Trong những tháng trước khi Nga xâm lược Ukraine, hai công ty khởi nghiệp ít người biết đến của Mỹ đã gặp nhau để thảo luận về mối quan hệ đối tác giám sát tiềm năng sẽ kết hợp khả năng theo dõi chuyển động của hàng tỷ người qua điện thoại của họ với một luồng dữ liệu liên tục được mua trực tiếp từ Twitter. Theo Brendon Clark của Anomaly Six - hay “A6” - sự kết hợp giữa công nghệ theo dõi vị trí điện thoại di động với giám sát trên mạng xã hội do Zignal Labs cung cấp sẽ cho phép chính phủ Mỹ dễ dàng do thám các lực lượng Nga khi họ tập trung dọc theo biên giới Ukraine, hoặc tương tự theo dõi tàu ngầm hạt nhân của Trung Quốc.
Để chứng minh rằng công nghệ này hoạt động hiệu quả, Clark đã hướng quyền lực của A6 vào bên trong, do thám Cơ quan An ninh Quốc gia và CIA, sử dụng điện thoại di động của chính họ để chống lại họ.
Anomaly Six có trụ sở tại Virginia được thành lập vào năm 2018 bởi hai cựu sĩ quan tình báo quân đội và duy trì sự hiện diện công khai ít đến mức bí ẩn, trang web của nó không tiết lộ gì về những gì công ty thực sự làm. Nhưng có một cơ hội tốt là A6 biết rất nhiều điều về bạn. Công ty là một trong số nhiều công ty mua hàng loạt dữ liệu vị trí, theo dõi hàng trăm triệu người trên khắp thế giới bằng cách khai thác một sự thật khó hiểu: Vô số ứng dụng điện thoại thông minh phổ biến liên tục thu thập vị trí của bạn và chuyển nó đến các nhà quảng cáo, thường là bạn không biết hoặc sự đồng ý được thông báo, dựa trên những tiết lộ bị chôn vùi trong tính hợp pháp của các điều khoản dịch vụ tràn lan mà các công ty liên quan tin rằng bạn không bao giờ đọc. Sau khi vị trí của bạn được cung cấp cho nhà quảng cáo, hiện tại Hoa Kỳ không có luật nào cấm bán và bán lại thông tin đó cho các công ty như Anomaly Six, những công ty được tự do bán thông tin đó cho khu vực tư nhân và khách hàng chính phủ của họ.
Các tài liệu của công ty do The Intercept and Tech Inquiry thu được cung cấp các chi tiết mới về sức mạnh giám sát toàn cầu của Anomaly Six mạnh mẽ như thế nào, có khả năng cung cấp cho bất kỳ khách hàng trả tiền nào các khả năng trước đây dành cho các cục gián điệp và quân đội.
Lỗi máy nghe nhạc:
Lỗi mạng
Theo các bản ghi âm nghe nhìn của bài thuyết trình A6 được The Intercept and Tech Inquiry đánh giá, công ty tuyên bố rằng họ có thể theo dõi khoảng 3 tỷ thiết bị trong thời gian thực, tương đương với 1/5 dân số thế giới. Khả năng giám sát đáng kinh ngạc đã được trích dẫn trong một cuộc chào hàng nhằm cung cấp khả năng theo dõi điện thoại của A6 cho Zignal Labs, một công ty giám sát phương tiện truyền thông xã hội tận dụng quyền truy cập vào luồng dữ liệu “firehose” hiếm khi được cấp phép của Twitter để sàng lọc hàng trăm triệu tweet mỗi ngày mà không bị hạn chế. . Với quyền hạn của họ kết hợp, A6 đề xuất, các khách hàng doanh nghiệp và chính phủ của Zignal không chỉ có thể khảo sát hoạt động truyền thông xã hội toàn cầu mà còn xác định chính xác ai đã gửi một số tweet nhất định, họ gửi từ đâu, họ đi cùng ai, họ đã ở đâu trước đó và nơi họ đã đi tiếp theo.
Kho bạc Hoa Kỳ đang mua dữ liệu ứng dụng cá nhân để nhắm mục tiêu và điều tra mọi người
Phần mềm Anomaly Six cho phép khách hàng của mình duyệt qua tất cả dữ liệu này trong chế độ xem vệ tinh trực quan và tiện lợi theo phong cách Google Maps của Earth. Người dùng chỉ cần tìm một vị trí quan tâm và vẽ một ô xung quanh nó và A6 sẽ lấp đầy ranh giới đó bằng các dấu chấm biểu thị điện thoại thông minh đã đi qua khu vực đó. Nhấp vào một dấu chấm sẽ cung cấp cho bạn các đường biểu thị chuyển động của thiết bị - và của chủ nhân - xung quanh một khu phố, thành phố hoặc thực sự là toàn bộ thế giới.
