Fexyn
Fexyn
All posts

Veri brokerları ve tarama geçmişin

Fexyn Team··7 min read

Veri broker endüstrisi yaklaşık 300 milyar dolar global gelir üretiyor. Ortalama veri brokerı ABD'li yetişkin başına 1.500+ veri noktası tutuyor. Bunun çoğu, verisi takas edilen insanlar için görünmez.

Çoğu VPN içeriği veri brokerlarına bir kenar konu olarak davranıyor. Ağ gizliliğinin neden önemli olduğunun merkezindeler. İşte endüstrinin gerçekte ne yaptığı, ISP tarama verisinin tedarik zincirine nasıl uyduğu ve VPN'in ne değiştirip ne değiştirmediği.

Endüstri

Büyük ABD veri brokerları:

Acxiom (Liveramp'in ana şirketi). ~2.5 milyar tüketici profili. Demografik, davranışsal, finansal, yaşam tarzı verisi. Reklamcılara, pazarlamacılara ve araştırmacılara satıyor.

CoreLogic. Mülk ve tüketici verisi. Başlangıçta gayrimenkul-odaklı; daha geniş tüketici profillemesine genişledi.

Oracle Data Cloud (eski adıyla BlueKai, gizlilik tartışmalarından sonra biraz küçüldü). Reklamcılık için toplanan tüketici izleyicileri.

LiveRamp. Kimlik-çözünürlük platformu; offline ve online tanımlayıcıları birbirine bağlıyor. Reklam-teknolojisi kimlik eşleştirmesi için endüstri standardı.

Experian. Kredi bürosu artı ayrı tüketici-pazarlama veri işletmeleri.

Equifax. Aynı çift yapı.

TransUnion. Aynısı.

Epsilon (Publicis Groupe). Pazarlama verisi; büyük reklam-teknolojisi varlığı.

Verisik Analytics. Sigorta-odaklı ama daha geniş tüketici verisi.

Artı düzinelerce daha küçük broker, lokasyon-verisi uzmanları (X-Mode, Cuebiq, tarihsel olarak Veraset), tarama-verisi uzmanları, mobil-uygulama-verisi uzmanları.

ABD dışında endüstri var ama gizlilik yasalarıyla daha kısıtlı. AB veri brokerları GDPR altında işliyor; Birleşik Krallık Brexit-sonrası eşdeğeri altında; diğerleri değişiyor.

Veri brokerları veriyi nereden alıyor

Birkaç pipeline:

ISP tarama kayıtları (ABD). ABD ISP'leri 2017'den beri (net-tarafsızlığın yürürlükten kaldırılmasından sonra) opt-in onay olmadan tarama verisini satabiliyor. AT&T, Verizon ve diğerleri açık veri-monetizasyon programları işletiyor. Veri ISP'den veri brokerına reklamcıya akıyor.

Uygulama SDK'ları. Mobil uygulamalar reklamcılık ağları ve analitik sağlayıcılarından SDK'lar gömüyor. SDK'lar cihaz tanımlayıcılarını, lokasyonu, davranışı, bazen kişileri ve diğer hassas verileri topluyor. Vendor'lar uygulamalar arasında topluyor. Kullanıcının uygulama izinleri teorik olarak erişimi denetliyor; pratikte birçok kullanıcı geniş izinler veriyor.

Kamu kayıtları. Mahkeme kayıtları, mülk kayıtları, seçmen kaydı, mesleki lisanslar. Broker-toplaması aramayı ucuzlatıyor.

Sadakat programları. Market sadakat kartları, kredi kartı ödül programları, havayolu sık-uçucu programları. Tüccar satın alma verisi topluyor; brokerlara satıyor.

Tarayıcı tracking. Cookie'ler, pixel'ler, fingerprint'leme. Siteler arası broker-toplaması.

Lokasyon verisi. Lokasyon izinli mobil uygulamalar (hava durumu uygulamaları, navigasyon uygulamaları, sosyal uygulamalar) lokasyon izleri topluyor. Brokerlara satılıyor; kapsamlı profiller inşa etmek için diğer veri noktalarıyla birleştiriliyor.

Pipeline önemli. ISP tarama verisi spesifik olarak ISP'lerden brokerlara akıyor. Uygulama verisi spesifik olarak uygulama geliştiricilerinden brokerlara akıyor. Farklı kaynaklar, farklı tamlık, farklı etik ve yasal çerçeveler.

Bir veri broker profilinde ne var

Tipik bir ABD'li yetişkin profili şunları içeriyor:

  • Demografi: yaş, cinsiyet, ırk, medeni durum, hane kompozisyonu
  • Gelir, net değer, kredi notu (ayrıca düzenleniyor)
  • Ev: adres geçmişi, mülk değeri, sahiplik
  • Araç: sahiplik, marka/model, kiralama/kredi
  • İşveren: endüstri, rol, görev süresi
  • Davranışsal: alışveriş kategorileri, marka yakınlıkları, hayır işleri
  • Sağlık ile ilgili: belirli eczane verisi (HIPAA altında daha sınırlı), paylaşıldığında fitness tracker pattern'leri
  • Politik: parti üyeliği, oy verme sıklığı, bağış geçmişi
  • Tarama: ziyaret edilen siteler, arama konuları, tüketilen içerik (cookie'lerden, uygulama verisinden ya da ISP feed'lerinden çıkarılabildiği yerde)

Toplama bütünü parçalardan büyük yapıyor. Bireysel veri noktaları birçok yerde mevcut; brokerın katma değeri bunları tek bir kimliğe bağlı tek bir profile koreleştirmesi.

