Az amerikai hírszerzés rájött, hogy célzott online hirdetésekkel még Putyint is lehet követni

Ön is utálja a célzott hirdetéseket? Nem meglepő, és ha elolvassa ezt a cikket, valószínűleg még jobban fogja utálni őket. Byron Tau Means of Control című, az új amerikai megfigyelőállam kiépítéséről szóló könyvéből ugyanis újabb bizonyíték érkezett arra, hogy nem kell nagy erőfeszítés ahhoz, hogy a célzott hirdetésekhez használatos, nyilvánosan elérhető adatok alapján beazonosítsanak és nyomon kövessenek valakit. Akár még Vlagyimir Putyint is, aki a világ egyik legjobban védett embere.

A könyvből a megjelenés előtt a Wired közölt egy hosszabb kivonatot, és bár ebben eget rengető újdonságok nem voltak, a szöveg számos olyan részletre és eddig nem ismert információra világított rá, amelyek segítenek kontextusba helyezni, hogy mekkora jelentősége van valójában annak, amikor például egy időjárás-jelentő alkalmazásban oda se figyelve rányomunk arra, hogy engedélyezzük a helymeghatározást.

Már megint az AdInt

A könyvrészlet egy Mike Yeagley nevű fickón keresztül mutatja be, hogy hogyan döbbent rá egy rakás cég, és maga a Pentagon is arra, hogy milyen szintű megfigyelést tesz lehetővé a célzott hirdetésekhez összegyűjtött, gigantikus adathalmaz. Ez önmagában még nem újdonság, a Telexen is írtunk erről, amikor kiderült, hogy több izraeli cég is olyan technológiát fejlesztett ki, ami még egy lépéssel tovább megy, és konkrétan kémprogramokat ültet be hétköznapinak tűnő hirdetésekbe. Azt viszont tényleg érdemes hangsúlyozni, hogy

valójában nem kell ahhoz kémprogram, hogy akárhova követni lehessen valakit, és hosszabb távon az illető identitásának kiderítése sem túl bonyolult, hiszen a pozíciójából kikövetkeztethető, hogy hol lakik.

Yeagley úgy jön be a képbe, hogy 2019-ben arról kezdte el győzködni az amerikai nemzetbiztonságot, hogy a kormányra komoly veszélyt jelent a Grindr nevű, főleg az LMBTQ-közösség által használt randiapp. Természetesen nem azért, mert melegek használják – Yeagley arra jött rá, hogy a célzott hirdetéseken keresztül rettentően könnyen hozzá lehet férni a Grindr által rögzített, nagyon precíz geolokációs adatokhoz, és mint azt be is mutatta az illetékes szerveknek, ezzel be tudta azonosítani az amerikai hírszerzés számos munkatársának napirendjét.

Ahogy azt tavalyi cikkünkben mi is írtuk, az egész nem csak a Grindrrel működik, tulajdonképpen akármelyik alkalmazással meg lehet csinálni, ahol van helymeghatározás, pláne mert az összegyűjtött adatokhoz viszonylag egyszerűen hozzá lehet férni. Az adataink kezelése köré egész iparág épült fel, amire általában csak AdTechként szoktak hivatkozni, ezen belül pedig létezik a jóval kevésbé ismert AdInt is, ami a begyűjtött adatokat hírszerzői oldalról közelíti meg. Ez elsőre furának tűnhet, mert az adatgyűjtés anonim, de minden telefonnak van egy saját reklámazonosítója, ami alatt adatot gyűjtenek rólunk.

A hirdetők így nem férnek hozzá a személyes adatainkhoz, de az ökoszisztémában minden hirdető tudja, hogy milyen eszközről, hol, mikor és mire keresünk rá – éppen ezért is olyan hatékonyak a célzott hirdetések. A jogszabályoknak mindenben megfelelő adatgyűjtés ugyanakkor hírszerzői információként is nagyon hasznos, annak ellenére ugyanis, hogy a reklámazonosító alapján papíron nem lehet beazonosítani a telefonok gazdáit, a napi rutinja mindenkinek annyira egyedi, hogy a gyakorlatban több millió azonosító közül is simán kitűnik. Az azonosítót persze ki lehet kapcsolni, de nem ez a jellemző.

Szürkezónás adatok

Yeagley már 2015-ben is azzal foglalkozott, hogy kitalálja, mire lehet használni mindezt, aztán 2016-ban elment a PlanetRisk nevű startuphoz, ahol az UberMedia nevű adatbrókerrel kezdett el együtt dolgozni. Először Szíriában próbálták ki, hogy mit lehet kihozni az UberMedia adathalmazaiból, egészen pontosan az ostrom alatt álló Aleppóban próbálták meg nyomon követni az onnan menekülőket. Yeagley-ék abban sem voltak biztosak, hogy az egésznek lesz bármi eredménye, de az UberMedia szerzett ottani helyadatokat, és hamar kiderült, hogy ezzel menekültek ezreinek hollétéről szereztek információt szerte a világon.

