NSO集团运营的一台无密码服务器引发了合同跟踪隐私问题

2020-05-08 10:14:04

虽然大多数政府倾向于以隐私为重点的应用程序,这些应用程序使用蓝牙信号创建一个人的匿名行踪档案,但其他国家,如以色列,则使用位置和手机数据来跟踪病毒的传播。

总部设在以色列的私人安全公司NSO集团以制造移动黑客工具而闻名,该公司正在领导以色列的一项联系人追踪工作。

安全研究员鲍勃·迪亚琴科(Bob Diachenko)在互联网上发现了NSO的一个联系人追踪系统,该系统没有受到保护,也没有密码,任何人都可以访问。在他联系了该公司后,NSO将未受保护的数据库撤下了。迪亚琴科说,他认为数据库包含虚拟数据。

NSO告诉TechCrunch,该系统只是为了展示其技术,并否认由于安全漏洞而暴露。NSO仍在等待以色列政府的批准,以便将手机记录输入系统。但专家表示,该系统一开始就不应该开放,公民位置数据的集中数据库构成了安全和隐私风险。

弗莱明被设计成“倾倒”来自卫生当局的确认的冠状病毒检测数据和来自手机网络的电话位置数据,以识别可能接触过该病毒携带者的人。任何与被诊断出患有冠状病毒的人有密切接触的人都会得到通知。

未受保护的数据库托管在法兰克福的Amazon Web Services服务器上,法兰克福的数据保护制度是世界上最严格的制度之一。

它包含了大约六周的位置数据,跨度约为3月10日至4月23日。它还包括可能与潜在感染者接触过的“目标”的具体日期、时间和位置-NSO在数据库中使用这个术语来描述人。

数据还包括接触的持续时间,以帮助评分传播感染的可能性。

“NSO集团已成功开发出‘Fleming’,这是一种创新的、独特的纯分析系统,旨在应对冠状病毒大流行,”NSO集团董事奥伦·甘茨(Oren Ganz)说。“弗莱明是为政府决策者的利益而设计的,而不会损害个人隐私。这一系统已经在全世界范围内向媒体组织和大约100个单独的国家展示了极大的透明度,“他说。

这个透明的演示与向各个国家和媒体机构展示的一样,就是位于有问题的开放随机服务器上的演示,也是TechCrunch今天观察到的完全相同的演示。所有其他关于这一公开的、开放的系统的猜测都是不正确的,也与全世界数百名媒体和政府人士看到的这种透明示威的基本事实不符。“甘茨说。

多伦多大学芒克学院(Munk School)下属的公民实验室(Citizen Lab)的高级研究员约翰·斯科特-雷顿(John Scott-raiton)表示,任何存储位置数据的数据库都会带来隐私风险。

斯科特-雷顿说:“对于学校项目来说,不保护服务器将是一件尴尬的事情。”“对于一家市值数十亿美元的公司来说,如果不对一个希望处理位置和健康数据的秘密项目进行密码保护,那就意味着它的推出既迅速又草率。”

“NSO的案例证明了这个问题的先例:仓促的冠状病毒追踪工作将危及我们的隐私和网络安全,”他说。

随着全球冠状病毒感染在3月份开始激增,以色列政府通过了一项紧急状态法,赋予其国内安全服务机构Shin Bet“前所未有的权限”,从电话公司收集大量手机数据,以帮助识别可能的感染。

到3月底,以色列国防部长纳夫塔利·贝内特(Naftali Bennett)表示,政府正在研究一种新的接触者追踪系统,与Shin Bet使用的系统分开。

隐私专家、以色列民主研究所(以色列民主研究所)高级研究员特赫拉·施瓦茨·阿尔特舒勒(Terilla Shwartz Altshuler)告诉TechCrunch,在疫情爆发的早期,她也得到了弗莱明在Zoom电话上的演示。

在没有获得手机记录的授权的情况下,NSO告诉她,它使用了从广告平台或所谓的数据经纪人那里收集的位置数据。以色列媒体还报道称,NSO利用广告数据来“训练”该系统。

数据经纪人收集并出售从安装在数百万部手机上的应用程序收集的大量位置数据。追踪你的移动和下落的应用程序通常也会将这些位置出售给数据经纪人,然后再将数据转卖给广告商,以提供更有针对性的广告。

甘茨说:“弗莱明的演示不是基于真实和真实的数据。”“这个演示相当于对公开的模糊数据进行了说明。它不包含任何形式的个人身份信息。“。

自从各国政府开始概述他们的接触者追踪系统的计划以来,专家们警告说,位置数据不准确,可能会导致假阳性和假阴性。目前,NSO的系统似乎依赖于这些数据来实现其核心功能。

斯科特-雷顿说:“这种位置数据不会让你可靠地衡量两个人是否有过近距离接触。”

以色列并不是唯一对弗莱明感兴趣的政府。彭博社(Bloomberg)在3月份报道称,据称有12个国家正在测试NSO的接触者追踪技术。

对不受保护的数据库的审查显示,以色列以及卢旺达、沙特阿拉伯和阿拉伯联合酋长国都有大量的位置数据点。

沙特、卢旺达和阿联酋驻纽约领事馆的发言人没有回复我们的电子邮件。NSO没有回答我们关于它与这些政府的关系(如果有的话)的问题。

沙特阿拉伯是NSO集团的已知客户。联合国专家呼吁对沙特政府使用NSO的Pegasus间谍软件侵入亚马逊首席执行官杰夫·贝佐斯手机的指控进行调查。NSO否认了这些说法。

NSO还卷入了与Facebook旗下的WhatsApp的法律战,原因是据称NSO构建了一个旨在通过WhatsApp交付的黑客工具,该工具被用来使用位于美国和法兰克福的AWS服务器侵入包括政府官员、记者和人权活动人士在内的1400名用户的手机。NSO也驳斥了这些说法。

专家们对集中化数据的使用表示担忧,担心它可能成为黑客的目标。

大多数国家都支持分散努力,比如苹果和谷歌的联合项目,该项目使用从附近手机接收的匿名蓝牙信号,而不是将手机位置数据收集到单一的数据库中。蓝牙接触追踪在基于位置的接触追踪努力上赢得了学者和安全研究人员的支持,他们说这将使大规模监控成为可能。

Shwartz Altshuler告诉TechCrunch,基于位置的联系人追踪是对隐私的“巨大侵犯”。

“这意味着你不能有任何秘密,”她说。“如果你是记者,你就不能开任何会议,你也不能去人们想知道你在哪里的地方。”

为了支持自己的联系人追踪努力,苹果和谷歌已经禁止政府使用他们的联合API开发联系人追踪应用程序,担心存储在中央服务器上的数据可能会被攻破。

就在本周,美国和英国政府警告说,民族国家黑客的目标是参与应对冠状病毒的组织。

萨里大学(University Of Surrey)教授艾伦·伍德沃德(Alan Woodward)表示,位置数据使其“有可能建立社交图谱,并开始识别谁在何时何地遇到了谁。”

他说:“即使只是试验数据,如果是真人,也是很敏感的。”