Lo sapevano.
Per dieci anni.
Dieci anni di avvertimenti da parte di appaltatori, analisti, persone pagate per dire loro esattamente quanto sono esposte le nostre truppe. Chiunque abbia una carta di credito e un momento libero può acquistare una mappa di dove dormono i soldati. Dove lavorano. Dove teniamo le armi nucleari.
Ora. Il conto arriva in scadenza.
In una zona di guerra, nientemeno.
L’ammissione
Il Comando Centrale degli Stati Uniti ha finalmente inviato una lettera.
È brutto da leggere, ma abbastanza onesto.
“Rapporti di minacce multiple riguardanti lo sfruttamento da parte di avversari di dati commerciali.”
Questa è la prima volta che qualcuno al comando ammette che i data broker vengono attivamente utilizzati per dare la caccia ai soldati americani in Medio Oriente.
La Reuters ha ricevuto la lettera. Ma la lettera è solo la punta dell’iceberg.
Il record risale a molto più lontano.
Il Congresso ha sentito questi stessi allarmi. Stessa intelligenza. Stessi testimoni. Eppure non è successo nulla. Le leggi sono in stallo.
Certo, c’era una piccola soluzione – una regola secondo cui gli appaltatori militari non possono rivendere i dati condivisi – ma questo ha lasciato il resto del settore completamente aperto.
L’allarme è iniziato nel lontano 2016, a Fort Bragg. Un briefing tecnico del governo per gli alti ufficiali ha mostrato qualcosa di agghiacciante. I dati sulla posizione commerciale – acquistati legalmente, non hackerati – potrebbero tracciare le unità d’élite dalla base aerea di MacDill alla Turchia, poi direttamente in Siria.
Si raggruppavano in basi nascoste. I dati lo hanno dimostrato.
Così faceva qualsiasi spia straniera.
Pericolo di acquisto
Anche se avvertiti, parti del Pentagono adoravano questo mercato.
La Defense Intelligence Agency ha dichiarato al Congresso negli anni 2020 di aver acquistato dati sulla posizione del telefono. Compresi i dati sugli americani.
Nessun mandato. Non pensavano di averne bisogno.
Motherboard lo ha confermato qualche mese prima. L’esercito si stava nutrendo dei dati delle app di consumo.
Poi nel 2023.
L’esercito ha pagato per scoprire quanto fosse grave la situazione.
I ricercatori della Duke, finanziati da West Point, si presentavano come avversari.
Hanno raschiato i broker di dati. Trovati elenchi intitolati “Famiglie militari” e “Famiglie militari irriducibili”.
Il costo? Dodici centesimi per record.
Hanno comprato i nomi. Indirizzi di casa. Problemi di salute.
Hanno finto di essere un acquirente di Singapore e hanno georecintato i dati intorno a Fort Bragg e Quantico. Un broker ha rinunciato ai controlli di identità per un bonifico bancario.
È peggiorato.
WIRED ha trovato gli stessi dati nella piattaforma pubblicitaria di Google.
Grazie all’Irish Council for Civil Liberties, gli investigatori hanno visto segmenti su Google Display & Video 360.
Prendere di mira i “decisori” statunitensi in materia di sicurezza nazionale.
Persone che lavorano negli impianti missilistici.
Creatori di sistemi crittografici.
L’investigatore ha creato una falsa società di analisi.
Ha detto:
“Quando mi sono iscritto non sono state poste domande.”
Avrebbe potuto essere chiunque. Un terrorista? Un bambino? Una persona a caso per strada. Non importava.
Conseguenze reali
Questo non è ipotetico.
L’anno scorso, i giornalisti tedeschi e WIRED hanno ricevuto un “campione gratuito” da un broker della Florida.
3,6 miliardi di punti dati. 11 milioni di telefoni tedeschi. Due mesi di monitoraggio.
Dentro quei dati? Truppe americane.
Oltre 12.300 dispositivi sono stati spostati attraverso 11 basi statunitensi. Sede di Wiesbaden.
Scuole per bambini.
Dispositivi alla base aerea di Büchel dove le armi nucleari si trovano nei bunker.
Dispositivi che zigzagavano lungo i percorsi dei veicoli blindati a Grafenwöhr, poco prima che i presunti sabotatori venissero arrestati.
Interrogato su questo, un portavoce del Pentagono ha dato la stanca risposta.
Ricorda OPSEC. Stai attento.
Ma la responsabilità individuale non risolve il marciume sistemico.
L’istituto di West Point dell’esercito ha osservato che un quinto dei domini visitati sulle loro reti non classificate erano tracker.
Ripararlo? Economico. Facile.
Raccomandazione: abbandonare Google Chrome sui dispositivi governativi. Si rifiuta di bloccare i cookie di terze parti. Tutti gli altri lo fanno. Chrome dice semplicemente di no.
Un anno dopo.
I legislatori chiedono esattamente la stessa cosa.
Sto ancora ignorando
Quattordici membri del Congresso hanno scritto al Pentagono. Bipartisan.
L’hanno steso. Lo sai da dieci anni.
“Non sei riuscito ad adottare difese basate sul buon senso”.
Vogliono che Kirsten Davies, il CIO, agisca davvero. Disattiva gli ID pubblicitari sui telefoni militari. Sostituisci Chrome con un browser sicuro. Iscrivere i soldati negli elenchi statali di rinuncia.
Hanno chiesto specificamente del rapporto di West Point. E una legge del 2010 intesa a proteggere il personale vulnerabile.
Il tempismo è brutale.
Centcom afferma di aver iniziato a disattivare la condivisione della posizione sugli smartphone governativi solo questo mese.
Dieci anni di ritardo.
E l’Esercito?
Questo mese hanno detto ai soldati di usare i telefoni personali per lavorare.
Gli stessi telefoni che trasmettono ID annunci ai broker.
L’Esercito afferma che viene monitorata solo l’app di lavoro. Le cose private rimangono private.
Ai broker non interessa questa distinzione.
I broker di dati non hanno muri. Hanno dati.
E a quanto pare lo stanno ancora vendendo.
