案例研究
1. 追踪驻德国的美军士兵
- 文章:“手机数据如何追踪美国驻德国的士兵和间谍”
- 关键洞察:超过30亿条手机数据点揭示了军事行动轨迹,凸显出安全漏洞。
任何人都可以购买追踪美国士兵和间谍到德国核库和妓院的数据
美国数据经纪人收集的超过 30 亿个电话坐标揭露了美国军事和情报人员在德国的详细动向—五角大楼无力阻止。
几乎每个工作日清晨,一台设备从德国威斯巴登附近的一栋两层住宅出发,沿着一条主要高速公路行驶约15分钟。大约早上7点,它抵达了卢修斯·D·克莱军营——美国陆军欧洲总部及美军情报行动的重要枢纽。
这台设备会先在一家餐馆附近停留,然后前往基地附近的一处办公室,该办公室属于一家主要的政府承包商,负责装备和保护一些国家最敏感的设施。
大约在2023年的两个月里,这台设备遵循着固定的日常路线:先停靠承包商办公室,随后前往基地内一个隐秘的机库,再到基地食堂用午餐。去年11月的两次,它驱车30分钟前往“匕首”综合设施——一个前情报和美国国家安全局信号处理中心。周末时,这台设备的行踪则能被追踪到威斯巴登的餐馆和商店。
携带这台设备的个人很可能既不是间谍,也不是高级情报官员。专家们认为,他更可能是一名承包商,负责关键系统的维护工作——例如暖通空调(HVAC)、计算机基础设施,或者是为新建的“综合情报中心”提供安保服务。该中心是一座尖端设施,据信被国家安全局(NSA)所使用。
无论携带者身份如何,他们随身携带的这台设备正在威胁美国的国家安全。
《WIRED》杂志、巴伐利亚广播公司(Bayerischer Rundfunk,BR)与Netzpolitik.org联合调查发现,美国企业在合法收集数字广告数据的同时,也无意中为全球提供了一种廉价且可靠的方式,能够追踪美国军事和情报人员在海外的行动轨迹——从他们的家和孩子的学校,到美军核武器疑似存放的加固机库。
通过对一家美国数据经纪商提供的数十亿条位置信息坐标进行联合分析,调查揭示了美军人员的日常活动细节。这些发现鲜明地展示了移动设备位置数据无监管出售对美军机密性和海外军人及其家属安全所带来的严重风险。
我们追踪了德国境内数十万个来自敏感美军设施的信号,包括数十台设备位于疑似美国国家安全局(NSA)监控或信号分析设施,超过一千台设备位于2023年乌克兰军队接受训练的庞大美军基地,还有近两千台设备位于一个关键支持美军无人机行动的空军基地。
据爱德华·斯诺登泄露的机构文件显示,一台可能与NSA或情报人员相关的设备在一栋无窗、金属外壳的建筑内发射信号,该建筑被称为“锡罐”,据称用于NSA监控。另一台设备则从一个限制级武器测试设施内发出信号,其曲折移动路径揭示了该高安全区用于坦克演习和实弹训练。
我们追踪这些设备从军营到办公楼,再到意大利餐厅、Aldi超市和酒吧。多达四台设备定期从拉姆斯坦空军基地发信号,后来被追踪到基地附近的妓院,包括一座名为“性世界”的多层建筑。
专家警告称,外国政府可能利用这些数据识别可进入敏感区域的人员;恐怖分子或犯罪分子能推测美国核武器最薄弱的防护时间;间谍及其他恶意势力则可能利用这些令人尴尬的信息进行勒索。
“毫无监管的数据经纪行业对国家安全构成了明确威胁,”来自俄勒冈州、拥有超过20年情报监督经验的美国参议员罗恩·怀登(Ron Wyden)表示。“令人愤怒的是,美国的数据经纪商竟然出售成千上万名英勇军人的位置信息,这些军人身处全球危险之地执行任务。”
在巴伐利亚广播公司(BR)和Netzpolitik.org最初报道引发对可能追踪美军人员的担忧后,怀登于去年九月向美国国防部提出质询,但国防部未作回应。同样,尽管多次询问,怀登办公室尚未收到美国总统乔·拜登国家安全委员会(NSC)成员的任何回复。国家安全委员会对此未立即回应置评请求。
怀登表示:“责任很多,但除非新一届政府和国会采取行动,否则这类滥用行为将继续发生,并且可能付出军人生命的代价。”
今年早些时候,怀登还向联邦贸易委员会(FTC)提出了这一问题,此前FTC曾对一家被指控收集“敏感地点”数据的美国公司实施了前所未有的限制。FTC公共事务主任道格拉斯·法拉(Douglas Farrar)拒绝对此置评。