Khi quân đội Nga tiếp tục xây dựng lực lượng dọc theo biên giới của nước này với Ukraine, đại diện bán hàng của A6 đã trình bày chi tiết cách thức giám sát GPS có thể giúp biến Zignal thành một loại cơ quan gián điệp tư nhân có khả năng hỗ trợ khách hàng nhà nước theo dõi chuyển quân. Hãy tưởng tượng, Clark giải thích, nếu các tweet của vùng khủng hoảng Zignal nhanh chóng xuất hiện trong vòng lửa chỉ là một điểm khởi đầu. Sử dụng hình ảnh vệ tinh được các tài khoản tweettiến hành các cuộc điều tra “thông tin tình báo nguồn mở” hay OSINT ngày càng phổ biến, Clark cho thấy cách theo dõi GPS của A6 sẽ cho phép khách hàng của Zignal xác định không chỉ đơn giản là việc xây dựng quân đội đang diễn ra, mà theo dõi điện thoại của binh sĩ Nga khi họ huy động để xác định chính xác vị trí họ đã huấn luyện, nơi họ đóng quân và họ thuộc đơn vị nào. Trong một trường hợp, Clark cho thấy phần mềm A6 lần theo dấu vết điện thoại của quân đội Nga quay ngược thời gian, rời khỏi biên giới và quay trở lại cơ sở quân sự bên ngoài Yurga, và gợi ý rằng chúng có thể được theo dõi xa hơn, đến tận nhà riêng của họ. Báo cáo trước đây của Wall Street Journal chỉ ra rằng phương pháp theo dõi điện thoại này đã được sử dụng để theo dõi các hoạt động diễn tập của quân đội Nga vàQuân đội Mỹ cũng dễ bị tổn thương .
Trong một cuộc trình diễn bản đồ A6 khác, Clark đã phóng to cận cảnh thị trấn Molkino, miền nam nước Nga, nơi đặt trụ sở chính của Tập đoàn Wagner, một tổ chức lính đánh thuê khét tiếng của Nga . Bản đồ cho thấy hàng chục chấm chỉ ra các thiết bị tại căn cứ Wagner, cùng với các đường rải rác cho thấy các chuyển động gần đây của chúng. Clark giải thích: “Vì vậy, bạn có thể bắt đầu xem các thiết bị này. “Bất cứ khi nào họ bắt đầu rời khỏi khu vực, tôi đang xem xét hoạt động tiền triển khai tiềm năng của Nga cho các diễn viên không đạt tiêu chuẩn, những người không đồng đều của họ. Vì vậy, nếu bạn thấy họ đến Libya hoặc Cộng hòa Dân chủ Congo hoặc những thứ tương tự, điều đó có thể giúp bạn hiểu rõ hơn về các hành động quyền lực mềm tiềm năng mà người Nga đang thực hiện ”.
Để hoàn toàn gây ấn tượng với khán giả về sức mạnh to lớn của phần mềm này, Anomaly Six đã làm điều mà ít ai trên thế giới có thể khẳng định là làm được: theo dõi gián điệp Mỹ.
The pitch lưu ý rằng loại giám sát điện thoại hàng loạt này có thể được Zignal sử dụng để hỗ trợ các khách hàng không xác định bằng "phản hồi nhắn tin", phủ nhận tuyên bố của Nga rằng việc xây dựng quân đội như vậy chỉ là các bài tập huấn luyện chứ không phải chuẩn bị cho một cuộc xâm lược. “Khi bạn đang xem xét tính năng phản hồi tin nhắn, nơi các bạn có một phần rất lớn giá trị mà bạn cung cấp cho khách hàng của mình trong phần tin nhắn phản đối là - [Nga] nói, 'Ồ, nó chỉ mang tính địa phương, khu vực, ừm, bài tập. ' Thích, không. Chúng tôi có thể thấy từ dữ liệu rằng họ đến từ khắp nước Nga. "
Để hoàn toàn gây ấn tượng với khán giả về sức mạnh to lớn của phần mềm này, Anomaly Six đã làm điều mà ít ai trên thế giới có thể khẳng định là làm được: theo dõi gián điệp Mỹ. Clark bắt đầu: “Tôi thích chế giễu những người của chúng tôi. Kéo lên một chế độ xem vệ tinh giống như Google Maps, người đại diện bán hàng cho thấy trụ sở của NSA ở Fort Meade, Maryland và trụ sở của CIA ở Langley, Virginia. Với các ô ranh giới ảo được vẽ xung quanh cả hai, một kỹ thuật được gọi là hàng rào địa lý, phần mềm của A6 đã tiết lộ một khoản tiền thưởng tình báo đáng kinh ngạc: 183 dấu chấm đại diện cho các điện thoại đã đến thăm cả hai cơ quan có khả năng thuộc về nhân viên tình báo Mỹ, với hàng trăm đường kẻ ra bên ngoài tiết lộ chuyển động của họ, sẵn sàng theo dõi trên khắp thế giới. “Vì vậy, nếu tôi là một sĩ quan tình báo nước ngoài, đó là 183 điểm khởi đầu đối với tôi bây giờ,” Clark lưu ý.
NSA và CIA đều từ chối bình luận.
Anomaly Six đã theo dõi một thiết bị đã ghé thăm trụ sở của NSA và CIA đến một căn cứ không quân bên ngoài Zarqa, Jordan.
