercih edilen Discord, sohbetlerin güvenliği konusunda soru işaretleri doğuran bir olayla gündeme geldi. Spy.pet ismi verilen bir hizmet, milyonlarca kullanıcının gönderdiği iletileri topladığını sav etti.
Öncelikle Discord’daki birtakım bildirilerin herkes tarafından erişilebilir olduğunu belirtelim. Sunucular herkese açıksa, vakti fark etmeksizin tüm iletilere ulaşabiliyor. Saklı olması için ise özel sunuculara muhtaçlık duyuluyor. İşte Spy.pet ismi verilen sitede bu herkese açık sunuculardan yararlanarak bilgileri toplamış.
627 milyon kullanıcıdan 4 milyardan fazla ileti toplanmış
Spy.pet’in internet sitesine buradan ulaşmak mümkün. Açılan sayfaya baktığımızda sitenin 14 bin sunucudan 627 milyon kullanıcının takip edildiği ve 4 milyardan fazla iletinin toplandığını görebiliyoruz. Bunlar ortasında bağlı hesaplar, sohbet geçmişi ve kanallar üzere şeyler var. Spy.pet’in Kasım 2023’te çıktığı ve o vakitten beri kullanıcı ve sunucu aktivitelerini vakumladığı da belirtiliyor.
Tüm bu bilgi hazinesini satıyorlar da. Sitenin ödeme sayfasına girdiğimizde kripto para ile ödeme yaparak toplanan bilgilerin satın alınabileceği görülüyor. Hatta kurumsallara özel bir kısım bile var. Spy.pet, yapay zekâ modellerini Discord bildirileriyle eğitmek isteyenlerin bu kısmı kullanabileceğini söylüyor. İstihbarat arayan devlet vazifelileri de kullanabilir yazmışlar.
Daha da ilginci, Spy.pet’in bilgilerin kaldırılmasına müsaade vermemesi. Yani bir kullanıcı bilgilerini kaldırmak istese onu da yapamıyor. Kaldırma Talebi sayfasına girdiğinizde karşınıza Spider-Man sinemalarındaki Jonah Jameson’ın göğüs hâline gelen “Ciddi misin?” repliği karşınıza çıkıyor. Yani dataların kullanımı platformun pek umurunda değil ve âdeta kullanıcılarla dalga geçiliyor.
Discord, mevzuyu inceleyeceğini tabir etti
Spy.pet’in bu kadar rahat olmasının nedeni bilgilerin herkese açık bir halde erişilebilir olması. Lakin yasal olmayan kısımları doğal ki var. Platform, botlar yoluyla sunuculara girerek isteği olmayan kullanıcıların mesajlarını alıyor. Bu, AB’de uygulanan Genel Data Müdafaa Tüzüğü’ne (GDPR) mutlaka alışılmamış.
Platformun yakın vakitte bir DDoS saldırısına uğradığını da belirtelim. Blog gönderisiyle yapılan bir açıklamaya nazaran bilgilerini kaldırmak isteyen kullanıcılar, siteye akın düzenlemiş. Pek şaşırtan bir sonuç değil.
Discord, The Register’a yaptığı açıklamada rastgele bir süreç yapılması gerekip gerekmediğini görmek için Spy.net’i araştırdığını aktardı. Kullanıcı kapalılığını ve bilgileri muhafazaya kararlı olduğunu belirten şirket, bir ihlal tespit edilirse gerekli adımı atacaklarını belirtti.