然而,《WIRED》首次获悉,FTC正准备满足怀登的要求。一位要求匿名的FTC内部人士透露,机构计划很快提起多起诉讼,正式将美国军事设施认定为受保护场所。该人士补充称,这些诉讼符合FTC主席莉娜·汗(Lina Khan)多年来致力于保护美国消费者——包括军人——免受有害监控行为的工作方向。
在某个应用或网站显示定向广告之前,常嵌入应用内的第三方软件开发工具包(SDK)会将用户信息传输给数据经纪商、实时竞价平台和广告交易所,通常包括位置信息。数据经纪商通常会收集、分析、重新打包并出售这些数据。
2024年2月,BR和Netzpolitik.org的记者从一家位于佛罗里达的数据经纪公司Datastream Group获得了一份免费样本数据。该数据集包含36亿条坐标数据——部分以毫秒为单位记录——覆盖了2023年10月至12月59天内,德国多达1100万个移动广告ID的活动轨迹。
移动广告ID是广告业用来向智能手机用户投放个性化广告的唯一标识符。这些字母和数字的组合让公司能够追踪用户行为,有效定位广告。然而,当与精准地理位置数据结合时,移动广告ID还能暴露更敏感的信息。
我们分析显示,至多12,313台设备的细致位置信息显示它们曾在至少11个军事和情报设施附近或内部活动,可能暴露关键细节,如入口位置、安全措施和警卫时间表——这些信息若落入敌对外国政府或恐怖分子之手,后果不堪设想。
调查中,我们发现布歇尔空军基地(Büchel Air Base)内最多189台设备发出了38,474条位置信号。该基地为德国高安全级别设施,据称地下掩体内存放有多达15枚美国核武器。在格拉芬韦尔训练区(Grafenwöhr Training Area),驻扎数千名美军并培训乌克兰阿布拉姆斯坦克部队的地点,我们追踪到1,257台设备发出的191,415条信号。
在威斯巴登——美国陆军欧洲总部卢修斯·D·克莱军营所在地——检测到多达799台设备发出了74,968条位置信号。其中部分信号来自敏感情报设施,如欧洲技术中心(曾是NSA在欧洲的通信枢纽)以及新建的情报行动中心。
在支持部分美军无人机行动的拉姆斯坦空军基地,追踪到近2,000台设备发出了164,223条信号。这些设备中还有一些出现在基地的拉姆斯坦小学和高中——美军军人子女的基地学校。
这些设备中,有1,326台出现在多个高度敏感的军事场所,可能映射出美军人员在欧洲最安全区域的行动轨迹。
不过,数据并非绝对准确。移动广告ID(Mobile ad IDs)可被重置,因此同一设备可能对应多个ID。我们的分析显示,有些设备被分配了超过10个移动广告ID。
此外,个别设备位置数据的精准度也存在波动。通过联系数据集中轨迹被揭示的多位人士,报道团队确认大部分数据高度准确——能够识别出工作通勤和遛狗路线。但情况并非总是如此。一位其ID出现在数据集内的记者发现,数据常将其定位在离住所一街区外,且有时标注他身处出差地。北约战略传播卓越中心(NATO Strategic Communications Center of Excellence)的一项研究指出,数据经纪行业中“数量掩盖质量”,平均而言,只有约60%的数据可视为精准。
据其官网介绍,Datastream Group提供“互联网广告数据,结合哈希邮箱、Cookie和移动位置数据”。其数据集还涵盖了诸如船主、抵押贷款申请者和吸烟者等细分群体。这家公司是数十亿美元位置数据产业链上的众多企业之一。针对我们关于其提供的涉及美国驻德军队及情报人员数据的采访请求,Datastream Group未作回应。据最新估计,美国在德国至少驻有35,000名军人。
国防部官员至少从2016年起就知道商业数据经纪商对国家安全构成的威胁。当时,政府承包商兼技术专家迈克·耶格利(Mike Yeagley)曾在北卡罗来纳州自由堡(前称布拉格堡)的联合特种作战司令部向高级军官做过一次简报,重点讨论了这一问题。耶格利的演示旨在展示商业化移动数据——当时已广泛应用于叙利亚等冲突区——如何被用作生活模式分析的武器。