Ảnh chụp màn hình: The Intercept / Google Maps
Nhấp vào một trong các dấu chấm từ NSA cho phép Clark theo dõi các chuyển động chính xác của cá nhân đó, hầu như mọi khoảnh khắc trong cuộc sống của họ, từ năm trước đó cho đến hiện tại. Clark nói: “Ý tôi là, hãy nghĩ đến những điều thú vị như tìm nguồn cung ứng. “Nếu tôi là sĩ quan tình báo nước ngoài, tôi không có quyền truy cập vào những thứ như cơ quan hay pháo đài, tôi có thể tìm nơi những người đó sống, tôi có thể tìm nơi họ đi du lịch, tôi có thể thấy khi họ rời khỏi đất nước.” Cuộc biểu tình sau đó đã theo dõi cá nhân trên khắp Hoa Kỳ và nước ngoài đến một trung tâm huấn luyện và sân bay cách Căn cứ Không quân Muwaffaq Salti ở Zarqa, Jordan, nơi Mỹ được cho là đang duy trì một đội máy bay không người lái khoảng một giờ lái xe về phía tây bắc.
“Không cần phải sáng tạo nhiều để xem cách mà các điệp viên nước ngoài có thể sử dụng thông tin này cho các hoạt động gián điệp, tống tiền, tất cả các loại, như họ vẫn thường nói, những hành động tồi tệ.”
“Chắc chắn là một mối đe dọa an ninh quốc gia nghiêm trọng nếu một nhà môi giới dữ liệu có thể theo dõi hàng trăm quan chức tình báo đến nhà của họ và trên khắp thế giới,” Thượng nghị sĩ Ron Wyden, D-Ore., Một nhà phê bình lớn về ngành dữ liệu cá nhân, nói với The Intercept trong một cuộc phỏng vấn. “Không cần phải sáng tạo nhiều để xem cách mà các điệp viên nước ngoài có thể sử dụng thông tin này cho các hoạt động gián điệp, tống tiền, tất cả các loại, như họ vẫn thường nói, những hành động tồi tệ.”
Trở lại tiểu bang, người đó đã được theo dõi đến nhà riêng của họ. Phần mềm của A6 bao gồm một chức năng được gọi là “Tính đều đặn”, một nút mà khách hàng có thể nhấn để tự động phân tích các vị trí thường xuyên ghé thăm để suy ra nơi mục tiêu sống và hoạt động, mặc dù các điểm định vị GPS do A6 cung cấp bỏ qua tên của chủ sở hữu điện thoại. Các nhà nghiên cứu về quyền riêng tư từ lâu đã chỉ ra rằng ngay cả dữ liệu vị trí “ẩn danh” cũng dễ dàng đính kèm vào một cá nhân dựa trên nơi họ thường xuyên lui tới nhất, một thực tế được chứng minh bởi chính minh chứng của A6. Sau khi nhấn nút "Mức độ thường xuyên", Clark đã phóng to hình ảnh ở Chế độ xem phố của Google về nhà của họ.
“Ngành công nghiệp đã nhiều lần tuyên bố rằng việc thu thập và bán dữ liệu vị trí điện thoại di động này sẽ không vi phạm quyền riêng tư vì nó được gắn với số ID thiết bị thay vì tên của mọi người. Tính năng này chứng minh mức độ dễ dàng của những tuyên bố đó như thế nào, ”Nate Wessler, Phó giám đốc Dự án Công nghệ, Quyền riêng tư và Ngôn ngữ của Liên minh Quyền tự do Dân sự Hoa Kỳ cho biết. “Tất nhiên, theo dõi chuyển động của một người 24 giờ một ngày, ngày này qua ngày khác, sẽ cho bạn biết họ sống ở đâu, làm việc ở đâu, dành thời gian cho ai và họ là ai. Sự vi phạm quyền riêng tư là rất lớn ”.
Bản demo tiếp tục với một bài tập giám sát gắn thẻ các hoạt động của hải quân Mỹ, sử dụng một bức ảnh vệ tinh được tweet về tàu USS Dwight D. Eisenhower ở Biển Địa Trung Hải do công ty thương mại Maxar Technologies chụp. Clark đã phá vỡ cách một ảnh chụp vệ tinh duy nhất có thể được biến thành giám sát mà anh ta tuyên bố là thậm chí còn mạnh hơn ảnh chụp từ không gian. Sử dụng tọa độ kinh độ và vĩ độ được gắn vào ảnh Maxar cùng với dấu thời gian của nó, A6 có thể nhận một tín hiệu điện thoại từ vị trí của con tàu vào thời điểm đó, ở phía nam Crete. Clark lưu ý: “Nhưng nó chỉ mất một cái thôi. “Vì vậy, khi tôi nhìn lại nơi một thiết bị đó đi: Ồ, nó quay trở lại Norfolk. Và trên thực tế, trên tàu sân bay trong bức ảnh vệ tinh - còn tàu sân bay nào nữa? Khi bạn nhìn, đây là tất cả các thiết bị khác. ”Màn hình của anh ấy cho thấy khung cảnh của nhà cung cấp dịch vụ được cập cảng ở Virginia, với hàng nghìn chấm đầy màu sắc đại diện cho các ping vị trí điện thoại do A6 thu thập được. “Chà, bây giờ tôi có thể thấy mọi lúc con tàu đó đang triển khai. Tôi không cần vệ tinh ngay bây giờ. Tôi có thể sử dụng cái này. ”
Mặc dù Clark thừa nhận rằng công ty có ít dữ liệu hơn về các chủ sở hữu điện thoại Trung Quốc, nhưng bản demo kết thúc bằng ping GPS thu được trên một tàu ngầm hạt nhân được cho là của Trung Quốc. Chỉ sử dụng dữ liệu quảng cáo thương mại và hình ảnh vệ tinh chưa được phân loại, Anomaly Six đã có thể theo dõi các chuyển động chính xác của lực lượng quân sự và tình báo tinh vi nhất thế giới. Với những công cụ như A6 và Zignal bán, ngay cả một người yêu thích OSINT cũng sẽ có quyền giám sát toàn cầu mà trước đây chỉ các quốc gia nắm giữ. “Mọi người đưa tin quá nhiều vào mạng xã hội,” Clark cười nói thêm.