Brokerlar tanımlayıcıları nasıl birbirine bağlıyor

"Kimlik çözünürlüğü" sorunu. Farklı platformlar farklı tanımlayıcılar görüyor — emailin burada, telefon numaran orada, cookie ID'n başka yerde, ev adresin kredi başvurusunda. Brokerlar bunları kaynaklar arası aynı bireyi temsil eden "persona'lara" bağlıyor.

Teknikler:

  • Email eşleştirme. Aynı email birden fazla veri kaynağında göründüğünde, broker bunları bağlıyor.
  • Telefon-numarası eşleştirme. Aynısı.
  • Adres eşleştirme. Daha az güvenilir (haneler adres paylaşıyor).
  • Olasılıksal eşleştirme. Aynı tarayıcı fingerprint'i artı aynı yaklaşık lokasyon artı aynı yaklaşık çevrimiçi davranış muhtemelen aynı kişi anlamına geliyor.
  • Cihaz-grafiği eşleştirme. Belirli bir cihazın tanımlayıcıları (Apple ID, Google ID, reklamcılık ID'leri) uygulamalar arasında seni takip ediyor.

Sonuç: kaynaklar arası birleşik bir profil. Brokerlar bu profillere reklamcılık hedeflemesi, dolandırıcılık tespiti, kimlik doğrulama, pazarlama analitiği ve giderek politik kampanyalar için erişim satıyor.

Veri ne için kullanılıyor

Meşru görünen kullanımlar:

  • Reklam hedefleme: ilgisiz yerine ilgili reklamlar göstermek
  • Dolandırıcılık tespiti: demografik / davranışsal anomalilere göre şüpheli işlemleri flag'lemek
  • Kredi kararları: veri brokerları kredi sistemine besleniyor
  • Sigorta fiyatlama: aktüeryal modeller broker veri girdileri kullanıyor
  • Pazarlama analitiği: müşteri kohortlarını anlamak

Daha endişe verici kullanımlar:

  • Diferansiyel fiyatlama: broker-türevi algılanan ödeme istekliliğine göre kullanıcılara farklı miktarlar tahsil etmek
  • İstihdam taraması: adaylar üzerinde işe alım öncesi araştırma broker verisi kullanıyor
  • Politik mikrohedefleme: broker-türevi politik profillere göre uyarlanmış kampanya mesajlaşması
  • Kanun uygulama veri satın alma: ajanslar arama emri olmadan elde etmesi gereken veriyi satın alıyor (özellikle lokasyon verisi etrafında aktif olarak belgelendi)
  • Gözetim için toplama: yabancı istihbarat ajanslarının ABD broker verisi satın alması haber soruşturmalarında belgelendi

"Meşru pazarlama" ve "endişe verici gözetim" arasındaki çizgi endüstrinin tipik olarak kabul ettiğinden daha bulanık.

ISP-dan-brokera pipeline'ı spesifik olarak

En VPN-ilgili pipeline. Somut olarak:

  • ISP'in DNS sorgularını, SNI'yı, hedef IP'leri, trafik pattern'lerini kaydediyor
  • ISP bu veriyi anonimleştirilmiş kohortlara (teoride) ya da pseudonymized bireysel veriye (pratikte ISP politikasına bağlı) paketliyor
  • ISP veri brokerına satıyor
  • Broker IP-haneye eşleştirmeyi kullanarak mevcut profilleriyle koreleştiriyor
  • Broker reklamcıya satıyor, reklamcı da çıkarımsanan davranışa göre reklamlar hedefliyor

"Anonimleştirilmiş" çerçevelemesi sıkça pazarlamanın önerdiğinden daha zayıf. Yeterli veri noktasıyla "anonimleştirilmiş" profillerden bireysel tanımlama mümkün. Akademik araştırma sürekli olarak anonimleştirilmiş olarak etiketlenen tarama verisinin nispeten az ek veri noktasıyla yeniden tanımlanabileceğini gösterdi.

VPN gerçekten neyi değiştiriyor

VPN cihazın ile VPN sağlayıcı arasındaki trafiği şifreliyor. ISP'in bakış açısından:

  • VPN sağlayıcıya şifrelenmiş trafik görüyorlar
  • Ziyaret ettiğin domain'i göremiyorlar (okunacak SNI yok)
  • Ne sorguladığını göremiyorlar (loglanacak DNS sorgusu yok)
  • Spesifik servisler çıkaramıyorlar (trafik şekli gizlenmiş)

Sonuç: ISP tarama verini brokerlara satamıyor çünkü satacak spesifik tarama verisi yok. Gözlemleyebildikleri hacim ve timing spesifik hedeflerden çok daha az ticari değerli.

