Ze wisten het.
Tien jaar lang.
Tien jaar waarschuwingen van aannemers, analisten, mensen die betaald worden om hen precies te vertellen hoe kwetsbaar onze troepen zijn. Iedereen met een creditcard en een momentje over, kan een kaart kopen van waar soldaten slapen. Waar ze werken. Waar we de kernwapens bewaren.
Nu. De rekening komt opeisbaar.
In een oorlogsgebied niet minder.
De toelating
Het Amerikaanse Centrale Commando heeft uiteindelijk een brief gestuurd.
Het is lelijk om te lezen, maar eerlijk genoeg.
“Meerdere bedreigingsrapporten over vijandige exploitatie van commerciële gegevens.”
Dat is de eerste keer dat iemand die de leiding heeft, toegeeft dat datamakelaars actief worden gebruikt om op Amerikaanse soldaten in het Midden-Oosten te jagen.
Reuters kreeg de brief. Maar de brief is slechts het topje van de ijsberg.
Het record gaat veel verder terug.
Het Congres hoorde dezelfde alarmsignalen. Dezelfde intelligentie. Dezelfde getuigen. Toch gebeurde er niets. Wetten liepen vast.
Er was zeker één kleine oplossing – een regel die zegt dat militaire aannemers gedeelde gegevens niet mogen doorverkopen – maar die liet de rest van de industrie wijd open.
De waarschuwing begon al in 2016, bij Fort Bragg. Een technische opdracht van de overheid voor hoge officieren liet iets huiveringwekkends zien. Commerciële locatiegegevens – legaal gekocht, niet gehackt – konden elite-eenheden volgen van MacDill Air Base tot Turkije en vervolgens rechtstreeks tot in Syrië.
Ze verzamelden zich op geheime bases. De gegevens lieten het zien.
Dat deed elke buitenlandse spion ook.
Koopgevaar
Ondanks de waarschuwing waren delen van het Pentagon dol op deze markt.
De Defense Intelligence Agency vertelde het Congres in 2020 dat het telefoonlocatiegegevens had gekocht. Inclusief gegevens over Amerikanen.
Geen warrants. Ze dachten niet dat ze die nodig hadden.
Motherboard bevestigde het een paar maanden eerder. Het leger voedde zich met data van consumentenapps.
Dan in 2023.
Het leger betaalde om erachter te komen hoe erg het was.
Duke-onderzoekers, gefinancierd door West Point, deden zich voor als tegenstanders.
Ze schrapten datamakelaars. Lijsten gevonden met de titel “Militaire families” en “Harde kern militaire families.”
De kosten? Twaalf cent per plaat.
Ze kochten namen. Thuisadressen. Gezondheidsproblemen.
Ze deden zich voor als een Singaporese koper en lieten hun gegevens geofenced rond Fort Bragg en Quantico. Eén makelaar zag af van identiteitscontroles voor een overboeking.
Het werd erger.
WIRED vond dezelfde gegevens op het advertentieplatform van Google.
Dankzij de Irish Council for Civil Liberties hebben onderzoekers segmenten gezien op Google Display & Video 360.
Gericht op Amerikaanse ‘beslissers’ op het gebied van de nationale veiligheid.
Mensen die in raketfabrieken werken.
Makers van cryptografische systemen.
De onderzoeker heeft een nepanalysebedrijf opgezet.
Hij zei:
“Toen ik me aanmeldde, werden er geen vragen gesteld.”
Hij had iedereen kunnen zijn. Een terrorist? Een kind? Een willekeurig persoon van de straat. Het maakte niet uit.
Echte gevolgen
Dit is niet hypothetisch.
Vorig jaar kregen Duitse verslaggevers en WIRED een “gratis monster” van een makelaar uit Florida.
3,6 miljard datapunten. 11 miljoen Duitse telefoons. Twee maanden volgen.
Binnen die gegevens? Amerikaanse troepen.
Meer dan 12.300 apparaten zijn verplaatst via 11 Amerikaanse bases. Hoofdkwartier Wiesbaden.
Kinderscholen.
Apparaten op vliegbasis Büchel waar kernwapens in bunkers zitten.
Apparaten zigzaggen door gepantserde voertuigparcours bij Grafenwöhr, net voordat vermoedelijke saboteurs daar werden gearresteerd.
Toen hem hierover werd gevraagd, gaf een woordvoerder van het Pentagon het vermoeide antwoord.
Denk aan OPSEC. Wees voorzichtig.
Maar individuele verantwoordelijkheid lost systemische rotting niet op.
Het eigen West Point-instituut van het leger merkte op dat een vijfde van de bezochte domeinen op hun niet-geclassificeerde netwerken trackers waren.
Repareer het? Goedkoop. Eenvoudig.
Aanbeveling: gooi Google Chrome weg op overheidsapparaten. Het weigert cookies van derden te blokkeren. Alle anderen doen dat. Chrome zegt gewoon nee.
Een jaar later.
Wetgevers vragen precies hetzelfde.
Ik negeer het nog steeds
Veertien leden van het Congres schreven een brief naar het Pentagon. Tweeledig.
Ze hebben het neergelegd. Je weet het al tien jaar.
Je “er niet in geslaagd bent om op gezond verstand te verdedigen.”
Ze willen dat Kirsten Davies, de CIO, daadwerkelijk actie onderneemt. Schakel advertentie-ID’s uit op militaire telefoons. Vervang Chrome door een veilige browser. Schrijf soldaten in op de opt-outlijsten van de staat.
Ze vroegen specifiek naar dat West Point-rapport. En een wet uit 2010 bedoeld om kwetsbaar personeel te beschermen.
De timing is wreed.
Centcom zegt dat het pas deze maand is begonnen met het uitschakelen van het delen van locaties op overheidssmartphones.
Tien jaar te laat.
En het leger?
Deze maand vertelden ze soldaten dat ze persoonlijke telefoons moesten gebruiken voor hun werk.
Dezelfde telefoons zenden advertentie-ID’s uit naar makelaars.
Het leger zegt dat alleen de werk-app wordt gemonitord. Privézaken blijven privé.
Makelaars interesseren zich niet voor dat onderscheid.
Datamakelaars hebben geen muren. Ze hebben gegevens.
En blijkbaar verkopen ze het nog steeds.