Do dữ liệu vị trí đã gia tăng mà phần lớn không được kiểm soát bởi sự giám sát của chính phủ ở Hoa Kỳ, một tay rửa mặt khác, tạo ra một khu vực tư nhân có khả năng giám sát cấp nhà nước, điều này cũng có thể thúc đẩy sự thèm muốn giám sát ngày càng tăng của chính quyền bang mà không có sự giám sát thông thường của tư pháp. Những người chỉ trích cho rằng việc buôn bán lỏng lẻo dữ liệu quảng cáo tạo thành lỗ hổng trong Tu chính án thứ tư, vốn yêu cầu chính phủ đưa ra vụ việc của mình trước thẩm phán trước khi có được tọa độ vị trí từ một nhà cung cấp dịch vụ di động. Tuy nhiên, tổng số dữ liệu điện thoại được phổ biến hóa đã khiến chính phủ có thể bỏ qua lệnh của tòa án và chỉ cần mua dữ liệu thường thậm chí còn chính xác hơn những gì có thể được cung cấp bởi những công ty như Verizon.
“Tòa án tối cao đã nói rõ rằng thông tin vị trí của điện thoại di động được bảo vệ theo Tu chính án thứ tư vì bức tranh chi tiết về cuộc sống của một người mà nó có thể tiết lộ,” Wessler giải thích. “Việc các cơ quan chính phủ mua quyền truy cập vào dữ liệu vị trí nhạy cảm của người Mỹ đặt ra câu hỏi nghiêm trọng về việc liệu họ có tham gia vào một hoạt động bất hợp pháp xung quanh yêu cầu bảo đảm của Tu chính án thứ tư hay không. Đã đến lúc Quốc hội phải chấm dứt tình trạng không chắc chắn về pháp lý cho phép hoạt động giám sát này một lần và mãi mãi bằng cách tiến tới việc thông qua Đạo luật Không được Bán trong Tu chính án thứ tư ”.
Mặc dù luật như vậy có thể hạn chế khả năng của chính phủ trong việc hạn chế giám sát thương mại, các nhà sản xuất ứng dụng và nhà môi giới dữ liệu sẽ vẫn miễn phí cho các chủ sở hữu điện thoại khảo sát. Tuy nhiên, Wyden, một nhà đồng tài trợ của dự luật đó, nói với The Intercept rằng anh ấy tin rằng “luật này gửi một thông điệp rất mạnh mẽ” tới “Miền Tây hoang dã” về giám sát dựa trên quảng cáo nhưng việc kìm hãm chuỗi cung ứng dữ liệu vị trí sẽ là "Chắc chắn là một câu hỏi cho tương lai." Wyden gợi ý rằng việc bảo vệ dấu vết vị trí của thiết bị khỏi các ứng dụng và nhà quảng cáo theo dõi có thể được Ủy ban Thương mại Liên bang xử lý tốt nhất. Luật riêng biệt được Wyden đưa ra trước đây sẽ trao quyền cho FTC ngăn chặn việc chia sẻ dữ liệu bừa bãi và mở rộng khả năng người tiêu dùng từ chối theo dõi quảng cáo.
A6 không phải là công ty duy nhất tham gia vào lĩnh vực giám sát theo dõi thiết bị được tư nhân hóa. Ba trong số các nhân viên chủ chốt của Anomaly Six trước đây đã làm việc tại công ty cạnh tranh Babel Street, công ty đã nêu tên cả ba người trong một vụ kiện năm 2018 được Wall Street Journal đưa tin lần đầu. Theo hồ sơ pháp lý, Brendan Huff và Jeffrey Heinz đã đồng sáng lập Anomaly Six (và Datalus 5 ít được biết đến hơn) vài tháng sau khi kết thúc công việc tại Phố Babel vào tháng 4 năm 2018, với mục đích tái tạo sản phẩm giám sát vị trí điện thoại di động của Babel, “Định vị X , ”Hợp tác với đối thủ cạnh tranh lớn Semantic AI của Babel. Vào tháng 7 năm 2018, Clark tiếp bước Huff và Heinz bằng cách từ chức “giao diện chính cho… khách hàng cộng đồng tình báo” của Babel và trở thành nhân viên của cả Anomaly Six và Semantic.
