В числе источников американских военных — популярное приложение для мусульманских молитв.
Издание Motherboard выпустило расследование о сборе данных геолокации из популярных приложений — выяснилось, что одним из главных покупателей информации выступает армия США. Журналисты раскрыли полную цепочку перемещения данных пользователей и узнали, как и почему они попадают из приложений к третьим лицам. TJ публикует пересказ расследования.
Как собирают данные о перемещениях
Из открытых данных, интервью с разработчиками и технического анализа выяснилось, что есть два отдельных потока данных, которые используют американские военные. В обоих случаях армия полагается на частных подрядчиков: одной из таких компания выступает Babel Street с сервисом Locate X, а другой — X-Mode, собирающая данные напрямую из приложений и продающая их другим компаниям, в том числе военным.
Журналисты ещё в марте обнаружили, что Locate X начали использовать американские власти. Среди них таможенная и миграционная службы, а также секретная служба США. Налоговая служба и некоторые другие ведомства использовали те же технологии, но приобретали данные у других поставщиков.
В Motherboard изучили данные о закупках Командования спецопераций США (USSOCOM), которое в том числе занимается борьбой с терроризмом и спецразведкой, и обнаружили, что оно тоже приобретало доступ к Locate X. На все необходимые лицензии для сервисов военные потратили всего около 90,6 тысяч долларов.Таким образом, журналисты впервые получили подтверждение, что такие данные приобретают не только отдельные американские ведомства, но и военные.
Информацию о LocateX также подтвердил один из бывших сотрудников Babel Street. Он рассказал журналистам, как устроено использование системы: пользователи могут выбрать любую область на карте, увидеть все устройства, данные о которых LocateX собрал в одном месте, а дальше проследить за перемещением конкретного смартфона.
Компании вроде Babel Street или X-Mode называют дата-брокерами. Как пояснили в Motherboard, они получают данные о геолокации пользователей через аукционы в реальном времени — эти же торги используют рекламодатели, когда платят за вставку объявлений в сайты. Зачастую компании также получают данные от SDK — инструментов, которые разработчики используют по разным причинам, например, для аналитики или улучшения таргетинга рекламы внутри приложений.
Например, так делает компания X-Mode, которая поощряет разработчиков за внедрение своего SDK в приложения. После этого инструмент начинает собирать данные о перемещениях пользователей и передают их X-Mode, а компания платит разработчикам вознаграждения в зависимости от количества пользователей. Приложение с 50 тысячами активных пользователей в США может принести разработчику до 1,5 тысячи долларов в месяц, говорится на сайте X-Mode.
После сбора данных X-Mode продаёт их широкому кругу желающих — от частных охранных компаний до военных. Как писал Motherboard, среди клиентов оказалась фирма, которая заявляла, что способна отслеживать людей «до порога». X-Mode также заявляла о возможности отслеживать людей в самых заражённых Covid-19 местах и показывать, как люди распространяют заболевание.
Чьи данные покупала армия США
По информации Motherboard, американские военные покупали данные о перемещениях людей по всему миру, причём чаще всего «жертвами» были пользователи безобидных приложений. Журналисты смогли обнаружить конкретные программы, информация из которых попала к военным — в этом им помог отчёт австралийской антимонопольной комиссии, которая опубликовала конечный URL, используемый некоторыми приложениями для передачи данных в X-Mode.
В издании использовали программы для отслеживания сетевого трафика и узнали, какие приложения продают данные о перемещениях пользователей. В информации помимо прочего содержалось имя Wi-Fi-сети, к которой подключен пользователь, временные метки и информация о модели смартфона.
Одной из самых популярных программ в списке оказалась Muslim Pro — приложение для мусульман с 98 миллионами загрузок. Его главные функции — напоминание о необходимости помолиться и показ направления Мекки по отношению к геолокации. Помимо этого, приложение позволяет читать выдержки и аудиозаписи Корана.
Muslim Pro оказалось не единственным мусульманским приложением в списке Motherboard. Выяснилось, что дейтинговый сервис Muslim Mingle тоже передаёт данные о пользователях в X-Mode, при этом разработчики, вероятно, сотрудничают с компанией в других приложениях, в том числе в дейтинге для темнокожих Black Mingle.
Журналисты также нашли ещё одну сеть приложений знакомств, которые работают и выглядят идентично Mingle, и также пересылают X-Mode данные о пользователях. Среди них — Iran Social, Turkey Social, Egypt Social, Colombia Social и другие с похожими названиями, ориентированные на отдельные страны. Их разработчики не ответили на запросы Motherboard.
