Slapta bendrovė "Fog Data Science", vyriausybėms parduodanti masinį stebėjimą

Autorius: Anonimusas Šaltinis: https://www.eff.org/deeplinks/... 2022-09-03 09:43:00, skaitė 654, komentavo 8

Slapta bendrovė

EFF sužinojo, kad vienas duomenų tarpininkas pardavinėjo neapdorotus duomenis apie atskirų žmonių buvimo vietą federalinėms, valstijų ir vietos teisėsaugos institucijoms. Šie asmens duomenys nėra renkami iš mobiliojo ryšio bokštų ar tokių technologijų milžinių kaip "Google" - brokeris juos gauna iš tūkstančių skirtingų programėlių "Android" ir "iOS" programėlių parduotuvėse, kurios yra didesnės buvimo vietos duomenų rinkos dalis.

Bendrovė "Fog Data Science" rinkodaros medžiagoje teigė, kad turi "milijardus" duomenų apie "daugiau nei 250 milijonų" įrenginių ir kad jos duomenis galima naudoti siekiant sužinoti, kur jos subjektai dirba, gyvena ir bendrauja. "Fog Science" parduoda prieigą prie šių duomenų per interneto programą, vadinamą "Fog Reveal", kuri leidžia klientams rodyti ir spustelėti ir gauti išsamią įprastų žmonių gyvenimo istoriją. Šis panoptinio stebėjimo aparatas už mažiau nei 10 000 JAV dolerių per metus siūlomas valstijų kelių patruliams, vietos policijos skyriams ir apygardų šerifams visoje šalyje.

Iš EFF gautų įrašų matyti, kad "Fog" anksčiau yra sudariusi arba tebesudaro sutartis su mažiausiai 18 vietos, valstijų ir federalinių teisėsaugos institucijų klientų; kelios kitos agentūros pasinaudojo nemokamais "Fog" paslaugos bandymais. EFF sužinojo apie "Fog" po to, kai per kelis mėnesius pateikė daugiau nei 100 viešųjų įrašų prašymų pateikti dokumentus, susijusius su valdžios institucijų santykiais su buvimo vietos duomenų tarpininkais. EFF taip pat pasidalijo šiais dokumentais su "The Associated Press".

Nerimą kelia tai, kad šie įrašai rodo, jog "Fog" ir kai kurios teisėsaugos institucijos nemanė, kad "Fog" stebėjimas pažeidžia žmonių ketvirtosios pataisos teises ir reikalauja, kad valdžios institucijos gautų orderį. 

Šiame pranešime, remdamiesi viešais įrašais, aprašome, kaip veikia "Fog" paslauga, iš kur gaunami jos duomenys, kas stovi už bendrovės ir kodėl ši paslauga kelia grėsmę žmonių privatumui ir saugumui. Kitame įraše gilinsimės į tai, kaip šia paslauga naudojasi šalies teisėsaugos institucijos, ir nagrinėsime su jos verslo modeliu susijusias teisines problemas.

Kaip veikia paslauga?

Teisėsaugai pateiktoje medžiagoje "Fog" nurodo, kad ji turi prieigą prie milijardų išmaniųjų telefonų geolokacinių signalų duomenų bazės "beveik realiuoju laiku". Ji parduoda paslaugos, kurią bendrovė paprastai vadina "Fog Reveal", prenumeratą, leidžiančią teisėsaugos institucijoms interneto svetainėje ieškoti duomenų apie buvimo vietą duomenų bazėje. Išmaniųjų telefonų signalus "Fog" duomenų bazėje sudaro platuma, ilguma, laiko žyma ir įrenginio ID. Bendrovė gali naudotis istoriniais duomenimis, siekiančiais bent 2017 m. birželio mėn.

"Fog" medžiagoje aprašoma, kaip naudotojai gali atlikti dvi skirtingas užklausas:

  1. "Area searches" (srities paieškos): Ši funkcija leidžia teisėsaugos institucijoms žemėlapyje nubrėžti vieną ar daugiau figūrų ir nurodyti laiko intervalą, kuriame norima atlikti paiešką. Paslauga parodys visų mobiliųjų telefonų buvimo vietos nustatymo signalų sąrašą (įskaitant buvimo vietą, laiką ir įrenginio ID) nurodytoje (-ose) teritorijoje (-ose) per tą laiką. Gautuose EFF įrašuose nenurodoma, kokią didelę teritoriją "Fog's Area" paieškos gali apimti viena užklausa.
  2. "Įrenginio paieškos": Teisėsaugos institucijos gali nurodyti vieną ar daugiau nustatytų įrenginių ir laiko intervalą, o "Fog Reveal" grąžins su kiekvienu įrenginiu susijusių buvimo vietos signalų sąrašą. Fog medžiagoje ši galimybė apibūdinama kaip asmens "gyvenimo modelio" pateikimas, kuris leidžia valdžios institucijoms nustatyti "lovos vietas", tikriausiai reiškiančias, kur žmonės miega, ir "kitas dominančias vietas". Kitaip tariant, "Fog" paslauga leidžia policijai sekti žmonių judėjimą ilgą laiką. 