在演示进行到一半时,耶格利决定加大分量。他告诉《WIRED》,“这就是一名ISIS(伊斯兰国)行动者的行为表现。”接着他“把镜子反过来”,向军方展示同样的方法如何用来监控他们自己的人员。他展示了从北卡罗来纳州布拉格堡和佛罗里达州麦克迪尔空军基地——美国精锐特种作战部队的重要枢纽——出发的手机数据。这些设备经过土耳其等中转点,最终在叙利亚北部科巴尼附近一处貌似废弃的水泥厂聚集,该地是已知的ISIS据点,且被确认是一处秘密的前线行动基地。
耶格利说,他随即被带到一间安全室,闭门继续做演示。官员们质疑他如何获得这些数据,担心他是否通过黑客攻击人员设备或未经授权的监听获取信息。
耶格利向国防部官员解释,数据并非通过间谍手段获得,而是来自无监管的商业数据经纪商。“我没有黑客攻击、拦截或制造这些数据,”他告诉他们,“我是买来的。”
多年后,耶格利对国防部无法控制局势依然深感沮丧。他表示,《WIRED》、《BR》和Netzpolitik.org现在报道的情况“与我们近十年前发出的警报非常相似”,他无奈地摇头说,“似乎什么都没变。”
美国法律要求国家情报总监为被认定易受“敌对信息收集活动”影响的“高风险”情报人员的个人设备提供“保护支持”。但哪些人员符合这一标准以及保护措施具体内容尚不明确,通常仅限于定期培训和建议。而我们获得的位置信息显示,商业监控的普遍性和复杂性远非单靠个人责任能解决。
拜登政府离任的国家情报总监艾弗里尔·海恩斯(Avril Haines)未回应置评请求。
海恩斯去年夏天解密的一份报告承认,美国情报机构曾从商业数据经纪商处购买了“大量”涉及美国公民的“敏感且私密信息”,并指出“若落入错误之手”,这些数据可能被用来“实施勒索、跟踪、骚扰和公开羞辱”。该报告大量内容被删减,其中提到,虽然美国政府“绝不会被允许强制数十亿人随身携带定位追踪设备”,但智能手机、联网汽车和网络追踪技术已经实现了这一目标,“且无需政府参与”。
众议院武装服务委员会共和党主席迈克·罗杰斯(Mike Rogers)未回应多次置评请求。该委员会资深民主党议员亚当·史密斯(Adam Smith)的发言人称,史密斯因忙于谈判明年为五角大楼政策优先事项提供资金的必通过法案,暂时无法讨论此事。
参议院军委会的两位主要成员——民主党人杰克·里德(Jack Reed)和共和党人罗杰·威克(Roger Wicker)——均未回应多次置评请求。国会情报委员会两院的领导人和资深议员也未对相关询问作出回复。
国防部和国家安全局(NSA)拒绝回答与本次调查相关的具体问题。不过,国防部发言人贾文·拉斯内克(Javan Rasnake)表示,五角大楼意识到地理定位服务可能给军人带来风险,并敦促军人牢记训练内容,严格遵守作战安全(OPSEC)规范。“在美国欧洲司令部(USEUCOM)辖区内,成员们被提醒在执行任务活动时,必须落实正确的作战安全措施,”拉斯内克说道。
报道团队获得的一份五角大楼内部演示文稿则指出,国内数据采集不仅极有可能泄露军事机密,而且几乎无法避免,因为军人的生活与支持数据采集的技术密切交织。这一结论与美国最高法院首席大法官约翰·罗伯茨(John Roberts)近十年来在隐私领域重大案件中的观察高度一致。罗伯茨曾形容手机是“日常生活中无处不在且不可忽视的部分”,且拥有手机“对参与现代社会来说是不可或缺的”。
据一位消息人士透露,这份演示曾向包括美国陆军首席信息官在内的高级将领展示。演示警告称,尽管大型广告科技公司承诺保护隐私,但鉴于商业数据对五角大楼雇员的广泛收集,“去匿名化”几乎轻而易举。文档强调,美国个人的定位数据存储是一项“部队保护问题”,极可能泄露部队动向及其他高度机密的军事信息。
尽管冷战结束后五角大楼内部的勒索事件大幅减少,但持续监视美国人的许多结构性障碍也已消失。过去几十年里,美国法院多次裁定,新技术对隐私构成威胁,因为它使得此前“因成本过高而难以实施”的监控变得可行——正如2007年第七巡回上诉法院所指出的。
2024年8月,美国另一上诉法院驳回了科技公司关于用户“自愿选择”接受监控且“知情”的说法,明确指出“任何拥有智能手机的人”都能清楚看出事实正相反。军方内部演示进一步强调,对手国家可以轻易获得广告数据,利用其进行间谍活动,进而剥削、操控和胁迫军人。