Giống như đối thủ Dataminr, Zignal quảng cáo mối quan hệ đối tác tầm thường của mình với những người như Levi's và Sacramento Kings, tiếp thị công khai bằng những thuật ngữ mơ hồ mang ít dấu hiệu cho thấy nó sử dụng Twitter cho mục đích thu thập thông tin tình báo, rõ ràng là vi phạm chính sách chống giám sát của Twitter. . Mối quan hệ của Zignal với chính phủ rất sâu sắc: Ban cố vấn của Zignal bao gồm cựu lãnh đạo Bộ Chỉ huy Hoạt động Đặc biệt của Quân đội Hoa Kỳ, Charles Cleveland, cũng như Giám đốc điều hành của Tập đoàn Rendon , John Rendon, người có tiểu sử ghi rằng ông “đi tiên phong trong việc sử dụng các phương tiện liên lạc chiến lược và quản lý thông tin theo thời gian thực như một yếu tố của sức mạnh quốc gia, đóng vai trò cố vấn cho Nhà Trắng, cộng đồng An ninh Quốc gia Hoa Kỳ, bao gồm Bộ Quốc phòng Hoa Kỳ. ” Thêm nữa,hồ sơ công khai cho biết Zignal đã được trả khoảng 4 triệu đô la để ký hợp đồng phụ với công ty nhân sự quốc phòng ECS Federal trên Dự án Maven cho “Thông tin công khai… Tổng hợp dữ liệu” và “vùng thông tin công khai” có liên quan trong Mạng lưới không được phân loại an toàn của quân đội Hoa Kỳ .
Khả năng mở rộng thế giới đáng chú ý của Anomaly Six là đại diện cho bước nhảy vọt lượng tử xảy ra trong lĩnh vực OSINT. Mặc dù thuật ngữ này thường được sử dụng để mô tả công việc thám tử hỗ trợ internet thu hút hồ sơ công khai, chẳng hạn như xác định vị trí của tội phạm chiến tranh từ một video clip nhiễu hạt, các hệ thống “OSINT tự động” hiện sử dụng phần mềm để kết hợp các bộ dữ liệu khổng lồ cho đến nay vượt xa những gì một con người có thể làm một mình. OSINT tự động cũng đã trở thành một thứ dễ bị nhầm lẫn, sử dụng thông tin hoàn toàn không phải là “nguồn mở” hoặc trong miền công cộng, như dữ liệu GPS thương mại phải được mua từ một nhà môi giới tư nhân.
Mặc dù các kỹ thuật OSINT mạnh mẽ, nhưng chúng thường được bảo vệ khỏi các cáo buộc vi phạm quyền riêng tư vì bản chất “nguồn mở” của thông tin cơ bản có nghĩa là thông tin đó đã được công khai ở một mức độ nào đó. Đây là cách bảo vệ mà Anomaly Six, với hàng tỷ điểm dữ liệu đã mua, không thể thu thập được. Vào tháng 2, Ủy ban Đánh giá của Hà Lan về Dịch vụ Tình báo và An ninh đã đưa ra một báo cáovề các kỹ thuật OSINT tự động và mối đe dọa đối với quyền riêng tư cá nhân mà chúng có thể đại diện: “Khối lượng, bản chất và phạm vi dữ liệu cá nhân trong các công cụ OSINT tự động này có thể dẫn đến vi phạm nghiêm trọng hơn các quyền cơ bản, đặc biệt là quyền riêng tư, hơn là dữ liệu tư vấn từ các nguồn thông tin trực tuyến có thể truy cập công khai, chẳng hạn như dữ liệu mạng xã hội có thể truy cập công khai hoặc dữ liệu được truy xuất bằng công cụ tìm kiếm chung. ” Sự kết hợp giữa dữ liệu có sẵn công khai, hồ sơ cá nhân được mua riêng và phân tích trên máy tính không phải là tương lai của sự giám sát của chính phủ mà là hiện tại. Năm ngoái, New York Times đưa tinrằng Cơ quan Tình báo Quốc phòng “mua các cơ sở dữ liệu thương mại có chứa dữ liệu vị trí từ các ứng dụng điện thoại thông minh và tìm kiếm các chuyển động trong quá khứ của người Mỹ mà không cần lệnh”, một phương pháp giám sát hiện thường xuyên được thực hiện trên khắp Lầu Năm Góc, Bộ An ninh Nội địa , IRS , v.v. .
**********
American Phone-Tracking Firm Demo’d Surveillance Powers by Spying on CIA and NSA
Sam Biddlesam.biddle@theintercept.com@samfbiddle • The Intercept
In the months leading up to Russia’s invasion of Ukraine, two obscure American startups met to discuss a potential surveillance partnership that would merge the ability to track the movements of billions of people via their phones with a constant stream of data purchased directly from Twitter. According to Brendon Clark of Anomaly Six — or “A6” — the combination of its cellphone location-tracking technology with the social media surveillance provided by Zignal Labs would permit the U.S. government to effortlessly spy on Russian forces as they amassed along the Ukrainian border, or similarly track Chinese nuclear submarines. To prove that the technology worked, Clark pointed A6’s powers inward, spying on the National Security Agency and CIA, using their own cellphones against them.
Virginia-based Anomaly Six was founded in 2018 by two ex-military intelligence officers and maintains a public presence that is scant to the point of mysterious, its website disclosing nothing about what the firm actually does. But there’s a good chance that A6 knows an immense amount about you. The company is one of many that purchases vast reams of location data, tracking hundreds of millions of people around the world by exploiting a poorly understood fact: Countless common smartphone apps are constantly harvesting your location and relaying it to advertisers, typically without your knowledge or informed consent, relying on disclosures buried in the legalese of the sprawling terms of service that the companies involved count on you never reading. Once your location is beamed to an advertiser, there is currently no law in the United States prohibiting the further sale and resale of that information to firms like Anomaly Six, which are free to sell it to their private sector and governmental clientele. For anyone interested in tracking the daily lives of others, the digital advertising industry is taking care of the grunt work day in and day out — all a third party need do is buy access.
