Приложения продавали данные о местоположении американским военнослужащим и сотрудникам разведывательных служб, служащим за границей [U]

Ben Lovejoy | Среда, 12 февраля, 2025, 13:29.

Avatar for Ben Lovejoy
 | 12 февраля 2025 г. — 4:14 PT
Apps sold location data for US military and intelligence personnel serving overseas | Soldiers boarding a military transport plane

В прошлом году стало известно, что компания-брокер данных из Флориды продавала данные о местоположении американских военнослужащих и сотрудников разведывательных служб, служащих за границей, но источник этих конфиденциальных данных на тот момент был неясен.

Теперь утверждается, что данные были собраны различными мобильными приложениями, имеющими соглашения о разделе доходов с литовской ad-tech компанией, а затем перепроданы американской компанией…

Проблема данных о местоположении, собираемых приложениями

Очень многие приложения собирают данные о местоположении. Для некоторых приложений это очевидно необходимо, например, для приложений карт, навигаторов общественного транспорта и т. д. Для других есть косвенная польза, например, для приложений камеры, которые могут хранить местоположение, в котором была сделана фотография. Собственное приложение камеры Apple делает это, например, чтобы мы могли искать фотографии, сделанные в определенных местах.

Но есть и бесчисленное множество примеров приложений, которые собирают данные о местоположении без каких-либо явных причин. iOS заставляет приложения запрашивать разрешение на это, и мы, вероятно, все видели, как приложения запрашивали это без видимой причины.

Вероятно, это связано с тем, что данные о местоположении ценны для рекламодателей. Разработчики заключают соглашения с ad-tech компаниями, которые позволяют нацеливать рекламу в их приложениях по стране (или даже по городу) в обмен на долю доходов.

Проблема в том, что многие из этих соглашений имеют расплывчатые условия, которые могут разрешать перепродажу данных о местоположении. Даже если соглашение этого не допускает, недобросовестные компании могут перепродавать их в любом случае.

Местоположения, проданные для американских военнослужащих и сотрудников разведки

В прошлом году стало известно, что американская компания Datastream продавала данные о местоположении американских военнослужащих и сотрудников разведки. Расследование, проведенное Wired и другими, выдвинуло предположения о том, как эти данные были собраны.

Совместное расследование WIRED, Bayerischer Rundfunk (BR) и Netzpolitik.org проанализировало бесплатный образец данных о местоположении, предоставленный Datastream. Расследование показало, что Datastream предлагала доступ к точным данным о местоположении устройств, вероятно, принадлежащих американским военнослужащим и сотрудникам разведки за рубежом, в том числе на немецких авиабазах, предположительно хранящих американское ядерное оружие. Datastream является брокером данных в истории данных о местоположении, получая данные от других поставщиков и затем продавая их клиентам…

Данные, вероятно, собирались через SDK (комплекты разработки программного обеспечения), встроенные в мобильные приложения разработчиками, которые сознательно интегрировали инструменты отслеживания в обмен на соглашения о разделе доходов с брокерами данных.

После этой публикации офис сенатора Рона Уайдена потребовал ответов от Datastream Group о ее роли в торговле данными о местоположении американских военнослужащих. В ответ Datastream назвала Eskimi своим источником, заявив, что она получила данные «законно от уважаемого стороннего поставщика, Eskimi.com».

Eskimi — литовская ad-tech компания, которая утверждала, что данные не должны были быть перепроданы.

Обновление: Wired теперь обновила свою статью, отметив, что Eskimi отрицает какую-либо причастность:

Теперь в письме, направленном в офис американского сенатора Рона Уайдена, полученном международным коллективом СМИ, включая WIRED и 404 Media, утверждается, что конечным источником этих данных была Eskimi, малоизвестная литовская ad-tech компания. Между тем, Eskimi отрицает свою причастность.

Предполагаемая роль Eskimi и ее отрицания подчеркивают непрозрачный характер индустрии данных о местоположении: флоридский брокер данных утверждает, что литовская компания предоставила данные об американских военнослужащих в Германии. Эти данные теоретически могли быть проданы кому угодно. Но точные способы сбора, компиляции и обмена данными остаются неясными.

На данном этапе неизвестно, какие приложения были источником данных, но расследования продолжаются. Также неясно, разрешали ли соглашения, подписанные разработчиками, перепродажу данных о местоположении, а не только их использование для показа рекламы в их приложениях.

Не предполагается, что кто-то специально пытался собирать военные данные, но фильтрация по местоположениям американских военных баз как внутри страны, так и за рубежом была бы чрезвычайно простым способом идентификации людей, которые, вероятно, являются действующими военнослужащими.

«Компании, занимающиеся слежкой, с лучшими бизнес-моделями»

Зак Эдвардс, старший аналитик по угрозам в компании по кибербезопасности Silent Push, говорит, что это лишь один из примеров растущей проблемы. Он говорит, что многие ad-tech компании продают данные о местоположении как корпорациям, так и правительствам.

«Рекламные компании — это просто компании, занимающиеся слежкой, с лучшими бизнес-моделями», — говорит Эдвардс.

Это не первый случай, когда приложения раскрывали данные о местоположении военнослужащих, служащих за рубежом. Также были известные случаи покупки данных о местоположении военными и правоохранительными органами США.

Мнение 9to5Mac

Даже если не учитывать конфиденциальность военных данных, никто, использующий приложение для iPhone или Android, не ожидает, что его данные о местоположении будут перепроданы, независимо от того, что может быть скрыто в мелком шрифте политики конфиденциальности.

Пришло время принять законы, запрещающие продажу конфиденциальных персональных данных.

Фото: Joel Rivera-Camacho на Unsplash