Azt hozzá kell tenni, hogy az UberMedia nem játszott teljesen tisztán, a reklámpiaci hozzáférésükkel ugyanis egy idő után minden geolokációs információval ellátott felhasználói lekérést mentettek (ez akkor történik, amikor megnyitunk bármit, ahol online hirdetések vannak), aztán ezt eladták. Ez nem engedélyezett a legtöbb hirdetésbörzén, de a gyakorlatban nehéz megakadályozni. Persze a PlanetRisk is csalt: Yeagley arra hivatkozva kérte ki az aleppói adatokat, hogy egy humanitárius szervezetnek dolgozik, a valóságban viszont egy Pentagon által pénzelt projekthez kellettek neki az adatok.

A következő lépés egy kereskedelmi forgalomban is elérhető nyomkövető volt, ami a Locomotive nevet kapta, és ennek tesztelése közben egyre hajmeresztőbb dolgokat hoztak ki az adatbázisokból. Találtak például egy olyan esetet, ahol valaki rendszeresen járt oda-vissza Amerika és Észak-Korea között, a telefon tulajdonosa pedig a napi rutinja alapján a General Electric egyik gyárában dolgozott. Így felmerült az ipari kémkedés gyanúja, de a PlanetRisk végül sem a hírszerzésnek, sem a cégnek nem szólt erről, mert nem akarták, hogy széles körben ismertté váljon a termékük.

Egy oroszországi adathalmaz birtokában pedig rájöttek például arra, hogy akár Vlagyimir Putyin orosz elnököt is nyomon tudják követni a stábjának tagjain keresztül, akiknek telefonja követhető volt a hirdetések miatt.

Egy másik esetben amúgy később beigazolódott az, amit az adatokból láttak – már azelőtt felismerték, hogy az amerikai hadsereg előretolt helyőrséget létesített Észak-Szíriában az ISIS elleni harchoz, hogy a kormány ezt hivatalosan elismerte volna. Az ottani katonák pontos helyzetéről olykor szinte valós időben, akár negyedóránként értesültek, ami elég ijesztő annak fényében, hogy pont a PlanetRisk példájából már akkor is látszott, hogy a nyilvánosan elérhető adatokhoz gyakorlatilag akárki hozzáférhet, ha van egy jó kifogása arra, hogy mihez kellenek neki.

Bárkiről, bármit, bármikor

A PlanetRisknél egy idő után felmerült, hogy mennyibe kerülne egy, az egész bolygóra kiterjedő megfigyelés, az UberMedia pedig készségesen elárulta nekik, hogy havi pár százezer dollárért simán vehetnek tőlük adatot az összes létező mobiltelefonról, ahonnan adatot tudnak gyűjteni. Ez a katonai és hírszerzési költségvetéshez képest elhanyagolható összeg, elég csak arra gondolni, hogy a Patriot légvédelmi rendszerhez egyetlen rakéta több millió dollárba kerül, vagy hogy 2020-ban csak az amerikai hírszerzés büdzséje megközelítette a 63 milliárd dollárt.

A Locomotive első verziója 2016-ban lett kész, és nem meglepő módon teljesen lenyűgözte a Pentagon fejeseit. A demózás közben egy kormánytisztviselő arra kérte a PlanetRisk képviselőjét, hogy menjenek át egy biztonságos kormányzati létesítménybe, ahol szabadon beszélhetnek titkosított adatokról, mert anélkül, hogy tudta volna, mit csinál a program, biztos volt benne, hogy valami durvát. A PlanetRisk embere pedig nem értette, hogy miért kéne bárhova menniük, amikor ez mind csak a reklámpiacon bárki számára elérhető adat, amit ők simán megvettek.

Yeagley végül nem maradt a PlanetRisknél, az UberMedia-partnerséggel együtt lelépett egy Aelius Exploitation Technologies nevű céghez, ahol aztán VISR néven kormányzati programot csinált a Locomotive-ból, amelyet széles körben használ az amerikai hírszerzés, főleg terroristák felhajtásához. Ez nem is az egyetlen ilyen, ahogy tavaly írtuk, több izraeli cég is csinált már hasonlót, és ha valaki egyszer is engedélyezte a helymeghatározást, akkor a hozzá köthető adatokhoz is hozzáférhet bármelyik kormány, hírszerzés, magánnyomozó vagy akár oknyomozó újságíró,

ahogy azt egy Jeffrey Burrill nevű katolikus püspök is megtapasztalhatta, akiről egy katolikus blog írta meg három éve, hogy a Grindr-en keresztül járkál melegbárokba és vendégeskedik másoknál.

Ezekkel az adatokkal tényleg szinte bármilyen kínos titkot ki lehet deríteni: ki ment abortuszklinikára, ki ment drogelvonóra, ki csalta meg a párját, ki ment el állásinterjúra egy rivális céghez, amikor betegszabadságon volt, ki ült be egy kocsmába, mielőtt balesetezett volna a kocsijával. A mobilszolgáltatóktól persze már most is ki lehet kérni ilyen adatokat, de ehhez bírósági végzés és bűncselekmény vádja szükséges – a reklámokon keresztüli követésnél viszont nincsen semmilyen megkötés.