Company materials obtained by The Intercept and Tech Inquiry provide new details of just how powerful Anomaly Six’s globe-spanning surveillance powers are, capable of providing any paying customer with abilities previously reserved for spy bureaus and militaries.
According to audiovisual recordings of an A6 presentation reviewed by The Intercept and Tech Inquiry, the firm claims that it can track roughly 3 billion devices in real time, equivalent to a fifth of the world’s population. The staggering surveillance capacity was cited during a pitch to provide A6’s phone-tracking capabilities to Zignal Labs, a social media monitoring firm that leverages its access to Twitter’s rarely granted “firehose” data stream to sift through hundreds of millions of tweets per day without restriction. With their powers combined, A6 proposed, Zignal’s corporate and governmental clients could not only surveil global social media activity, but also determine who exactly sent certain tweets, where they sent them from, who they were with, where they’d been previously, and where they went next. This enormously augmented capability would be an obvious boon to both regimes keeping tabs on their global adversaries and companies keeping tabs on their employees.
The source of the materials, who spoke on the condition of anonymity to protect their livelihood, expressed grave concern about the legality of government contractors such as Anomaly Six and Zignal Labs “revealing social posts, usernames, and locations of Americans” to “Defense Department” users. The source also asserted that Zignal Labs had willfully deceived Twitter by withholding the broader military and corporate surveillance use cases of its firehose access. Twitter’s terms of service technically prohibit a third party from “conducting or providing surveillance or gathering intelligence” using its access to the platform, though the practice is common and enforcement of this ban is rare. Asked about these concerns, spokesperson Tom Korolsyshun told The Intercept “Zignal abides by privacy laws and guidelines set forth by our data partners.”
A6 claims that its GPS dragnet yields between 30 to 60 location pings per device per day and 2.5 trillion locational data points annually worldwide, adding up to 280 terabytes of location data per year and many petabytes in total, suggesting that the company surveils roughly 230 million devices on an average day. A6’s salesperson added that while many rival firms gather personal location data via a phone’s Bluetooth and Wi-Fi connections that provide general whereabouts, Anomaly 6 harvests only GPS pinpoints, potentially accurate to within several feet. In addition to location, A6 claimed that it has built a library of over 2 billion email addresses and other personal details that people share when signing up for smartphone apps that can be used to identify who the GPS ping belongs to. All of this is powered, A6’s Clark noted during the pitch, by general ignorance of the ubiquity and invasiveness of smartphone software development kits, known as SDKs: “Everything is agreed to and sent by the user even though they probably don’t read the 60 pages in the [end user license agreement].”
The Intercept was not able to corroborate Anomaly Six’s claims about its data or capabilities, which were made in the context of a sales pitch. Privacy researcher Zach Edwards told The Intercept that he believed the claims were plausible but cautioned that firms can be prone to exaggerating the quality of their data. Mobile security researcher Will Strafach agreed, noting that A6’s data sourcing boasts “sound alarming but aren’t terribly far off from ambitious claims by others.” According to Wolfie Christl, a researcher specializing in the surveillance and privacy implications of the app data industry, even if Anomaly Six’s capabilities are exaggerated or based partly on inaccurate data, a company possessing even a fraction of these spy powers would be deeply concerning from a personal privacy standpoint.
Reached for comment, Zignal’s spokesperson provided the following statement: “While Anomaly 6 has in the past demonstrated its capabilities to Zignal Labs, Zignal Labs does not have a relationship with Anomaly 6. We have never integrated Anomaly 6’s capabilities into our platform, nor have we ever delivered Anomaly 6 to any of our customers.”
When asked about the company’s presentation and its surveillance capabilities, Anomaly Six co-founder Brendan Huff responded in an email that “Anomaly Six is a veteran-owned small business that cares about American interests, natural security, and understands the law.”
Companies like A6 are fueled by the ubiquity of SDKs, which are turnkey packages of code that software-makers can slip in their apps to easily add functionality and quickly monetize their offerings with ads. According to Clark, A6 can siphon exact GPS measurements gathered through covert partnerships with “thousands” of smartphone apps, an approach he described in his presentation as a “farm-to-table approach to data acquisition.” This data isn’t just useful for people hoping to sell you things: The largely unregulated global trade in personal data is increasingly finding customers not only at marketing agencies, but also federal agencies tracking immigrants and drone targets as well as sanctions and tax evasion. According to public records first reported by Motherboard, U.S. Special Operations Command paid Anomaly Six $590,000 in September 2020 for a year of access to the firm’s “commercial telemetry feed.”
Anomaly Six software lets its customers browse all of this data in a convenient and intuitive Google Maps-style satellite view of Earth. Users need only find a location of interest and draw a box around it, and A6 fills that boundary with dots denoting smartphones that passed through that area. Clicking a dot will provide you with lines representing the device’s — and its owner’s — movements around a neighborhood, city, or indeed the entire world.