Paprastai "Fog Reveal" licencija išduodama vieneriems metams, o įrašai rodo, kad per tam tikrą laiką bendrovė iš policijos agentūrų paėmė nuo 6 000 iki 9 000 JAV dolerių per metus. Į šią pagrindinę paslaugos pakopą paprastai įeina 100 užklausų per mėnesį, nors "Fog" už papildomą mokestį parduoda papildomas mėnesio užklausų kvotas. Pavyzdžiui, 2019 m. Kalifornijos kelių patruliai sumokėjo 7 500 USD už metinę prieigą prie "Reveal" ir 2 400 USD už 500 papildomų užklausų per mėnesį.

Bendrovė "Fog" nurodo, kad nerenka asmenį identifikuojančios informacijos (pavyzdžiui, vardų ar el. pašto adresų). Tačiau "Fog" leidžia policijai sekti įrenginio buvimo vietą ilgą laiką - kelis mėnesius su viena užklausa - ir "Fog" pabrėžia, kad jos paslauga naudojama "gyvenimo modelio" analizei, kuri atskleidžia, kur įrenginio savininkas miega, dirba, mokosi, lankosi ir bendrauja. Taip galima susieti "anoniminį" įrenginį su konkrečiu asmeniu.

"Vietovės paieškos" ir "įrenginio paieškos" funkcijos kartu leidžia vykdyti ir platų, ir konkretų stebėjimą. Atliekant srities paiešką galima surinkti visų vietovėje esančių žmonių prietaisų ID, o atliekant prietaisų paiešką galima sužinoti, kur tie žmonės gyvena ir dirba. Todėl naudodama "Fog Reveal" policija gali atlikti paieškas, kurios funkciškai prilygsta geografiniams orderiams, kurie paprastai pateikiami "Google". 

Šią paslaugą galima naudoti siekiant nustatyti, kas buvo netoli smurtinio nusikaltimo vietos tuo metu, kai jis buvo įvykdytas. Ji taip pat galėtų būti naudojama ieškant planuojamos tėvystės ar imigracijos teisės biuro lankytojų konkrečią dieną arba visų, kurie dalyvavo proteste prieš policijos smurtą.


Vaizdas iš "Fog" rinkodaros brošiūros, išsiųstos į Šiaurės Dakotą ir Čino miestą Kalifornijoje, kuriame, atrodo, rodomas vienos vietos signalas, matomas naudojant "Fog" paslaugą

"Fog" paslaugų pagrindai išdėstyti rinkodaros brošiūroje, kuri buvo išsiųsta keliems potencialiems klientams. Brošiūroje aiškinama, kad "Fog" "unikali, nuosava ir patentuota duomenų platforma" apdoroja duomenis iš "šimtų milijonų mobiliųjų įrenginių" ir gali pateikti "tiek kriminalistinę, tiek prognozavimo analizę ir beveik realaus laiko įžvalgas apie kasdienį žmonių, identifikuotų su tais mobiliaisiais įrenginiais, judėjimą". Medžiagoje teigiama, kad "Fog" renka žmonių buvimo vietos duomenis "100 % savanoriškai. Visi naudotojai sutinka rinkti buvimo vietos duomenis", nors, kaip aptarsime vėliau, šiuo teiginiu sunku patikėti.

"Fog" reklaminio pranešimo esmė - daugybė teiginių apie jos buvimo vietos duomenų platumą ir išsamumą. Teigiama, kad per mėnesį Jungtinėse Valstijose apdorojama daugiau kaip 250 mln. įrenginių. (Skaičiuojama, kad šalyje yra 301 mln. mobiliųjų įrenginių, o globaliai dar daugiau). Pasak "Fog", šie įrenginiai per dieną generuoja 15 mlrd. signalų arba daugiau kaip 5 trilijonus per metus.

