【有点意思】任何人都能买到追踪美军士兵、间谍、德国核弹库和妓院的数据信息

时事   2024-11-20 21:01   北京  
美国一家数据经纪人收集的超过30亿个手机坐标暴露了美国军方和情报人员在德国的详细活动,而五角大楼对此无能为力。
每个工作日的清晨,在德国威斯巴登附近的一栋二层楼房中,一台设备开始了它15分钟的通勤,沿着主要高速公路驶向卢修斯•D•克莱军营——美军欧洲总部,也是美国情报行动的重要枢纽。
大约早上7点,这台设备会在一家餐厅附近停留,随后前往基地附近的一间办公室,那里属于一家大型政府承包商,负责为美国最敏感的设施提供设备和安保服务。
在2023年的大约两个月时间里,这台设备保持着规律的日程:在承包商办公室停留、访问基地内一个低调的机库,以及在午餐时间前往基地食堂。去年11月,它曾两次驱车30分钟前往"匕首大楼"(Dagger Complex),这是一处前情报和国家安全局(NSA)信号处理设施。周末时,这台设备的踪迹可以追踪到威斯巴登的餐厅和商店。
携带这台设备的人很可能不是间谍或高级情报官员。专家认为,他们更可能是一名承包商,负责关键系统的工作——暖通空调、计算机基础设施,或者可能是负责保护新建的综合情报中心的安全,这是一座据信由国家安全局使用的尖端设施。
无论他们是谁,随身携带的这台设备正在危及美国的国家安全。
《连线》杂志(WIRED)、巴伐利亚广播电台(BR)和Netzpolitik.org的联合调查揭示,美国公司合法收集的数字广告数据,正在为全世界提供一种廉价而可靠的方式,用以追踪美军和情报人员在海外的行动,从他们的住所和子女就读的学校,到据信存储着美国核武器的加固机库。
我们对从一家美国数据经纪商获得的数十亿位置坐标进行协作分析,深入揭示了美军人员的日常活动规律。这些发现也生动地展示了,移动位置数据的不受监管销售对美军完整性和其海外服役人员及其家属安全构成的重大风险。
我们追踪到了来自德国境内敏感美军设施内数十万台设备的信号。其中包括疑似NSA监控或信号分析设施内数十台设备的信号、一个庞大的美军基地内超过一千台设备的信号(该基地在2023年曾训练乌克兰军队),以及另一个空军基地内近2000台设备的信号,该基地是美军无人机行动的关键支援点。
一台可能属于NSA或情报人员的设备,曾在一栋无窗的金属外墙建筑物内发出位置信号,这栋被称为"锡罐"的建筑据爱德华•斯诺登泄露的NSA文件显示,用于NSA监控。另一台设备则在一处受限的武器测试设施内传输信号,显示其在用于坦克演习和实弹训练的高度安全区域内来回移动的轨迹。
我们追踪这些设备从营房到办公楼,再到意大利餐厅、Aldi超市和酒吧。在拉姆施泰因空军基地经常发出信号的多达4台设备,后来被追踪到基地外的妓院,包括一家名为"性世界"的多层建筑。
专家警告说,外国政府可能利用这些数据识别出能进入敏感区域的人员;恐怖分子或罪犯可能破译美国核武器防卫最薄弱的时机;间谍和其他恶意人员可能利用令人尴尬的信息进行敲诈勒索。
"不受监管的数据经纪行业对国家安全构成明显威胁,"来自俄勒冈州、拥有超过20年情报监督经验的美国参议员罗恩•怀登说。"美国的数据经纪商竟然在出售在全球各地冒着生命危险服役的数千名军人的位置数据,这太令人愤慨了。"
在BR和netzpolitik.org最初报道引发对美军人员被追踪的担忧后,怀登于去年9月向美国国防部提出质询。国防部未作回应。同样,尽管多次询问,怀登办公室至今未收到美国总统拜登国家安全委员会成员的回复。国家安全委员会没有立即回应置评请求。
