Telefon kilidi açma aracı üreticisi Cellebrite, geçen yıl Sırp polisini müşteri olarak askıya aldığını açıklamıştı. Bu karar, insan hakları araştırmacılarının, yerel polis ve istihbarat birimlerinin şirketin araçlarını bir gazeteci ve bir aktivistin telefonlarını hacklemek ve casus yazılım yerleştirmek için kullandığına dair belgelenmiş iddialarının ardından gelmişti. Bu, Cellebrite'ın kötüye kullanım iddialarının ardından bir müşteriyi kamuoyu önünde kesmesinin nadir bir örneğiydi ve şirket kararını Uluslararası Af Örgütü'nün teknik raporuna dayandırmıştı.
KENYA VE ÜRDÜN'DE BENZER İDDİALAR, FARKLI TEPKİ
Ancak, Kenya ve Ürdün'de son zamanlarda ortaya atılan benzer kötüye kullanım iddialarının ardından, merkezi İsrail'de bulunan şirket, bu iddiaları reddederek yanıt verdi ve bunları araştırmayı taahhüt etmeyi reddetti. Cellebrite'ın neden önceki eylemlerine ters düşen bu yaklaşımı değiştirdiği belirsizliğini koruyor. Salı günü, Toronto Üniversitesi'ne bağlı Citizen Lab'den araştırmacılar, Kenya hükümetinin, yerel bir aktivist ve politikacı olan Boniface Mwangi'nin polis gözetimindeyken telefonunun kilidini açmak için Cellebrite araçlarını kullandığını iddia eden bir rapor yayınladı. Ocak ayından bir başka raporda ise Citizen Lab, Ürdün hükümetini, Cellebrite araçlarını kullanarak birkaç yerel aktivist ve protestocunun telefonlarına girmekle suçladı.
ARAŞTIRMALARIN DAYANAĞI VE CELLEBRITE'IN SESSİZ KALIŞI
Her iki soruşturmada da, dünya çapında casus yazılım ve hackleme teknolojilerinin kötüye kullanımını araştıran bir organizasyon olan Citizen Lab, sonuçlarına, mağdurların telefonlarında Cellebrite ile bağlantılı belirli bir uygulamaya ait izler bulunarak ulaştı. Araştırmacılar, bu izlerin, söz konusu telefonlarda birinin Cellebrite'ın kilidi açma araçlarını kullandığına dair 'yüksek güvenilirlikte' bir sinyal olduğunu, çünkü aynı uygulamanın daha önce bir kötü amaçlı yazılım deposu olan VirusTotal'da bulunduğunu ve Cellebrite'a ait dijital sertifikalarla imzalandığını belirtti. Diğer araştırmacılar da aynı uygulamayı Cellebrite ile ilişkilendirdi. Cellebrite sözcüsü Victor Cooper, TechCrunch'a gönderdiği bir e-postada, 'Spekülasyonlara yanıt vermiyoruz ve kanıta dayalı, somut endişeleri olan herhangi bir kuruluşu bunları doğrudan bizimle paylaşmaya teşvik ediyoruz ki üzerlerine harekete geçebilelim' dedi. Cellebrite'ın neden Sırbistan davasından farklı hareket ettiği sorulduğunda Cooper, 'iki durum kıyaslanamaz' dedi ve 'yüksek güvenilirlik, doğrudan kanıt değildir' ifadesini kullandı. Cooper, Cellebrite'ın Citizen Lab'in son raporunu araştırıp araştırmayacağına ve Sırbistan'daki davasıyla arasında varsa ne gibi farklar olduğuna dair soruları içeren birden fazla takip e-postasına yanıt vermedi.
GEÇMİŞTEKİ KESİNTİLER VE ŞİRKET POLİTİKASINDAKİ BELİRSİZLİK
Her iki Kenya ve Ürdün soruşturmasında da, Citizen Lab raporları yayınlamadan önce Cellebrite'a ulaşarak şirkete yanıt hakkı tanımıştı. Ürdün raporuna yanıt olarak Cellebrite, 'araçlarımızın insan hakları veya yerel yasalara aykırı şekilde kullanıldığına dair herhangi bir kanıtlanmış durum, derhal devre dışı bırakılma ile sonuçlanacaktır' demiş, ancak davayı araştırmayı taahhüt etmemiş ve müşteriler hakkında spesifik bilgi vermeyi reddetmişti. Kenya raporu için ise, Cellebrite araştırmayı kabul ettiğini bildirmiş ancak yorum yapmamıştı. Kötüye kullanım raporlarının ardından, dünya çapında 7.000'den fazla kolluk kuvveti müşterisi olduğunu iddia eden Cellebrite, daha önce Bangladeş ve Myanmar'ın yanı sıra 2021'de Rusya ve Belarus ile ilişkilerini kesmişti. Cellebrite daha önce, ABD hükümetinin hassas teknolojilerin ülkeye ihracatını kısıtlayan düzenlemelerinin ardından Hong Kong ve Çin'e satışı durdurduğunu söylemişti. Hong Kong'daki yerel aktivistler, yetkililerin protestocuların telefonlarının kilidini açmak için Cellebrite kullandığını iddia etmişti.