EFF negalėjo patikrinti "Fog" teiginių. Tačiau yra priežasčių būti skeptiškiems: dėl savo duomenų šaltinių pobūdžio tikėtina, kad "Fog" gali gauti naudotojų buvimo vietos duomenis tik tada, kai jie turi atidarytas programas, arba iš naudotojų, kurie tam tikroms trečiųjų šalių programoms suteikė fono prieigą prie vietos nustatymo. Vieši įrašai rodo, kad kai kurie įrenginiai duomenų rinkinyje vidutiniškai turi kelis šimtus prisijungimų per dieną, o kiti - vos kelis kartus per dieną. Vartotojai, kurie neįdiegia daug trečiųjų šalių programėlių arba kurie atsisakė sekimo naudodamiesi "Apple" programėlių sekimo skaidrumo (App Tracking Transparency, ATT) funkcija, gali iš viso nepatekti į duomenų rinkinį. 

Be to, iš EFF peržiūrėtų įrašų matyti, kad kelios agentūros, dirbusios su "Fog", vėliau nutraukė savo prenumeratas, o bent viena iš jų teigė nesanti tikra, ar kada nors naudojosi "Fog", kad sėkmingai išspręstų bylą. Šie galimi trūkumai nėra priežastis nuvertinti "Fog" invazyvumą ar jos galimybes vykdyti nevaržomą stebėjimą. Tačiau svarbu suprasti jos ribas. "Fog" duomenys gali būti padriki ir neišsamūs, kai kuriais atvejais duomenys apie kai kuriuos asmenis gali būti neišsamūs. Tačiau jei "Fog" teiginius laikytume nominaliąja verte, tai reikštų, kad bendrovė kas mėnesį renka daugumos Jungtinių Valstijų gyventojų buvimo vietos duomenis. Tai reiškia, kad "Fog" gali turėti ribotas galimybes nustatyti bet kurio konkretaus asmens buvimo vietą konkrečiu laiko momentu. Tačiau "Fog" paslauga vis tiek gali būti pajėgi nustatyti didelę dalį šimtų protesto ar kitos svarbios vietos dalyvių.

Brošiūroje pateikiama šiek tiek informacijos apie tai, kaip "Fog" ketina naudoti savo paslaugą. Joje išvardyti įvairūs "naudojimo atvejai" - nuo dramatiškų ("prekyba žmonėmis", "terorizmo tyrimai", "kontržvalgyba") iki kasdieniškesnių ("narkotikų tyrimai", "lengvų taikinių apsauga"). Atrodo, kad ji skirta tiek vietos teisėsaugos institucijoms, tiek žvalgybos ir (arba) nacionalinio saugumo agentūroms. 

Dokumente vartojama kalba dažnai primena žvalgybos agentūrų vartojamus terminus. Pavyzdžiui, pagrindinė reklamuojama funkcija yra galimybė atlikti "gyvenimo modelio analizę", kurią žvalgybos analitikai vadina asmens įpročių profiliu, pagrįstu ilgalaikiais elgesio duomenimis. "Fog Reveal" taip pat "idealiai tinka "tipping and cueing", t. y. naudojant mažos skiriamosios gebos stebėjimą, kad būtų galima nuspręsti, kur vykdyti tikslingesnį didelės skiriamosios gebos stebėjimą. Brošiūroje taip pat pateikiama ekrano nuotrauka, kurioje "Fog Reveal" naudojama stebėti "vietą JAV ir Meksikos pasienyje", o alternatyvioje brošiūros versijoje kaip galimas naudojimo atvejis nurodytas "pasienio saugumas / sekimas". Kaip aptarsime kitame pranešime, dokumentai rodo, kad "Fog" dirbo su keliais su DHS susijusiais sintezės centrais, kuriuose vietos ir federalinės teisėsaugos institucijos dalijasi ištekliais ir duomenimis.

Kitoje medžiagoje "Fog" pabrėžia savo paslaugų patogumą. Elektroniniame laiške "Išspręskite nusikaltimus greičiau: Štai kaip" rašoma:

Per kelias minutes prie savo darbo stalo suraskite stiprių potencialių šaltinių. Tiesiog įveskite vietą, datą ir laiką, tada stebėkite, kaip programėlės signalai atskleidžia, kokie mobilieji įrenginiai buvo nusikaltimo vietoje. Norėtume padėti ir jūsų skyriui sutaupyti laiko ir pinigų. Susitarkime dėl 10 minučių trukmės demonstracinės versijos kitą savaitę.

