Они знали.
В течение десяти лет.
Десять лет предупреждений от подрядчиков, аналитиков, людей, которым платили за то, чтобы они точно сообщали, насколько уязвимы наши войска. Любой человек с кредитной картой и несколькими свободными минутами может купить карту того, где спят солдаты. Где они работают. Где мы храним ядерное оружие.
И теперь. Пришло время платить по счетам.
Более того — на территории зоны боевых действий.
Признание
Командование ВС США на Ближнем Востоке (CENTCOM) наконец направило официальное письмо.
Его тяжело читать, но в нём достаточно честности.
«Получено несколько отчётов об угрозах, связанных с использованием противником коммерческих данных».
Впервые кто-то из руководства признал, что брокеры данных активно используются для поиска американских солдат на Ближнем Востоке.
В Reuters получили это письмо. Но само письмо — лишь вершина айсберга.
Документальные свидетельства ведут к гораздо более ранним периодам.
Конгресс слышал те же тревожные сигналы. Получал ту же разведывательную информацию. Слышал тех же свидетелей. Тем не менее, ничего не было сделано. Законы застряли на стадии обсуждений.
Был лишь один крошечный фикс — правило, запрещающее военным подрядчикам перепродавать общие данные, — но остальная часть индустрии осталась полностью незащищённой.
Предупреждение началось ещё в 2016 году на базе Форт-Брэгг. На техническом брифинге для старших офицеров было показано нечто жуткое. Коммерческие данные о местоположении — купленные легально, а не взломанные — позволяли отслеживать элитные подразделения от авиабазы Мак-Дилл до Турции, а затем прямо в Сирию.
Они концентрировались на секретных базах. Данные это показывали.
Как и любой иностранный шпион.
Покупка опасности
Даже несмотря на предупреждения, некоторые отделы Пентагона обожали этот рынок.
Агентство военной разведки (DIA) сообщило Конгрессу в 2020-х годах, что покупало данные о местоположении мобильных телефонов. Включая данные об американцах.
Без судебных ордеров. Они не считали их необходимыми.
Издание Motherboard подтвердило это несколько месяцев спустя: армия питалась данными из потребительских приложений.
А затем наступил 2023 год.
Армия заплатила, чтобы узнать, насколько всё плохо.
Исследователи из Дюкского университета, финансируемые Военной академией Вест-Пойнт, выдали себя за противника.
Они собирали данные у брокеров. Нашли списки под названиями «Семьи военнослужащих» и «Твёрдые ядра семей военнослужащих».
Стоимость? Двенадцать центов за запись.
Они купили имена. Домашние адреса. Проблемы со здоровьем.
Они представились покупателем из Сингапура и получили данные, привязанные к геозонам вокруг Форт-Брэгга и Квантико. Один брокер даже отменил проверку личности за банковский перевод.
Но стало ещё хуже.
В WIRED нашли эти же данные на рекламной платформе Google.
Благодаря Ирландскому совету по гражданским свободам, исследователи увидели сегменты в Google Display & Video 360.
Целевая аудитория: американские «приниматели решений» в сфере национальной безопасности.
Люди, работающие на заводах по производству ракет.
Создатели криптографических систем.
Исследователь создал фирму-фикцию по аналитике.
Он сказал:
«При регистрации мне не задавали никаких вопросов».
Он мог бы быть кем угодно. Террористом? Ребёнком? Случайным прохожим. Значения это не имело.
Реальные последствия
Это не гипотетическая ситуация.
В прошлом году немецкие журналисты и WIRED получили «бесплатную пробу» от брокера из Флориды.
3,6 миллиарда точек данных. 11 миллионов немецких телефонов. Два месяца отслеживания.
Внутри этих данных? Американские войска.
Более 12 300 устройств двигались через 11 американских баз. Штаб-квартира в Висбадене.
Школы детей.
Устройства на авиабазе Бюхель, где ядерное оружие находится в бункерах.
Устройства, зигзагами проходящие через полигоны для бронетехники в Графенвёре, незадолго до ареста подозреваемых саботёров там.
Когда их спросили об этом, представитель Пентагона дал унылый стандартный ответ.
Помните о правилах информационной безопасности (OPSEC). Будьте осторожны.
Но индивидуальная ответственность не исправляет системную гниль.
Собственный институт Вест-Пойнота армии отметил, что пятая часть посещаемых доменов в их несекретных сетях — это трекеры.
Исправить? Дешево. Просто.
Рекомендация: отказаться от Google Chrome на правительственных устройствах. Он отказывается блокировать сторонние куки. Все остальные браузеры это делают. Chrome просто говорит «нет».
Прошёл год.
Законодатели спрашивают о том же самом.
Игнорирование продолжается
Четырнадцать членов Конгресса написали в Пентагон. Кросспартийное письмо.
Они всё изложили. Вы знали об этом десять лет.
Вы «не внедрили разумные меры защиты».
Они хотят, чтобы Кирстен Дэвис, главный информационный офицер, наконец действовала. Отключить рекламные идентификаторы на военных телефонах. Заменить Chrome на безопасный браузер. Включить солдат в государственные списки отказа от отслеживания (opt-out).
Они конкретно спрашивали о том докладе Вест-Пойнта. И о законе 2010 года, призванном защитить уязвимый персонал.
Тайминг жесток.
CENTCOM говорит, что начало отключения геолокации на правительственных смартфонах только в этом месяце.
Десять лет просрочки.
А Армия?
В этом месяце они сказали солдатам использовать личные телефоны для работы.
Те самые телефоны, которые транслируют рекламные ID брокерам.
Армия говорит, что мониторит только рабочее приложение. Личные вещи остаются личными.
Брокерам всё равно на это различие.
У брокеров данных нет стен. У них есть данные.
И, по-видимому, они всё ещё продают их.