"有太多人需要为此负责,"怀登说,"但除非新一届政府和国会采取行动,这种滥用行为就会持续发生,最终将付出服役人员生命的代价。"
这位俄勒冈州参议员今年早些时候还向联邦贸易委员会(FTC)提出这一问题,此前FTC一项命令对一家被控收集"敏感地点"周边数据的美国公司实施了前所未有的限制。FTC公共事务主任道格拉斯•法拉尔拒绝置评。
《连线》现可独家报道,FTC即将满足怀登的要求。一位获准匿名讨论内部事务的FTC消息人士表示,该机构计划很快提起多起诉讼,正式将美军设施认定为受保护场所。该消息人士补充说,这些诉讼是FTC主席莉娜•可汗多年来致力于保护包括军人在内的美国消费者免受有害监控行为侵害工作的延续。
在定向广告出现在应用程序或网站上之前,应用程序中嵌入的第三方软件(称为软件开发工具包)经常向数据经纪商、实时竞价平台和广告交易所传输用户信息——通常包括位置数据。数据经纪商往往会收集这些数据,分析后重新打包出售。
2024年2月,BR和Netzpolitik.org的记者从位于佛罗里达州的数据经纪商Datastream Group获得了一份此类数据的免费样本。该数据集包含36亿个坐标——有些以毫秒为间隔记录——来自该公司称2023年10月至12月59天期间德国境内多达1100万个移动广告ID。
移动广告ID是广告行业用来向智能手机投放个性化广告的唯一标识符。这些由字母和数字组成的字符串让公司能够追踪用户行为并有效地投放广告。然而,当与精确的地理位置数据结合时,移动广告ID也可能暴露出更多敏感信息。
总的来说,我们的分析发现,有多达12,313台设备在至少11个军事和情报场所停留过,产生了详细的位置数据,可能暴露了关键细节,如入口位置、安保措施和警卫排班等信息——这些信息一旦落入敌对外国政府或恐怖分子手中,可能致命。
我们的调查发现,在比希尔空军基地内有38,474个位置信号,来自多达189台设备。该基地是一个高度安全的德国设施,据报道在地下掩体中存储着多达15枚美国核武器。在格拉芬沃尔训练场,那里驻扎着数千名美军并为乌克兰士兵提供艾布拉姆斯坦克训练,我们追踪到191,415个信号,来自多达1,257台设备。
在美国陆军欧洲总部 Lucius D. Clay Kaserne,我们识别出多达 799 台设备发出的 74,968 个位置信号,其中包括欧洲技术中心(曾是 NSA 在欧洲的通信中心)的一些设备
在美军欧洲总部卢修斯•D•克莱军营,我们识别出74,968个位置信号,来自多达799台设备,包括一些来自欧洲技术中心的信号,该中心曾是NSA在欧洲的通信枢纽。
在威斯巴登的美军欧洲总部卢修斯•D•克莱军营,检测到74,968个位置信号,来自多达799台设备——其中一些来自敏感情报设施,如曾是NSA欧洲通信枢纽的欧洲技术中心和新建的情报行动中心。
在支持部分美军无人机行动的拉姆施泰因空军基地,追踪到164,223个信号,来自近2,000台设备。这包括在拉姆施泰因小学和高中(军人子女就读的基地学校)被追踪到的设备。
这些设备中有1,326台在多个高度敏感的军事设施出现过,可能勾勒出美军人员在欧洲最安全场所之间的移动轨迹。
这些数据并非完全可靠。移动广告ID可以重置,这意味着同一台设备可能被分配多个ID。我们的分析发现,在某些情况下,设备被分配了超过10个移动广告ID。