无论在外国是否合法,军人嫖娼均违反《统一军事司法法典》。处罚可能十分严厉,包括扣发工资、不名誉退伍,甚至最高可判一年监禁。但专门办理军法案件的刑事辩护律师迈克尔·瓦丁顿(Michael Waddington)表示,禁令不仅仅出于原则考量。“这些场所存在真正的风险,军人可能遇到外国特工,从而面临勒索或利用,”他说。
“考虑到当前的地缘政治形势,这个问题尤为令人担忧。许多驻欧洲的美军人员正参与支持乌克兰抵御俄罗斯入侵,”瓦丁顿说道,“他们的安全一旦被破坏,可能对我们的行动和国家安全带来严重影响。”
在危及国家安全方面,即使是低级别人员的数据也可能构成威胁,技术与国家安全项目高级研究员兼项目主管维维克·奇卢库里(Vivek Chilukuri)表示。奇卢库里曾在美国参议院情报委员会担任参议员迈克尔·贝内特(Michael Bennet)的立法主任和技术政策顾问,此前还在美国国务院专注于反暴力极端主义工作。
“看似低价值的目标也可能导致高价值的泄密,”奇卢库里说,“即使某人职位不高,也可能接触到高度敏感的基础设施。一个系统的安全性取决于最薄弱的环节。”他指出,如果对手能锁定某个能访问关键服务器或数据库的人员,就可能利用这一漏洞造成严重损害。“只需将一根U盘插入正确的设备,就能让整个组织陷入危机。”
风险不仅仅针对个别军人,整个安全协议和作战流程也可能通过位置信息被揭露。在布歇尔空军基地,据称美国储存有约10至15枚B61核武器,数据揭示了基地内设备的日常活动模式,包括军人最活跃的时间,更令人担忧的是,可能暴露了基地人员最稀少的时段。
布歇尔空军基地拥有11个防护机库,这些机库配备了用于核武器储存的加固密封库。每个密封库位于所谓的WS3系统(武器存储与安全系统)内,最多可容纳四枚弹头。我们的调查追踪到了多达40台手机设备的精准位置信息,这些设备曾出现在或靠近这些掩体附近。
我们从布歇尔基地设备所观察到的活动模式,远不止于了解基地人员的工作时间。通过汇总数据,可以绘制出关键出入口位置,标记高频访问区域,甚至追踪人员在基地外的行动轨迹。对于恐怖分子来说,这类信息堪称“金矿”,提供了识别薄弱环节、策划攻击或针对可进入敏感区域人员的机会。
本月,德国当局逮捕了一名前美军雇佣的平民承包商,指控其涉嫌向中国情报机构提供有关美国在德国军事行动的敏感信息。
今年4月,德国警方拘捕了两名德俄双重国籍人士,指控他们侦察美军基地以策划破坏行动,包括涉嫌纵火。其中一处目标是位于巴伐利亚的美国陆军格拉芬韦尔训练区,这是美军在欧洲的关键作战枢纽,面积达233平方公里。
在格拉芬韦尔,WIRED、BR和Netzpolitik.org追踪到了多达1,257台设备的精准行动轨迹。一些设备甚至被发现沿着301号靶场的装甲车辆训练路线曲折移动,随后返回附近军营。
杜克大学桑福德公共政策学院高级研究员、数据经纪研究项目负责人贾斯廷·舍曼(Justin Sherman)同时领导着专注于网络安全与科技政策的Global Cyber Strategies公司。2023年,他与杜克大学的合作者们获得了美国军事学院25万美元的资助,调查从数据经纪商处购买关于军人敏感信息的难易程度。结果令人震惊:他们轻松买到了现役军人高度敏感的非公开、可个人识别的健康和财务数据,且无需任何审查。
舍曼说:“这显示出情况有多严重。”他解释道,他们通过地理围栏技术定向查询特种作战基地的数据。“我们并没有假扮成洛杉矶的营销公司,我们只是想看看数据经纪商会提出什么要求。”大多数经纪商没有质疑他们的请求,甚至有一家表示如果通过电汇付款,可以绕过身份验证检查。
在这项研究期间,舍曼协助起草了一项《国防授权法案》修正案,要求国防部确保与承包商共享的高度可识别个人数据不得转售。然而,他对研究的整体影响感到失望。“行业规模本身就是问题,”他说,“对生态系统的部分环节实施有针对性的管控固然重要,但如果不解决整个行业,其它渠道仍然敞开,任何想获取情报人员位置数据的人都能轻易得手。”
美国国会推动全面隐私立法的努力已停滞近十年。最新的尝试是“美国隐私权法案”(American Privacy Rights Act),该法案在六月未能通过,因为共和党领导人威胁要阻挠该法案,该法案在被搁置前已被大幅削弱。