"Fog's Reveal" klientams suteikiama tiesioginė prieiga prie neapdorotų vietos duomenų, kuriuos iš interneto portalo galima eksportuoti į nešiojamuosius formatus ir apdoroti kitur. "Fog" pabrėžia, kad jos licencija leidžia "apdoroti, analizuoti ir sublicencijuoti buvimo vietos duomenis", todėl teisėsaugos institucijos gali dalytis duomenimis su privačiais rangovais. "Fog" nuolat ragino teisėsaugos institucijas dalytis viena licencija su keliais naudotojais, o kai kurie klientai naudojo "Fog", kad kitų teisėsaugos institucijų prašymu vykdytų užklausas jų vardu.

"Fog" teigia, kad savo "Reveal" paslaugą parduoda tik teisėsaugos institucijoms. Tačiau "Fog" medžiagoje taip pat reklamuojamos "užsakomosios analitinės paslaugos" klientams, kurie nėra teisėsaugos institucijos, įskaitant "privataus sektoriaus saugumo klientus". Panašu, kad šią politiką patvirtina "Fog" ir Ajovos policijos susirašinėjimas elektroniniu paštu: "Fog" teigia, kad nesuteiks privačioms bendrovėms tiesioginės prieigos prie savo duomenų bazės, tačiau atliks analizę "advokatų kontorų ir tyrimų bendrovių" vardu. Brošiūroje teigiama, kad ši analizė gali apimti:

  1. Patikrinamas buvimas tam tikroje vietoje tam tikrą dieną ir tam tikru laiku
  2. Tikėtinos gyvenamosios vietos, verslo vietos ir dažnos veiklos vietos
  3. Ryšiai su kitais asmenimis, vietomis ir prietaisais
  4. Veiklos modeliai, susiję su tam tikrais įvykiais, laiku ar alibi

Kitaip tariant, "Fog" reklamuoja, kad gali naudoti savo duomenis privačių bendrovių vardu stebėdama privatų asmenų gyvenimą. EFF gautuose įrašuose nėra jokios informacijos apie konkrečius "Fog" ryšius su privataus sektoriaus klientais. 

Iš kur gaunami duomenys?

Duomenys, kuriuos "Fog" parduoda teisėsaugos institucijoms, gaunami iš trečiųjų šalių programėlių išmaniuosiuose telefonuose. Programėlės, turinčios leidimą rinkti naudotojo buvimo vietą, gali dalytis šiais duomenimis su trečiųjų šalių reklamuotojais arba duomenų tarpininkais mainais už papildomas pajamas iš reklamos arba tiesiogines išmokas. Duomenų tarpininkai renka duomenis iš daugelio skirtingų programėlių, o paskui susieja skirtingus duomenų srautus su atskirais įrenginiais naudodami reklaminius identifikatorius. Duomenų tarpininkai dažnai parduoda duomenis kitiems duomenų tarpininkams ir slepia savo duomenų šaltinius ir sąlygas, kuriomis jie buvo surinkti. Galiausiai didžiuliai duomenų kiekiai gali atsidurti valstybės smurto galią turinčių subjektų: policijos, žvalgybos agentūrų ir kariuomenės - rankose.

Per pastaruosius kelerius metus žurnalistai atskleidė keletą ryšių tarp privačių tarpininkų, gaunančių duomenis apie programėlių buvimo vietą, ir JAV vyriausybės. Bendrovė "Babel Street", geriausiai žinoma dėl savo atvirojo kodo žvalgybos (OSINT) priemonių, skirtų analizuoti socialinę žiniasklaidą ir pan., buvimo vietos duomenis parduoda kaip slaptos papildomos paslaugos "Locate X" dalį. Rinkodaros duomenų bendrovės "Gravy Analytics" dukterinė įmonė "Venntel" pardavė neapdorotus buvimo vietos duomenis kelioms skirtingoms JAV agentūroms, įskaitant ICE, Muitinės ir sienos apsaugos tarnybą (CBP) ir FTB. O tarpininkė "X-Mode" programėlių kūrėjams už prieigą prie buvimo vietos duomenų mokėjo apie 3 centus už naudotoją per mėnesį, o vėliau juos tiesiogiai pardavė gynybos rangovams.

Iš kur tiksliai gaunami "Fog" duomenys? Trumpas atsakymas - tiksliai nežinome. Keliuose įrašuose paaiškinta, kad "Fog" duomenys gaunami iš išmaniuosiuose telefonuose esančių programėlių ir susiejami su mobiliosios reklamos identifikatoriais, o viena agentūra perdavė, kad "Fog" renka duomenis iš "daugiau nei 700 programėlių". Fog pareigūnai elektroniniuose laiškuose ir žinutėse Fog Reveal nurodė vieną "duomenų teikėją". Viename iš tokių pranešimų buvo paaiškinta, kad duomenų teikėjas "bendradarbiauja su keliais šaltiniais, kad būtų užtikrinta tinkama pasaulinė aprėptis", ir kad "naujai pridėtas šaltinis" sukėlė techninių problemų.