单个设备的位置数据精确度也不太稳定。通过联系数据集中显示行动轨迹的几个人,报道团队确认了大部分数据非常准确——能识别出受访者的上下班通勤和遛狗路线。但情况并非总是如此。一位记者在数据集中发现自己的ID时发现,它经常将他定位在离公寓一个街区远的地方,而且有时是在他出城时。北约战略传播卓越中心的一项研究发现,在数据经纪行业中"数量压倒质量",平均而言,只有最多60%的受访数据可以被认为是精确的。
根据其网站介绍,Datastream Group似乎提供"互联网广告数据,结合哈希电子邮件、Cookie和移动位置数据"。它列出的数据集包括船主、寻找抵押贷款者和吸烟者等细分类别。这家公司是价值数十亿美元的位置数据行业中的众多企业之一,没有回应我们就其提供德国境内美军和情报人员数据一事的置评请求。根据最新估计,美国在德国至少保持着35,000名军队。
国防部官员至少从2016年就已经知道商业数据经纪商对国家安全构成的威胁,当时政府承包商和技术专家迈克•耶格利Mike Yeagley在北卡罗来纳州自由堡(原布拉格堡)的联合特种作战司令部大院向高级军事官员做了一次简报,讨论这个问题。耶格利的演示旨在展示如何将商业移动数据——在叙利亚等冲突地区已经普遍存在的数据——武器化用于生活模式分析。
在演示中途,耶格利决定提高赌注。"好吧,这是一个ISIS行动者的行为,"他对《连线》回忆当时的演示说。"让我把镜头转过来——让我展示它如何作用于你们自己的人员。"然后他展示了显示手机从北卡罗来纳州布拉格堡和佛罗里达州麦克迪尔空军基地——美国精锐特种作战部队的关键基地——移动的数据。这些设备经过土耳其等中转点后在叙利亚北部一个看似废弃的水泥厂附近聚集,该地点是ISIS的已知据点。耶格利指出的位置是一个秘密前线行动基地。
耶格利说,他很快被护送到一个安全房间继续他的演示。在那里,官员们询问他是如何获得这些数据的,担心他的"特技"涉及黑客入侵人员或未经授权的拦截。
他向担忧的国防部官员解释说,这些数据不是来自间谍活动,而是来自不受监管的商业经纪商。"我没有黑客入侵、拦截或设计这些数据,"他告诉他们。"我买的。"
如今,多年过去了,耶格利对国防部无法控制这种情况仍然深感沮丧。《连线》、BR和Netzpolitik.org现在报道的内容"与我们近10年前提出的警告非常相似,"他摇着头说。"而且看起来什么都没有改变。"
美国法律要求国家情报总监为"被认为容易受到'敌对信息收集活动'影响的'高风险'情报人员"的个人设备提供"保护支持"。但目前尚不清楚哪些人员符合这一标准,也不清楚除定期培训和建议外还有什么保护措施。我们获得的位置数据表明,无论如何,商业监控已经太过普遍和复杂,不能仅仅归结为个人责任。
对我们的置评请求,拜登即将离任的国家情报总监艾薇儿•海恩斯没有作出回应。
海恩斯去年夏天解密的一份报告承认,美国情报机构已从商业数据经纪商购买了"大量"关于美国公民的"敏感和私密信息",并补充说"如果落入坏人之手",这些数据可能"促成勒索、跟踪、骚扰和公开羞辱"。这份包含多处涂黑的报告指出,虽然"美国政府永远不会被允许强迫数十亿人随时随身携带位置追踪设备",但智能手机、联网汽车和网络追踪都让这一切成为可能,"无需政府参与"。
众议院军事委员会共和党主席迈克•罗杰斯没有回应多次置评请求。该委员会民主党排名议员亚当•史密斯的发言人表示,史密斯正忙于谈判明年为五角大楼政策重点提供资金的必须通过的法案,无暇讨论此事。