另一项现行隐私法案“第四修正案非卖品法案”(Fourth Amendment Is Not For Sale Act)旨在禁止美国政府购买通常需要搜查令才能获得的美国人数据。虽然该法案不完全禁止商业位置数据的出售,但将禁止联邦机构利用这些购买规避最高法院维护的宪法保护。该法案的命运掌握在众议院和参议院领导人的谈判之中,过程保持私密。
非营利组织Demand Progress政策主管肖恩·维特卡(Sean Vitka)表示:“政府必须停止补贴如今理所当然成为世界上最不受欢迎行业之一的产业。国会中有许多人严肃看待数据经纪商对隐私和国家安全构成的严重威胁,但我们已经看到国会领导人采取的许多行动反而加剧了问题。这些人不应该等到有人付出生命代价才行动。”
2. 中国监控体系出售公民数据
- 文章:“中国监控国家出售公民数据”
- 关键洞察:官员在黑市兜售监控数据,突显系统性漏洞。
中国黑市运营者公然招募政府机构内部人员,支付报酬以获取监控数据,然后在网上转售——毫无顾忌。
中国长期以来一直是一个超过十亿人口的国家级全面监控实验,政府几乎没有法律限制其对公民进行实体和数字监控的能力。然而,当大量公民私人数据集中在少数政府机构手中时,这些数据并不会仅仅停留在那里。相反,这些宝贵的私人信息已经泄露到一个活跃的黑市——在这里,内部人员将自己的访问权限出售给任何愿意付钱的诈骗者或跟踪者。
在弗吉尼亚州阿灵顿举办的 Cyberwarcon 安全大会上,网络安全公司 SpyCloud 的研究人员计划公布他们监控的一系列黑市服务的调查结果。这些服务提供廉价且便捷的中国公民数据查询。许多供应商通过招募中国监控机构和政府承包商的内部人员获得敏感信息,然后不加质疑地将访问权限转售给线上买家。结果形成了一个完全公开运作的生态系统,任何人只需花费几美元等值的加密货币,就能查询目标个人的电话号码、银行信息、酒店和航班记录,甚至是位置信息。
“中国建立了这一庞大的监控系统,”SpyCloud的两位研究员之一奥萝拉·约翰逊(Aurora Johnson)说,她追踪了监控数据如何泄露到黑市的过程。“普通人在这样一个缺乏经济和社会流动性的体系中工作,凭借他们在政府或科技公司的职位,拥有对这些信息数据库的无限制访问权限。因此,他们在很多情况下滥用这种权限,窃取数据并在犯罪市场出售。”
SpyCloud 的研究人员重点关注了几个以中文运营、通过 Telegram 消息服务账号提供数据服务的供应商,包括 Carllnet、DogeSGK 和 X-Ray。这些服务各自拥有数万个 Telegram 群成员,自称为 SGK或“社工库”(shègōng kù),研究人员将其翻译为“社会工程库”,暗示这些服务可能主要被诈骗分子利用。三者均采用积分系统,客户通常用加密货币泰达币(Tether)支付积分,部分情况下也接受中国的支付服务微信支付(WePay)和支付宝(Alipay)。客户还可通过邀请他人获得积分,然后用积分根据姓名、电子邮件地址、电话号码,甚至中国社交网络QQ、微信(WeChat)或微博(Weibo)上的用户名进行查询。
针对这些查询,服务方承诺提供目标的电话号码、通话记录、银行账户、结婚记录、车辆登记、酒店预订及其他大量个人信息。SpyCloud研究人员表示,若支付数百美元以上的高额费用,还可购买更高级的查询服务,获取更敏感的信息,如护照照片或地理位置记录,尽管他们对这类高级查询的测试有限。一些服务还特别承诺能详细访问中国“三大”国有电信运营商——中国电信、中国联通和中国移动——的数据。
《WIRED》通过 Telegram 联系了 Carllnet、DogeSGK、X-Ray 及三大电信运营商,但均未收到任何回应。
部分服务似乎依赖于被黑客泄露的数据库——即被非法公开的数据集合——以及类似西方数据经纪商提供的商业数据源,如许多免费手机应用收集的位置信息。同时,他们还可能提供来自科技和电信企业、银行及中国国家监控机构内部人员的信息,甚至公开发布招聘广告,寻找这些组织员工以获得额外收入。SpyCloud 翻译的一则 Telegram 广告写道:“真诚寻找公安人员建立合作。”
X-Ray Telegram频道的另一则帖子邀请来自“公安、民政、银行”等部门的“内部人员”与其合作。帖子翻译称:“欢迎各行各业具备内部查询条件的精英加入我们!”