Как отметили журналисты, данные сервисов вроде Locate X и X-Mode сами по себе анонимизированы и не содержат личных данных пользователей. Однако, по словам источника Motherboard, компании «могут полностью деанонимизировать человека». Сотрудники с этим «играются», рассказал бывший сотрудник Babel Street.
Как отметили в Motherboard, некоторые разработчики приложений, сотрудничающие с X-Mode, якобы не знали о том, куда в конечном итоге попадают данные их пользователей. При этом некоторых разработчиков устраивает сотрудничество с дата-брокером.
Даже особо внимательные пользователи, изучив политику конфиденциальности приложений, могли не узнать, как много индустрий, компаний и правительственных агентств способны заполучить информацию. Многие приложения указывают лишь возможность передачи информации, но не указывают факт прямого сотрудничества с X-Mode, а другие и вовсе скрывают сбор данных.
Например, в Bubble level условия использования появляются на первом экране, но в них сказано лишь то, что компания может собирать анонимные данные о геолокации «для показа рекламы, аналитики и рыночных исследований трафика». Такое же диалоговое окно появляется в приложении Global Storms.
В то же время в Muslim Pro не упоминается ни X-Mode, ни передача данных о местоположении. При этом в политике конфиденциальности приложения говорится о сотрудничестве с Tutela и Quadrant — двумя другими дата-брокерами. В Muslim Mingle также не появлятся никаких диалоговых окон с информацией о передаче данных. В Iran Social также не раскрывают, что продают информацию пользователей.
В части других приложений прямо говорится о возможной передаче данных властям. Об этом открыто сообщает и сама X-Mode в политике конфиденциальности: «компания может использовать данные для борьбы с заболеваниями и исследований, безопасности, борьбы с преступностью и правоохранительных органах».
Зачем военным США данные о перемещениях людей и что с информацией будет теперь
Армия США известна использованием данных о геолокации для совершения авиаударов беспилотниками. Кроме того, многие затронутые покупкой данных пользователи являются мусульманами — журналистов это навело на мысли о возможном использовании информации для борьбы с террористическими группировками на Ближнем Востоке.
В заявлении Командования спецопераций США его представитель Тим Хоукинс подтвердил покупку доступа к Locate X. Он отметил, что сервис помогает военным при специальных миссиях за рубежом, но не уточнил подробности. При этом военные «соблюдают все процедуры и правила, а также конституционные права американских граждан», уточнил Хоукинс.
Параллельно с Motherboard расследование провела команда сенатора-демократа Рона Вайдена. Он сослался на разговор подчинённых с представителем X-Mode и заявил, что на самом деле компания продаёт армии США данные не только об иностранных, но и об американских пользователях. «X-Mode отказалась называть конкретные службы и ведомства, сославшись на соглашения о неразглашении», — отметил политик.
Среди «доверенных партнёров» X-Mode журналисты обнаружили не только Командование спецопераций, но и других военных подрядчиков. Например, Sierra Nevada Corporation и Systems & Technology Research — компании, которые помогают ВВС США строить самолёты, а также разрабатывать кибер- и электронное оружие.
Sierra Nevada Corporation известна как автор широко раскритикованного отчёта, ставшего поводом для конспирологических предположений об искусственном создании Covid-19. На основе данных о геолокации компания сделала вывод, что в октябре 2019 года в Уханьском институте вирусологии произошло некое «разрушительное событие», ставшее причиной пандемии.
В X-Mode заявили, что не сотрудничают с Sierra Nevada или STR, но не стали отрицать, что те когда-то были их клиентами, а также удалили упоминания фирм-бывших партнёров с сайта.
Только после выхода расследования дейтинговый сервис Mingle добавил диалоговое окно с сообщением о сборе данных. Компания-разработчик Iran Social сделала то же самое. Muslim Pro заявил, что больше не продаёт данные пользователей военным подрядчикам.
В X-Mode на это отвечают, что обязуют партнёров открыто сообщать о сотрудничестве и следовать законам о сборе данных, а также внедрять «механизмы явного согласия» на передачу информации. Такие требования якобы прописаны в контракте, а компания утверждает, что регулярно проверяет приложения.
Однако даже «механизмы явного согласия» не решат проблему, считает директор факультета в Центре права и технологий Беркли Крис Хоуфнейгл. По его словам, вопрос заключается в том, понимает ли потребитель последствия использования данных. «Если человек не связан с технологиями, он даже не предполагает, что данные могут попасть к военным» — отмечает Хоуфнейгл.