参议院军事委员会民主党领袖杰克•里德和共和党领袖罗杰•威克尔分别没有回应多次置评请求。向众参两院领导人和两院情报委员会主要议员提出的询问均未获回应。
国防部和NSA拒绝回答与我们调查相关的具体问题。不过,国防部发言人贾凡•拉斯内克说,五角大楼意识到地理定位服务可能使人员处于风险之中,并敦促军人谨记训练内容,严格遵守行动安全规程。"在美国欧洲司令部地区,我们提醒官兵在行动区域内执行任务活动时需要执行适当的行动安全,"拉斯内克说,使用了行动安全的简称。
然而,报道团队获得的一份五角大楼内部演示文稿称,国内数据收集不仅可能揭示军事机密,而且在个人层面基本上是不可避免的,因为军人的生活与允许收集数据的技术已经过于紧密地交织在一起。这一结论与美国最高法院首席大法官约翰•罗伯茨在过去十年间具有里程碑意义的隐私案件中的观察结果密切吻合,他将手机描述为"日常生活中无处不在且坚持不懈的一部分",拥有手机"对参与现代社会而言是不可或缺的"。
据消息人士称,这份演示文稿是向包括美国陆军首席信息官在内的高级将官们做的汇报,警告说尽管主要广告技术公司承诺,但考虑到五角大楼员工商业数据的广泛可得性,"去匿名化"几乎是微不足道的。文件强调,美国个人位置数据的缓存是一个"部队保护问题",可能揭示部队调动和其他高度保密的军事机密。
虽然五角大楼内部的勒索案件自冷战以来大幅减少,但许多阻止持续监视美国人的结构性障碍也已消失。近几十年来,美国法院反复发现新技术对隐私构成威胁,因为它们使得"在早期需要高昂成本"的监视成为可能,正如第七巡回上诉法院在2007年所指出的。
在2024年8月的一项裁决中,另一个美国上诉法院驳回了科技公司关于"选择加入"监控的用户实际上是"知情"并"自愿"这样做的说法,宣称相反的情况对"任何拥有智能手机的人来说都是明显的"。这份军事人员内部演示文稿强调,敌对国家可以轻松获取广告数据,利用它来利用、操纵和胁迫军事人员从事间谍活动。
嫖娼,无论在国外是否合法,都违反了《统一军事司法法典》。处罚可能很严厉,包括没收薪酬、开除军籍和最高一年监禁。但专门从事军事法庭案件的刑事辩护律师迈克尔•沃丁顿说,对招嫖的禁止不仅仅基于原则。"在这些场所遇到外国特工是一个真实的危险,这可能导致勒索或利用,"他说。
"考虑到当前的地缘政治气候,这个问题尤其令人担忧。许多在欧洲的美军人员都在支持乌克兰抵抗俄罗斯入侵,"沃丁顿说。"他们的廉洁性受到任何损害都可能对我们的行动和国家安全产生严重影响。"
新美国安全中心(CNAS)技术与国家安全项目高级研究员兼项目主任维韦克•奇卢库里说,就危及国家安全而言,即使是低级别人员的数据也可能构成风险。在加入CNAS之前,奇卢库里曾在参议院情报委员会担任美国参议员迈克尔•贝内特的立法主任和技术政策顾问,此前在美国国务院工作,专门从事打击暴力极端主义。
"低价值目标可能导致高价值妥协,"奇卢库里说。"即使某人在组织中不是高级职位,他们也可能接触到高度敏感的基础设施。系统的安全性取决于其最薄弱的环节。"他指出,如果对手能够锁定有权访问关键服务器或数据库的人,他们就可能利用这个漏洞造成严重损害。"只需要一个U盘插入正确的设备就能破坏一个组织。"
不仅是个别服役人员面临风险——整个安全协议和行动常规都可能通过位置数据暴露出来。在据信存储着10至15枚B61核武器的比希尔空军基地,数据揭示了基地内设备的日常活动模式,包括人员最活跃的时间,更令人担忧的是,可能还揭示了基地人员最少的时间。