一则招聘广告称,内部人员每天可获得超过一万元人民币(约合1400美元)的报酬,另一则招聘帖则承诺翻倍报酬,有的消息来源每日收入高达7万元人民币(近1万美元)。“许多同志与我们合作多年,合作稳定,”其中一则招聘贴写道。为打消顾虑,广告还承诺提供“完善的风险规避方案”保护合作者安全。
一则广告表明,支付方式为“虚拟货币”,并提供“混币”等提现培训,“相当于暗网黑市人员使用的提现方法”,据SpyCloud翻译,这暗示内部人员很可能以加密货币形式收款,因为“混币”服务常用来规避基于区块链分析的加密货币追踪。“你可以安心收款,自信提现,”广告中写道。
作为政府监控内部人员兼职数据经纪市场的进一步证据,SpyCloud研究人员指出,今年早些时候泄露的一批来自I-Soon公司的通信和文件。I-Soon是中国公安部和国家安全部的网络间谍承包商。在一段泄露的聊天记录中,一名员工对另一名员工说:“我来这里就是卖‘qb’”,“你自己也卖一些‘qb’。”SpyCloud研究人员解释,“qb”是“情报”(qíngbào)的缩写。
鉴于中国国有IT企业的平均年薪仅约3万美元,SpyCloud研究人员指出,哪怕这种承诺可信度存疑,但仅靠出售监控数据获得近三分之一年薪的日收入,依然极具诱惑力。奥萝拉·约翰逊(Aurora Johnson)表示:“这些人未必是主谋,而是有机会、有动机通过兼职赚点外快的人。”
专注中国政策与网络安全的研究员达科塔·凯瑞(Dakota Cary)认为,在中国长期反腐败斗争中,一些政府内部人员利用手中监控数据谋利并不意外。凯瑞来自网络安全公司SentinelOne,曾审阅SpyCloud的调查结果。他指出,透明国际腐败指数将中国排名180国中第76位,远低于除匈牙利外的所有欧盟国家,包括保加利亚和罗马尼亚。凯瑞说:“腐败普遍存在于安全部门、军队和政府各个层面,是当前政治氛围下的自上而下的文化态度。拥有此类数据的个人将其‘出租’并不令人惊讶。”
SpyCloud的分析师甚至尝试通过基于Telegram的数据经纪商,搜索中国共产党和中国人民解放军某些高级官员、中国被美国起诉的国家级黑客,以及网络安全公司I-Soon CEO吴海波的个人信息。查询结果包含大量电话号码、电子邮件、银行卡号、车辆登记记录和“哈希”密码——这些密码可能来源于数据泄露,虽然经过加密保护,但仍可能被破解。
部分数据经纪商声称限制搜索对象,不包括名人或政府官员,但研究人员表示,他们通常能找到变通方法。“总能找到愿意帮你搜索、获取相关资料的其他服务,”SpyCloud研究员凯拉·卡多纳(Kyla Cardona)说。
卡多纳指出,这种庞大且集中收集全民数据的系统,导致一个意想不到的后果:监控数据不仅流入私人之手,更流入“监管者的监管者”之手。
她说:“这是把双刃剑。这些数据是为他们收集、由他们收集的,但同样也能被用来对付他们自己。”
3.目标 € 2。63亿罚款,因2018年安全漏洞
- 文章: “Meta 因 2018 年影响 ~300 万欧盟 Facebook 用户的安全漏洞被罚款 €2。63 亿”
- 关键洞察: Facebook 的“View As”功能存在设计缺陷,允许攻击者生成访问令牌,从而泄露全球数百万用户的数据。这种违规行为凸显了平台设计中严格测试和主动漏洞评估的重要性。
娜塔莎·洛马斯 |太平洋标准时间上午 5:00 | 2024 年 12 月 17 日
图片来源:Jakub Porzycki/NurPhoto/Getty Images
Meta 于 2018 年 9 月披露,该公司因 Facebook 安全漏洞影响了数百万用户,在欧盟被罚款 €2。51 亿美元(约合 2。63 亿美元)。
爱尔兰数据保护委员会(DPC)于周二发布了这项制裁,以执行《通用数据保护条例》(GDPR),但这远非 Meta 自五年多前该系统生效以来在 GDPR 中受到的最大罚款。尽管如此,这仍然值得注意,因为对于单一安全事件来说,这是一种重大处罚。
这一差距可以追溯到 2017 年 7 月,当时 Facebook 推出了一项视频上传功能,其中包括“以视图形式查看”功能,该功能允许用户以其他用户看到的方式查看自己的 Facebook 页面。