Kitame dokumente, kuriuo 2019 m. pasidalinta su Anaheimo miestu Kalifornijoje, teigiama, kad "Fog" portale naudojami "nestruktūruoti geografiniai ir erdviniai duomenys, gaunami iš atvirų programėlių ("Starbucks", "Waze" ir kt.)". Neaišku, ar tai reiškia, kad "Fog" iš tiesų gauna duomenis iš išvardytų programėlių, ar "Starbucks" ir "Waze" yra tiesiog "atvirų programėlių", kurios galėtų dalytis duomenimis, pavyzdžiai. "Android" sistemoje tiek "Starbucks", tiek "Waze" (kuri priklauso "Google") turi prieigą prie buvimo vietos nustatymo leidimų, be to, abi programos naudoja trečiųjų šalių reklamos ar analizės paslaugas. Pasak EFF apklausto buvusio departamento duomenų analitiko Davino Hallo, "Waze" taip pat buvo paminėta pristatyme apie "Fog" galimybes Greensboro, Šiaurės Karoliniškosios valstijos, policijai. Anot D. Hallo, "Waze" buvo dažnai minima" kalbant apie programėles, kurios galėtų dalytis duomenimis su "Fog". "Ji buvo paminėta, nes ją žmonės dažnai įsijungdavo važiuodami automobiliu, todėl ji reguliariai siųsdavo pranešimus, kad būtų galima matyti aktyvų įrenginio judėjimą", - sakė jis.


EFF redagavo šią ekrano nuotrauką, kad pašalintų galimai identifikuojamą informaciją

Kaip apsisaugoti

Gera žinia yra ta, kad apsisaugoti nuo "Fog" sekimo yra gana paprasta. "Fog" remiasi duomenimis, surinktais naudojant trečiųjų šalių programėlėse įterptą kodą. Tai reiškia, kad galite nutraukti jo tiekimą atšaukdami buvimo vietos nustatymo leidimus visoms programėlėms, kuriomis visiškai nepasitikite. Be to, išjungus vietos nustatymo paslaugas operacinės sistemos lygmeniu, "Fog" ir kiti programėlėmis pagrįsti duomenų tarpininkai apskritai negalėtų gauti jūsų vietos duomenų. (Tai ne visada užkerta kelią kitų dalyvių, pavyzdžiui, jūsų mobiliojo ryšio operatoriaus, renkamiems buvimo vietos duomenims. Daugiau apie tai, kaip išvengti įvairių grėsmių privatumui, galite perskaityti viename iš EFF stebėjimo savigynos vadovų

Nėra įrodymų, kad "Google Maps", "Apple" ar "Facebook" teikia duomenis "Fog", o "Fog" atstovų ir klientų elektroniniuose laiškuose teigiama, kad "Fog" nerenka duomenų iš "Google" ar "Facebook". Nors yra kitų priežasčių apriboti "Google" prieigą prie jūsų buvimo vietos, neatrodo, kad duomenys, kuriais dalijamasi tik su vienu iš šių žemėlapių teikėjų, pateks į "Fog" duomenų bazę.

Galiausiai, duomenys rodo, kad "Fog" paslauga remiasi reklamos identifikatorių naudojimu duomenims susieti, todėl paprasčiausias reklamos identifikatoriaus išjungimas gali sutrukdyti "Fog" bandymams jus sekti. Viename elektroniniame laiške teigiama, kad dėl "Apple" programėlių sekimo skaidrumo iniciatyvos, pagal kurią prieiga prie reklamos identifikatorių tapo savanoriška ir dėl kurios smarkiai sumažėjo šia informacija besidalijančių įrenginių skaičius, tokios paslaugos kaip "Fog" tapo mažiau naudingos teisėsaugos institucijoms. O buvęs policijos analitikas Davinas Hallas (Deivinas Holas) EFF sakė, kad bendrovė norėjo išlaikyti savo egzistavimą paslaptyje, kad daugiau žmonių paliktų įjungtus skelbimų ID. 

Reklamos ID galite iš naujo nustatyti arba išjungti vadovaudamiesi instrukcijomis čia.

"Fog" ir jos klientai daugelį metų stengėsi likti šešėlyje. Kitaip jos paslauga negalėtų tinkamai veikti. Išvydus dienos šviesą, "Fog" produktas tampa aiškus: tai viską matanti akis, kuri be leidimo ir atsakomybės pažeidžia milijonų asmenų privatumą.