VPN'in DEĞİŞTİRMEDİĞİ:

  • Uygulama-seviyesi veri toplama. Uygulamalar topladığı şeyleri toplamaya devam ediyor; SDK'lar brokerlara göndermeye devam ediyor. VPN uygulamaların içine ulaşmıyor.
  • Tarayıcı fingerprint'leme. Tracking pixel'leri ve cookie'ler hâlâ çalışıyor. VPN IP'yi değiştiriyor, tarayıcı kimliğini değil.
  • Logged-in servis tracking. Google, Facebook, Amazon giriş yaptığında hâlâ seni biliyor. VPN authenticated aktiviteyi anonimleştirmiyor.
  • Kamu kayıtları ve offline veri. Mülk kayıtları, mahkeme kayıtları, sadakat programları — hiçbiri ağ-katman şifrelemesinden etkilenmiyor.
  • Zaten toplanmış veri. Bundan sonra VPN kullanmak veri brokerlarının zaten sahip olduğu veriyi silmiyor.

VPN ISP-dan-brokera pipeline'ını kapatıyor. Katmanlı bir gizlilik duruşunun bir parçası.

Tam gizlilik stack'i

Daha geniş broker ekosistemini önemseyen kullanıcılar için:

  • VPN (ağ katmanı) — ISP pipeline'ını kapatır
  • Gizlilik-saygılı tarayıcı (Firefox + uBlock Origin + Privacy Badger; Brave; yüksek-bahisli için Tor Browser) — tarayıcı-seviyesi tracking'i azaltır
  • Şifrelenmiş DNS (Cloudflare 1.1.1.1, Quad9 gibi no-logs resolver'a DoH veya DoT) — ek DNS-seviyesi koruma
  • Seçici uygulama izinleri — uygulamaların ne toplayabileceğini en aza indirir
  • Gizlilik-odaklı alternatifler — Google yerine DuckDuckGo veya Kagi; Gmail yerine ProtonMail
  • Veri broker opt-out — Privacy Duck, Optery, DeleteMe gibi şirketler büyük brokerlar için opt-out sürecini otomatikleştirir
  • Bilinçli sadakat-programı kullanımı — ayrı emaille kayıt ol, gönüllü veriyi en aza indir
  • Bedava uygulamalardan şüphelen — bir şekilde monetize ediyorlar; genelde veriyle

Herhangi bir tek katman kısmi. Stack'in anlamlı gizlilik üreten şey. VPN bir katman.

Sıkça sorulanlar

Veri brokerlarının hakkımda ne bildiğini öğrenebilir miyim?

Çoğunlukla. Büyük brokerlar (Acxiom, Experian, Equifax, TransUnion) çeşitli tüketici-koruma yasaları (Kaliforniya'da ABD CCPA, AB GDPR) altında tüketici-veri erişimi sunuyor. Dosyanı talep etmek bedava ama zahmetli. Optery gibi servisler bunu otomatikleştiriyor.

Verimi veri brokerlarından sildirebilir miyim?

Evet, ama sürekli bir savaş. Brokerlar Kaliforniya'da (CCPA), AB'de (GDPR) ve giderek artan diğer yargı yetkilerinde silme taleplerine uymak zorunda. Veri diğer kaynaklardan geri akmaya meyilli, dolayısıyla periyodik yeniden silme gerekli.

VPN kullanmak verimi brokerlardan kaldıracak mı?

Hayır. Bundan sonra VPN, VPN-şifrelenmiş trafik için yeni ISP-dan-brokera veri transferini durdurur. Brokerların herhangi bir kaynaktan zaten topladığı tarihsel veriyi silmiyor.

Bazı VPN sağlayıcıları kendileri veri brokerı mı?

Bazıları yakalandı. Ücretsiz VPN servisleri sıkça kullanıcı-veri satışlarıyla monetize ediyor. Saygın ücretli VPN sağlayıcıları açıkça yapmıyor (Mullvad, ProtonVPN, IVPN, Fexyn). Değerlendirirken "no-logs" iddiası artı denetim geçmişi ilgili test.

GDPR beni veri brokerlarından koruyor mu?

AB'de evet (ABD'den çok daha güçlü). AB'de veri brokerları veri toplama ve kullanım üzerinde açık yasal sınırlar altında işliyor. ABD kullanıcıları Kaliforniya'da CCPA'ya sahip; başka yerlerde daha az koruma.

Verim zaten dışarıda mı?

Muhtemelen evet. 2017'den beri VPN kullanıyor olsan bile, verin ondan önce toplandı, uygulamaların toplamaya devam ediyor, offline aktiviten (sadakat kartları, kamu kayıtları) veri üretiyor. Gizlilik bundan sonra aldığın bir duruş; ulaştığın ve bitirdiğin bir şey değil.

Fexyn'i 7 gün ücretsiz dene — ISP-dan-brokera pipeline'ını kapatır, trial için kart gerekmez. ISP'in ne görür ISP-seviyesi gözetimi spesifik olarak kapsıyor; VPN nasıl seçilir satın alma kararını kapsıyor.

Son inceleme 2026-05-09.

Veri brokerları ve tarama geçmişin | Fexyn VPN