设计错误允许恶意行为者调用上传器以及 Facebook 的"生日快乐作曲家"功能来生成用户令牌,使他们能够完全访问该用户的 Facebook 个人资料。据 DPC 称,他们随后可以使用该令牌在其他帐户中利用相同的功能组合,未经授权访问多个用户的个人资料和数据。
2018 年 9 月 14 日至 9 月 28 日期间,该监管机构表示,未经授权的人员使用脚本利用此漏洞登录全球约 2900 万个 Facebook 帐户,其中约 300 万个位于欧盟/欧洲经济区。
受泄露影响的个人数据包括 Facebook 用户的全名、电子邮件地址、电话号码、位置、工作地点、出生日期、宗教、性别、时间线中的帖子、他们所在的群组以及儿童的个人数据。
有关个人数据的程度可能会影响罚款金额。
两项实施决定
周二,爱尔兰监管机构就其针对 2018 年事件展开的两项调查发布了最终决定:一项决定涵盖 Meta 的违规通知,因为 GDPR 要求及时完整地报告重大安全事件,而另一项决定则涉及设计和默认的数据保护规则。
在这两起案件中,DPC 都发现 Meta 违反了该区块的 GDPR。
总处罚细分如下:
Meta 因第一项决定被罚款 €1100 万美元,CPD 的结论是,该公司的不合规通知并未包含其“可以而且应该拥有”的所有信息 还指出,该公司没有充分记录违规事实以及为解决问题而采取的措施。
此外,Meta 还因第二项决定而被罚款 €2。4 亿,在该决定中,DPC 确认该公司违反了 GDPR 的设计数据保护原则,因为它没有采取足够的措施来保护个人数据免遭非自愿处理。
CPD 副专员 Graham Doyle 在一份声明中评论道:“此次执法行动凸显了在整个设计和开发周期中不遵守数据保护要求可能会使个人面临非常严重的风险和伤害,包括对个人基本权利和自由的风险。
“Facebook 个人资料可能包含(而且经常包含)有关宗教或政治信仰、性生活或性取向等问题的信息,以及用户可能只希望在特定情况下披露的类似事项。通过允许未经授权泄露个人资料信息,此次泄露背后的漏洞导致了此类数据被滥用的严重风险。”
两位 CPD 委员 Des Hogan 博士和 Dale Sunderland(今年早些时候接替了委员 Helen Dixon)的决定中另一个值得注意的因素是,爱尔兰主管部门并未对该决定草案提出异议。
该监管机构在一份新闻稿中写道:“CPD 感谢欧盟/欧洲经济区监管机构在此案中的合作与协助。”
迪克森领导下的 DPC 批评者指责监管机构没有定期对 Meta 和其他科技巨头执行 GDPR。当时监管机构关于伟大技术的许多决议草案都受到了同行的质疑。针对 Meta 的一系列处决特别涉及漫长的争议程序 - 其中一些需要欧洲数据保护委员会做出具有约束力的决定才能完成这一过程。
因此,值得注意的是,这项针对 Meta 的申请已顺利通过,DPC 称该申请已于 2024 年 7 月作为决定草案提交给 GDPR 合作机制。
当 Meta 发言人 Emily Westcott 收到量刑回复时,她通过电子邮件发送了一份声明,该公司在声明中写道:“这一决定涉及 2018 年的一起事件。一旦发现该问题,我们会立即采取行动解决,并主动通知受影响的个人以及爱尔兰数据保护委员会。我们通过我们的平台采取了广泛的行业领先措施来保护人们。"
9 月,DPC 再次对 Meta 做出 2019 年安全漏洞裁决。该公司因在其服务器上以纯文本形式存储"数亿"用户密码的事件而被罚款 9100 万欧元。
主题:#Europe、Facebook 安全漏洞 gdpr、Meta gdpr、GDPR 安全漏洞、隐私、
社会的
4. 微软揭穿Office AI数据泄露传闻
- 文章: "微软否认Office AI数据收集的谣言"
- 关键洞察: 关于使用 Microsoft 365 应用程序中的 Microsoft 客户数据进行 AI 培训,出现了误解。这种混淆源于“可选连接体验”的模糊隐私设置,这凸显了就数据使用政策进行清晰透明沟通的必要性
不,微软没有使用你的 Office 文档来训练其人工智能 / 但人们担心公司未经许可抓取用户数据是正确的。