As the Russian military continued its buildup along the country’s border with Ukraine, the A6 sales rep detailed how GPS surveillance could help turn Zignal into a sort of private spy agency capable of assisting state clientele in monitoring troop movements. Imagine, Clark explained, if the crisis zone tweets Zignal rapidly surfaces through the firehose were only a starting point. Using satellite imagery tweeted by accounts conducting increasingly popular “open-source intelligence,” or OSINT, investigations, Clark showed how A6’s GPS tracking would let Zignal clients determine not simply that the military buildup was taking place, but track the phones of Russian soldiers as they mobilized to determine exactly where they’d trained, where they were stationed, and which units they belonged to. In one case, Clark showed A6 software tracing Russian troop phones backward through time, away from the border and back to a military installation outside Yurga, and suggested that they could be traced further, all the way back to their individual homes. Previous reporting by the Wall Street Journal indicates that this phone-tracking method is already used to monitor Russian military maneuvers and that American troops are just as vulnerable.
In another A6 map demonstration, Clark zoomed in closely on the town of Molkino, in southern Russia, where the Wagner Group, an infamous Russian mercenary outfit, is reportedly headquartered. The map showed dozens of dots indicating devices at the Wagner base, along with scattered lines showing their recent movements. “So you can just start watching these devices,” Clark explained. “Any time they start leaving the area, I’m looking at potential Russian predeployment activity for their nonstandard actors, their nonuniform people. So if you see them go into Libya or Democratic Republic of the Congo or things like that, that can help you better understand potential soft power actions the Russians are doing.”
To fully impress upon its audience the immense power of this software, Anomaly Six did what few in the world can claim to do: spied on American spies.
The pitch noted that this kind of mass phone surveillance could be used by Zignal to aid unspecified clients with “counter-messaging,” debunking Russian claims that such military buildups were mere training exercises and not the runup to an invasion. “When you’re looking at counter-messaging, where you guys have a huge part of the value you provide your client in the counter-messaging piece is — [Russia is] saying, ‘Oh, it’s just local, regional, um, exercises.’ Like, no. We can see from the data that they’re coming from all over Russia.”
To fully impress upon its audience the immense power of this software, Anomaly Six did what few in the world can claim to do: spied on American spies. “I like making fun of our own people,” Clark began. Pulling up a Google Maps-like satellite view, the sales rep showed the NSA’s headquarters in Fort Meade, Maryland, and the CIA’s headquarters in Langley, Virginia. With virtual boundary boxes drawn around both, a technique known as geofencing, A6’s software revealed an incredible intelligence bounty: 183 dots representing phones that had visited both agencies potentially belonging to American intelligence personnel, with hundreds of lines streaking outward revealing their movements, ready to track throughout the world. “So, if I’m a foreign intel officer, that’s 183 start points for me now,” Clark noted.
The NSA and CIA both declined to comment.
Anomaly Six tracked a device that had visited the NSA and CIA headquarters to an air base outside of Zarqa, Jordan.
Screenshot: The Intercept / Google Maps
Clicking on one of dots from the NSA allowed Clark to follow that individual’s exact movements, virtually every moment of their life, from that previous year until the present. “I mean, just think of fun things like sourcing,” Clark said. “If I’m a foreign intel officer, I don’t have access to things like the agency or the fort, I can find where those people live, I can find where they travel, I can see when they leave the country.” The demonstration then tracked the individual around the United States and abroad to a training center and airfield roughly an hour’s drive northwest of Muwaffaq Salti Air Base in Zarqa, Jordan, where the U.S. reportedly maintains a fleet of drones.
“It doesn’t take a lot of creativity to see how foreign spies can use this information for espionage, blackmail, all kinds of, as they used to say, dastardly deeds.”
“There is sure as hell a serious national security threat if a data broker can track a couple hundred intelligence officials to their homes and around the world,” Sen. Ron Wyden, D-Ore., a vocal critic of the personal data industry, told The Intercept in an interview. “It doesn’t take a lot of creativity to see how foreign spies can use this information for espionage, blackmail, all kinds of, as they used to say, dastardly deeds.”
Back stateside, the person was tracked to their own home. A6’s software includes a function called “Regularity,” a button clients can press that automatically analyzes frequently visited locations to deduce where a target lives and works, even though the GPS pinpoints sourced by A6 omit the phone owner’s name. Privacy researchers have long shown that even “anonymized” location data is trivially easy to attach to an individual based on where they frequent most, a fact borne out by A6’s own demonstration. After hitting the “Regularity” button, Clark zoomed in on a Google Street View image of their home.
“Industry has repeatedly claimed that collecting and selling this cellphone location data won’t violate privacy because it is tied to device ID numbers instead of people’s names. This feature proves just how facile those claims are,” said Nate Wessler, deputy director of the American Civil Liberties Union’s Speech, Privacy, and Technology Project. “Of course, following a person’s movements 24 hours a day, day after day, will tell you where they live, where they work, who they spend time with, and who they are. The privacy violation is immense.”
The demo continued with a surveillance exercise tagging U.S. naval movements, using a tweeted satellite photo of the USS Dwight D. Eisenhower in the Mediterranean Sea snapped by the commercial firm Maxar Technologies. Clark broke down how a single satellite snapshot could be turned into surveillance that he claimed was even more powerful than that executed from space. Using the latitude and longitude coordinates appended to the Maxar photo along with its time stamp, A6 was able to pick up a single phone signal from the ship’s position at that moment, south of Crete. “But it only takes one,” Clark noted. “So when I look back where that one device goes: Oh, it goes back to Norfolk. And actually, on the carrier in the satellite picture — what else is on the carrier? When you look, here are all the other devices.” His screen revealed a view of the carrier docked in Virginia, teeming with thousands of colorful dots representing phone location pings gathered by A6. “Well, now I can see every time that that ship is deploying. I don’t need satellites right now. I can use this.”
