Η Εθνική Υπηρεσία Ασφαλείας (NSA) των ΗΠΑ φαίνεται ότι αγόραζε δεδομένα περιήγησης (web browsing data) των Αμερικανών στο διαδίκτυο από εμπορικούς μεσίτες δεδομένων (data brokers) χωρίς εντάλματα, όπως αποκάλυψαν αξιωματούχοι των υπηρεσιών πληροφοριών σε έγγραφα που δημοσιοποίησε την Πέμπτη ένας αμερικανός γερουσιαστής.
Οι αγορές αυτές περιλαμβάνουν πληροφορίες σχετικά με τους ιστότοπους που επισκέπτονται οι Αμερικανοί και τις εφαρμογές που χρησιμοποιούν, δήλωσε ο Δημοκρατικός γερουσιαστής του Όρεγκον Ron Wyden, δημοσιοποιώντας πρόσφατα μη διαβαθμισμένες επιστολές που έλαβε από το Πεντάγωνο τις τελευταίες εβδομάδες και επιβεβαιώνουν τις πωλήσεις.
Οι αποκαλύψεις αποτελούν την πιο πρόσφατη απόδειξη ότι οι κυβερνητικές υπηρεσίες αγοράζουν συστηματικά ευαίσθητες πληροφορίες για τους Αμερικανούς από εμπορικές αγορές, τις οποίες διαφορετικά θα έπρεπε να αποκτήσουν μέσω δικαστικής απόφασης.
Και έρχονται εν μέσω αυξανόμενων ανησυχιών ότι ξένες κυβερνήσεις κάνουν το ίδιο -το CNN ανέφερε νωρίτερα την προηγούμενη εβδομάδα ότι η κυβέρνηση Biden ετοιμάζει διάταγμα που αποσκοπεί στον περιορισμό των αγορών προσωπικών δεδομένων Αμερικανών πολιτών από άλλες χώρες.
Η αποκάλυψη του Wyden αναφέρθηκε νωρίτερα από τους New York Times.
Οι αγορές της NSA περιλαμβάνουν «πληροφορίες που σχετίζονται με ηλεκτρονικές συσκευές που χρησιμοποιούνται εκτός -και, σε ορισμένες περιπτώσεις, εντός- των Ηνωμένων Πολιτειών», έγραψε ο Paul Nakasone, διευθυντής της NSA, σε επιστολή προς τον Wyden με ημερομηνία 11 Δεκεμβρίου.
Οι αγορές αφορούν αυτό που ο Nakasone περιέγραψε ως «δεδομένα netflow», ή τις τεχνικές πληροφορίες που παράγονται από τις συσκευές καθώς χρησιμοποιούν το διαδίκτυο.
Ενώ τα δεδομένα που αγοράζονται από μεσίτες δεδομένων δεν αφορούν το περιεχόμενο των επικοινωνιών των Αμερικανών, έγραψε ο Nakasone, τα δεδομένα «σχετίζονται με εξ ολοκλήρου εγχώριες επικοινωνίες στο διαδίκτυο και επικοινωνίες στο διαδίκτυο όπου η μία πλευρά της επικοινωνίας βρίσκεται εντός των Ηνωμένων Πολιτειών και η άλλη πλευρά βρίσκεται στο εξωτερικό».
Ο Nakasone πρόσθεσε ότι η NSA δεν αγοράζει δεδομένα θέσης κινητών τηλεφώνων ή δεδομένα θέσης που παράγονται από συστήματα infotainment αυτοκινήτων στις Ηνωμένες Πολιτείες.
Σε δήλωσή της στο CNN, η NSA επιβεβαίωσε ότι αγοράζει τα δεδομένα από ιδιώτες προμηθευτές (private vendors).
«Η NSA αγοράζει εμπορικά διαθέσιμα δεδομένα Netflow για την αποστολή της στον τομέα της κυβερνοασφάλειας, με σκοπό, μεταξύ άλλων, την ενημέρωση της Υπηρεσίας για τη συλλογή, την ανάλυση και τη διάδοση πληροφοριών σχετικά με απειλές στον κυβερνοχώρο», δήλωσε αξιωματούχος της NSA. «Σε όλα τα στάδια, η NSA λαμβάνει μέτρα για την ελαχιστοποίηση της συλλογής πληροφοριών για πρόσωπα των ΗΠΑ, συμπεριλαμβανομένης της εφαρμογής τεχνικών φίλτρων».
Η NSA χρησιμοποιεί τα εμπορικά αγορασθέντα δεδομένα για να υποστηρίξει τις αποστολές της στον τομέα της κυβερνοασφάλειας και των εξωτερικών πληροφοριών, σύμφωνα με την επιστολή του Nakasone και τον αξιωματούχο της NSA. Η αποστολή της NSA περιλαμβάνει την υπεράσπιση των αμερικανικών στρατιωτικών δικτύων από ξένες παραβιάσεις.
Σε απάντηση των περαιτέρω ερωτήσεων του Wyden, ένας κορυφαίος αξιωματούχος των υπηρεσιών πληροφοριών του Υπουργείου Άμυνας, ο Ronald Moultrie, έγραψε ότι οι υπηρεσίες που αγοράζουν τα δεδομένα είναι υπεύθυνες για τη συμμόρφωση «με την ισχύουσα νομοθεσία, τους κανονισμούς και την πολιτική, συμπεριλαμβανομένης της Τέταρτης Τροποποίησης».