作者:Jess Weatherbed
2024 年 11月 27日, 12:15 GMT+1
插图:Cath Virginia / The Verge | 照片:Getty Images
Jess Weatherbed 是一位专注于创意产业、计算机和互联网文化的新闻作家。Jess 的职业生涯始于 TechRadar,负责报道新闻和硬件评论。
微软表示,它不会使用 Microsoft 365 应用程序的客户数据来训练其 AI 模型。该澄清指的是最近几周网上流传的报道,根据该报道,微软要求 Word 和 Excel 用户放弃对该公司人工智能系统的培训。
微软表示,这种混淆源于微软 Office 中的隐私设置,该设置交替提供“可选连接体验”——该功能可帮助用户“在线搜索图像”或“查找在线可用信息”。此开关默认开启,本公开内容中未提及人工智能训练。同样,2024 年 10 月 21 日发布的一份微软学习文档似乎加剧了这种混乱,因为它描述了 Office 中一长串相关的体验,这些体验“分析其内容”,但没有明确将人工智能培训排除在大型语言模型(LLM)之外。
微软 365 X 账户在回应投诉时表示:“在 M365 应用程序中,我们不会使用客户数据来训练 LLM。” “ 此设置仅允许需要访问互联网的功能,例如联合创建文档。” 微软通讯主管弗兰克·肖(Frank Shaw)也介入了 Bluesky,以抹黑这些说法。
今年早些时候,Adobe 也遭遇了类似的反应,因为其用户术语被广泛误解为该公司正在用户工作中训练生成式人工智能。Adobe 迅速更新了其服务条款中的语言,以明确事实并非如此。
Adobe 和 Microsoft 事件表明,人们越来越担心科技公司未经明确许可使用其个人数据来训练其 AI 模型。鉴于 Meta、X 和 Google 等公司默认选择用户进行 AI 培训,并且为此目的收集了大量在线内容,这种担忧是可以理解的。
5. 大众汽车系统地记录车辆移动数据
- 文章: “大众汽车记录了电动汽车的移动数据,暴露了80万车主”
- 关键洞察: 大众汽车的软件子公司 Cariad 将超过 80 万辆未受保护的电动汽车的移动敏感数据留在了亚马逊的云存储中。这包括与所有者个人信息相关的详细 GPS 位置数据,暴露了严重的隐私和安全风险。
最后更新时间:2024 年 12 月 30 日 | 作者:Ernestas Naprys,高级记者
图片由 Stephane Mahe 提供 | 路透社
大众汽车集团已收集了数十万辆大众、奥迪、斯柯达和西雅特电动汽车的行驶数据。根据混沌计算机俱乐部(CCC)的报告,互联网上的数据也被公开且不受保护,暴露了政客、商界领袖、警察和情报人员的身份。
德国新闻媒体SPIEGEL首次报道称,80万辆电动汽车的移动数据和车主的联系信息在网上得不到保护。
据欧洲最大的黑客协会CCC称,这些私人数据是由大众软件公司Cariad泄露的。外人可以检查汽车点火开关何时关闭,当汽车停在家里、工作场所或其他地方时,GPS 的确切位置就会显示出来。
这些数据被长期存储,其中包括车主信息。
CCC 发言人 Linus Neumann 表示:“保护不力更是雪上加霜。”
研究人员发现了属于车队管理公司、DAX(德国40家大公司股票市场指数)公司和欧洲各执法机构的董事会成员和监事会成员的数据。
CCC 表示:“例如,汉堡警方 35 辆电动巡逻车的移动数据被记录并存储在大众平台上,供第三方查看。”
“我们还收集了有关情报和军事活动的机密数据:其中包括来自联邦情报局(BND)停车场和拉姆施泰因美国空军军用机场的数据集。”
据 SPIEGEL 称,卡里亚德离开他的亚马逊云存储系统时,大约有 80 万辆电动汽车的数据高达数 TB,“大部分数据都得不到保护,而且几个月来都无法访问” 有 460,000 辆车的准确位置数据,这些数据可以与车主的姓名和联系方式联系起来。一名投诉人向 CCC 分享了有关泄密的信息。
虽然卡里亚德声称拥有有关顾客行为和装载习惯的“假名”数据,并且从未将其与其他数据合并,但 SPIEGEL 能够追踪到在体育俱乐部、最喜欢的面包店或理疗师诊所附近停车的政客。