Though Clark conceded that the company has far less data available on Chinese phone owners, the demo concluded with a GPS ping picked up aboard an alleged Chinese nuclear submarine. Using only unclassified satellite imagery and commercial advertising data, Anomaly Six was able to track the precise movements of the world’s most sophisticated military and intelligence forces. With tools like those sold by A6 and Zignal, even an OSINT hobbyist would have global surveillance powers previously held only by nations. “People put way too much on social media,” Clark added with a laugh.
As location data has proliferated largely unchecked by government oversight in the United States, one hand washes another, creating a private sector capable of state-level surveillance powers that can also fuel the state’s own growing appetite for surveillance without the usual judicial scrutiny. Critics say the loose trade in advertising data constitutes a loophole in the Fourth Amendment, which requires the government to make its case to a judge before obtaining location coordinates from a cellular provider. But the total commodification of phone data has made it possible for the government to skip the court order and simply buy data that’s often even more accurate than what could be provided by the likes of Verizon. Civil libertarians say this leaves a dangerous gap between the protections intended by the Constitution and the law’s grasp on the modern data trade.
“The Supreme Court has made clear that cellphone location information is protected under the Fourth Amendment because of the detailed picture of a person’s life it can reveal,” explained Wessler. “Government agencies’ purchases of access to Americans’ sensitive location data raise serious questions about whether they are engaged in an illegal end run around the Fourth Amendment’s warrant requirement. It is time for Congress to end the legal uncertainty enabling this surveillance once and for all by moving toward passage of the Fourth Amendment Is Not For Sale Act.”
Though such legislation could restrict the government’s ability to piggyback off commercial surveillance, app-makers and data brokers would remain free to surveil phone owners. Still, Wyden, a co-sponsor of that bill, told The Intercept that he believes “this legislation sends a very strong message” to the “Wild West” of ad-based surveillance but that clamping down on the location data supply chain would be “certainly a question for the future.” Wyden suggested that protecting a device’s location trail from snooping apps and advertisers might be best handled by the Federal Trade Commission. Separate legislation previously introduced by Wyden would empower the FTC to crack down on promiscuous data sharing and broaden consumers’ ability to opt out of ad tracking.
A6 is far from the only firm engaged in privatized device-tracking surveillance. Three of Anomaly Six’s key employees previously worked at competing firm Babel Street, which named all three of them in a 2018 lawsuit first reported by the Wall Street Journal. According to the legal filing, Brendan Huff and Jeffrey Heinz co-founded Anomaly Six (and lesser-known Datalus 5) months after ending their employment at Babel Street in April 2018, with the intent of replicating Babel’s cellphone location surveillance product, “Locate X,” in a partnership with major Babel competitor Semantic AI. In July 2018, Clark followed Huff and Heinz by resigning from his position as Babel’s “primary interface to … intelligence community clients” and becoming an employee of both Anomaly Six and Semantic.
Like its rival Dataminr, Zignal touts its mundane partnerships with the likes of Levi’s and the Sacramento Kings, marketing itself publicly in vague terms that carry little indication that it uses Twitter for intelligence-gathering purposes, ostensibly in clear violation of Twitter’s anti-surveillance policy. Zignal’s ties to government run deep: Zignal’s advisory board includes a former head of the U.S. Army Special Operations Command, Charles Cleveland, as well as the CEO of the Rendon Group, John Rendon, whose bio notes that he “pioneered the use of strategic communications and real-time information management as an element of national power, serving as a consultant to the White House, U.S. National Security community, including the U.S. Department of Defense.” Further, public records state that Zignal was paid roughly $4 million to subcontract under defense staffing firm ECS Federal on Project Maven for “Publicly Available Information … Data Aggregation” and a related “Publicly Available Information enclave” in the U.S. Army’s Secure Unclassified Network.
The remarkable world-spanning capabilities of Anomaly Six are representative of the quantum leap occurring in the field of OSINT. While the term is often used to describe the internet-enabled detective work that draws on public records to, say, pinpoint the location of a war crime from a grainy video clip, “automated OSINT” systems now use software to combine enormous datasets that far outpace what a human could do on their own. Automated OSINT has also become something of a misnomer, using information that is by no means “open source” or in the public domain, like commercial GPS data that must be bought from a private broker.
While OSINT techniques are powerful, they are generally shielded from accusations of privacy violation because the “open source” nature of the underlying information means that it was already to some extent public. This is a defense that Anomaly Six, with its trove of billions of purchased data points, can’t muster. In February, the Dutch Review Committee on the Intelligence and Security Services issued a report on automated OSINT techniques and the threat to personal privacy they may represent: “The volume, nature and range of personal data in these automated OSINT tools may lead to a more serious violation of fundamental rights, in particular the right to privacy, than consulting data from publicly accessible online information sources, such as publicly accessible social media data or data retrieved using a generic search engine.” This fusion of publicly available data, privately procured personal records, and computerized analysis isn’t the future of governmental surveillance, but the present. Last year, the New York Times reported that the Defense Intelligence Agency “buys commercially available databases containing location data from smartphone apps and searches it for Americans’ past movements without a warrant,” a surveillance method now regularly practiced throughout the Pentagon, the Department of Homeland Security, the IRS, and beyond.
Không có nhận xét nào:
Đăng nhận xét