VPN yargı yetkisi açıklaması: 5 / 9 / 14 Eyes, Mullvad baskını ve PureVPN kayıt davası
VPN pazarlaması yargı yetkisine büyük önem atfeder. Adli iş birliğinin en iyi belgelenmiş iki vakası — 2023 Mullvad baskını ve 2017 PureVPN-FBI iş birliği — sağlayıcının neyi sakladığının ülke bayrağından daha önemli olduğunu gösterir.
5 / 9 / 14 Eyes gerçekte ne anlama gelir
5 Eyes; ABD, İngiltere, Kanada, Avustralya ve Yeni Zelanda arasında, kökleri İkinci Dünya Savaşı sonrası UKUSA Anlaşması'na dayanan bir sinyal istihbaratı paylaşım düzenlemesidir. 9 Eyes buna Danimarka, Fransa, Hollanda ve Norveç'i ekler. 14 Eyes ise Almanya, Belçika, İtalya, İsveç ve İspanya'yı ekler. VPN pazarlaması, bu 14 ülkeden birinde kayıtlı bir VPN'in tehlikede olduğu fikrini popülerleştirdi; çünkü hükümeti onu veri teslimine zorlayabilir ve bu verileri daha geniş ittifakla paylaşabilir. İddia kısmen doğrudur — bu hükümetlerin veri talepleri için yasal çerçeveleri vardır — ancak hikayenin tamamı bu değildir.
Büyük denetlenmiş VPN'ler nerede konumlanıyor
Mullvad: Göteborg, İsveç (14 Eyes içinde). NordVPN'in işletici şirketi Nordvpn S.A.: Panama (Eyes dışında). Proton VPN: Plan-les-Ouates, Cenevre, İsviçre (Eyes dışında; İsviçre ayrıca AB ve ABD adli yardım çerçevesinin dışındadır). ExpressVPN'in işletici şirketi Express VPN International Ltd.: Britanya Virjin Adaları (Eyes dışında). Surfshark B.V.: Hollanda (9 Eyes içinde). Beşten ikisi — Mullvad ve Surfshark — Eyes yargı yetkilerindedir; üçü dışındadır. Beşinin tamamı no-logs denetimleri yayımlamıştır.
2023 Mullvad baskını: gerçekte ne oldu
18 Nisan 2023'te İsveç Ulusal Operasyon Departmanı'ndan (NOA) altı memur, müşteri verisi içeren bilgisayarlara el koyma amacıyla Mullvad'ın Göteborg'daki ofisine bir arama emriyle geldi. Emir, Alman makamlarıyla uluslararası adli yardım kapsamında 17 Şubat 2023'te çıkarılmıştı. Mullvad olayı aynı gün mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised adresinde kamuya açık olarak belgeledi. Mullvad'ın anlatımına ve sonraki haberlere göre polis hiçbir şeye el koymadan ayrıldı, çünkü emirde talep edilen veriler sunucularda mevcut değildi. Mullvad'ın Cure53 denetim geçmişi (en sonuncusu: 4. altyapı denetimi, Haziran 2024) bu sonuca yol açan no-logs sunucu yapılandırmasını belgeler. Sonuç: Yargı yetkisi pekâlâ önemli oldu — baskın gerçekleşti — ancak belirleyici faktör operasyonel gizlilik duruşuydu.
2017 PureVPN-FBI iş birliği: tam tersi
Ekim 2017'de FBI, kapsamlı bir siber takip davasında Massachusetts'li 24 yaşındaki Ryan Lin'i tanımlamak için PureVPN'in VPN bağlantı kayıtlarını kullandı. PureVPN'in pazarlaması davadan önce bir no-logs iddiasını vurgulamıştı. FBI'ın yeminli beyanı (DoJ dosyalarında ve bleepingcomputer.com ile başka yerlerdeki ana akım haberlerde alıntılanmıştır), PureVPN'in aslında müşterinin ev IP adresini oturum başlangıcında içeren bağlantı kayıtlarını tuttuğunu ve bu kayıtların Lin'i VPN oturumları üzerinden tanımlamaya yettiğini belgeledi. Bu dava kanonik karşı örnektir: sağlayıcının gerçekte sakladığı şey tarafından çürütülen bir pazarlama iddiası ve sağlayıcının yargı yetkisi (Hong Kong — Eyes dışında) verileri korumadı, çünkü veriler vardı ve bir ABD yasal talebine uydu.
Yargı yetkisi neyi öngörür, neyi öngörmez
Yargı yetkisi, bir resmi talep yapıldığında gerçek bir risk faktörüdür. Talepte bulunan ülkeyle adli yardım çerçevesi olan 14-Eyes yargı yetkisindeki bir sağlayıcı, sahip olduğu verileri teslim etmeye zorlanabilir. Ancak yargı yetkisi sağlayıcının neye sahip olduğunu öngörmez. 14 Eyes içindeki no-logs bir sağlayıcının (Mullvad) teslim edecek bir şeyi yoktur; Eyes dışı bir yargı yetkisindeki kayıt tutan bir sağlayıcının (2017 dolaylarında PureVPN) vardır. Mullvad ve PureVPN olayları birlikte, öngörücü değişkenin — denetimle doğrulanan — operasyonel uygulama olduğunu, ülke bayrağı olmadığını kanıtlar.
2026'da neyin tartılması gerekir
Üç faktör, gerçek gizlilik sonuçlarını tek başına yargı yetkisinden daha güvenilir şekilde öngörür. (1) Denetim kapsamı ve güncelliği — en son yayımlanan denetim sunucu düzeyindeki yapılandırmayı kapsıyor mu ve son 24 ay içinde mi? (2) Açık kaynak istemciler — masaüstü ve mobil uygulamalar açık kaynak olarak yayımlanıyor mu? Mullvad ve Proton VPN'in ikisi de istemcilerini GitHub'da yayımlar. (3) Gerçek bir yasal zorlama vakasına belgelenmiş yanıt — Mullvad'ın bir tane var (2023 baskını), PureVPN'in tam tersi var (2017 davası). Çoğu sağlayıcının hiçbiri yoktur. İlk üçü karşılandığında yargı yetkisini ana faktör olarak değil, eşitlik bozucu olarak uygulayın.
Kaynaklar
5 / 9 / 14 Eyes: en.wikipedia.org/wiki/Five_Eyes (orijinal UKUSA Anlaşması'na atıflarla). 2023 Mullvad baskını: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Mullvad denetim geçmişi: mullvad.net/en/blog/tag/audits. PureVPN/Lin davası: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. NordVPN yargı yetkisi: nordvpn.com/blog/jurisdiction. Proton VPN yargı yetkisi: protonvpn.com/features/swiss-based. ExpressVPN Trust: expressvpn.com/trust. Surfshark Trust: surfshark.com/trust-center. Tüm URL'lere 2026-04-30 tarihinde erişildi.