Και η Allison Nixon, επικεφαλής έρευνας στην εταιρεία κυβερνοασφάλειας Unit 221B, δήλωσε ότι υπάρχουν πολλές νόμιμες χρήσεις για τα δεδομένα ροής δικτύου (netflow data) που μπορούν να βοηθήσουν στην προστασία των οργανισμών από κυβερνοεπιθέσεις και δεν περιλαμβάνουν κατασκοπεία ανθρώπων.
«Τα δεδομένα netflow είναι χρήσιμα για την παρακολούθηση κακόβουλου λογισμικού και [κατανεμημένων επιθέσεων άρνησης παροχής υπηρεσιών]», δήλωσε η Nixon στο CNN. «Δεν είναι χρήσιμο για να βρει κανείς ποια κάνει αμβλώσεις ή ποιος καλεί στη γραμμή αυτοκτονίας».
«Τα netflow είναι ένας από τους λόγους για τους οποίους το antivirus σας μπορεί να εντοπίσει κακόβουλο λογισμικό και είναι ένας από τους λόγους για τους οποίους η τράπεζά σας μπορεί να εντοπίσει απάτες με πιστωτικές κάρτες πριν από εσάς», δήλωσε η Nixon.
Ο Wyden, ένας από τους πιο ένθερμους υποστηρικτές της ιδιωτικότητας στο Κογκρέσο, δήλωσε ότι πέρασε σχεδόν τρία χρόνια πιέζοντας για να μπορέσει να αποκαλύψει την πρακτική της NSA και το πέτυχε μόνο όταν έθεσε εμπόδιο στον διορισμό του διαδόχου του Nakasone για τη θέση του διευθυντή της NSA, του υποστράτηγου Timothy Haugh. Σε μια παρόμοια αποκάλυψη το 2021, ο Wyden αποκάλυψε ότι η Υπηρεσία Πληροφοριών Άμυνας είχε αγοράσει εμπορικά διαθέσιμα δεδομένα θέσης smartphone χωρίς ένταλμα.
Στο πλαίσιο της ανακοίνωσης της Πέμπτης, ο Wyden έγραψε επιστολή προς την κυβέρνηση Biden με την οποία την καλεί να σταματήσει την παρακολούθηση των Αμερικανών χωρίς ένταλμα μέσω της αγοράς δεδομένων στο διαδίκτυο.
«Η αμερικανική κυβέρνηση δεν θα έπρεπε να χρηματοδοτεί και να νομιμοποιεί μια σκοτεινή βιομηχανία της οποίας οι κατάφωρες παραβιάσεις της ιδιωτικής ζωής των Αμερικανών δεν είναι απλώς ανήθικες, αλλά παράνομες», έγραψε ο Wyden στην Avril Haines, τη διευθύντρια των εθνικών μυστικών υπηρεσιών.
«Παρόλο που η χωρίς ένταλμα αγορά προσωπικών δεδομένων των Αμερικανών από τις υπηρεσίες πληροφοριών είναι πλέον θέμα δημόσιας καταγραφής, οι πρόσφατες ενέργειες της Ομοσπονδιακής Επιτροπής Εμπορίου (FTC), της κύριας ομοσπονδιακής ρυθμιστικής αρχής για την προστασία της ιδιωτικότητας, εγείρουν σοβαρά ερωτήματα σχετικά με τη νομιμότητα αυτής της πρακτικής», πρόσθεσε ο Wyden.
Σε μια έκθεση που αποχαρακτηρίστηκε πέρυσι, το γραφείο του Haines αναγνώρισε τους κινδύνους που ενέχει η εύκολη διαθεσιμότητα των προσωπικών δεδομένων των Αμερικανών και συνέστησε στις αμερικανικές κατασκοπευτικές υπηρεσίες να καταγράψουν και να αναπτύξουν διαδικασίες για την προστασία των δεδομένων που αποκτούν με εμπορικά μέσα.
Η αναφορά του Wyden στην FTC αντανακλά τις πρόσφατες κινήσεις των ρυθμιστικών αρχών προστασίας της ιδιωτικότητας για την πάταξη των μεσιτών δεδομένων, συμπεριλαμβανομένων των απαγορεύσεων στην πώληση ορισμένων προσωπικών πληροφοριών από δύο εταιρείες, την InMarket Media και την Outlogic, πρώην γνωστή ως X-Mode.
Η FTC ξεκίνησε μια ξεχωριστή διαδικασία το 2022 που θα μπορούσε να οδηγήσει σε νέους κανονισμούς με στόχο αυτό που η πρόεδρος του οργανισμού Lina Khan αποκάλεσε βιομηχανία «εμπορικής επιτήρησης», η οποία επωφελείται από χαλαρές πρακτικές κυβερνοασφάλειας και αδύναμους περιορισμούς στον τρόπο με τον οποίο μπορούν να συλλέγονται, να μοιράζονται και να αναλύονται τα δεδομένα των καταναλωτών.
Στην επιστολή του την Πέμπτη, ο Wyden κάλεσε επίσης τις υπηρεσίες πληροφοριών να διαγράψουν τυχόν εμπορικά αποκτηθέντα δεδομένα που δεν ευθυγραμμίζονται με τις πρόσφατες καταστολές της FTC.
Πηγή: CNN