拉姆施泰因空军基地的空中机动司令部停机坪概览。
比希尔有11个防护飞机掩体,配备了加固的核武器存储库。每个位于所谓WS3(武器存储和安全系统)内的存储库可以存放多达四枚弹头。我们的调查追踪到多达40台在这些掩体内或附近出现过的蜂窝设备的精确位置数据。
我们从比希尔的设备中观察到的模式远不止了解基地人员的工作时间。总的来说,可以绘制出关键出入点,定位频繁访问的区域,甚至追踪人员到基地外的日常活动。对恐怖分子来说,这些信息可能是一座金矿——一个识别薄弱点、策划袭击或锁定有权进入敏感区域的个人的机会。
本月,德国当局逮捕了一名前美军文职承包商,指控其试图向某国情报机构传递有关美国在德军事行动的敏感信息。
4月,德国当局逮捕了两名德裔俄罗斯人,指控他们为潜在破坏活动侦察美军设施,包括涉嫌纵火。被锁定的目标之一是美军在巴伐利亚的格拉芬沃尔训练场,这是美军在欧洲军事行动的关键枢纽,占地233平方公里。
在格拉芬沃尔,《连线》、BR和Netzpolitik.org可以追踪多达1,257台设备的精确移动轨迹。一些设备甚至可以被观察到在301靶场(一个装甲车训练场)来回穿行,然后返回附近的营房。
我们的调查在比希尔空军基地内发现了38,474个位置信号,来自多达189台设备,据报道该基地存储着约十几枚美国核武器。
杜克大学桑福德公共政策学院高级研究员、数据经纪研究项目负责人贾斯汀•谢尔曼也领导着全球网络战略公司,该公司专门从事网络安全和技术政策。2023年,他和杜克大学的合著者从美国军事学院获得了25万美元的资金,调查从数据经纪商购买军事人员敏感数据有多容易。结果令人震惊:他们能够购买到现役军人高度敏感的非公开、可识别个人的健康和财务数据,而无需任何审查。
"这向你展示了情况有多糟糕,"谢尔曼解释说,他们如何针对特定特种作战基地设置地理围栏请求。"我们没有假装是洛杉矶的营销公司。我们只是想看看数据经纪商会问什么。"大多数经纪商没有质疑他们的请求,一家甚至提出如果他们通过电汇付款就可以绕过身份验证检查。
在研究期间,谢尔曼帮助起草了《国防授权法》的一项修正案,要求国防部确保与承包商共享的高度可识别的个人数据不能转售。然而,他认为研究的整体影响令人失望。"行业的范围就是问题所在,"他说。"通过对生态系统的部分内容实施集中控制是很好的,但如果你不解决行业的其他部分,就会为任何想要获取情报人员位置数据的人敞开大门。"
美国国会通过全面隐私立法的努力已经停滞了近十年。最新的努力,即《美国隐私权法案》,在6月份未能取得进展,此前共和党领导人威胁要搁置这项在被搁置前已经大大削弱的法案。
另一项当前的隐私法案,《第四修正案不可出售法案》,试图禁止美国政府购买通常需要搜查令才能获得的美国人数据。虽然该法案不会完全禁止商业位置数据的销售,但它将禁止联邦机构利用这些购买来规避最高法院维护的宪法保护。它的命运掌握在众参两院领导人手中,他们的谈判是保密的。
"政府需要停止补贴现在因正当理由成为世界上最不受欢迎行业之一的行业,"非营利组织Demand Progress的政策主任肖恩•维特卡说。"有很多国会议员认真对待数据经纪商对隐私和国家安全构成的严重威胁,但我们看到国会领导人的许多行动只是加剧了这个问题。这些人不应该等到有人员伤亡才采取行动。"
来源:独眼情报


装备采购
装备科技信息交互平台,发布军品采购相关信息,提供高端咨询,促进需求对接,助力投标竞标。
 最新文章