法律漏洞幫助美國間諜購買美國人的個人數據 - 彭博社

克里斯托弗·雷（Christopher Wray）是美國聯邦調查局（FBI）局長，保羅·納卡索尼（Paul Nakasone）是國家安全局（NSA）局長，艾薇爾·海恩斯（Avril Haines）是國家情報總監，威廉·伯恩斯（William Burns）是中央情報局（CIA）局長，斯科特·貝里爾（Scott Berrier）是國防情報局（DIA）局長，在美國華盛頓特區參加了參議院情報委員會的聽證會。

攝影師：Al Drago/Bloomberg一份新解密的美國政府報告強調了間諜機構（如中央情報局和國家安全局）可以利用的法律漏洞，以收集大量關於美國公民的數據。

這份報告上週發佈，由國家情報總監辦公室（ODNI）發佈，指出了情報機構轉向基本無監管的商業市場購買大量關於人們的數據，包括從手機收集的位置信息。報告的作者指出，這些個人數據可以揭示私人行為和社交關係。

這些數據通常是從設備收集的，以實現定向廣告，由數十家數據經紀商和廣告交易所合法在線轉售。由於這些信息是商業可用的，美國情報機構不需要搜查令或傳票就可以使用它來跟蹤或監視人們。

但報告警告稱，有更加惡劣的方式來使用這些數據，暗示在錯誤的手中，它可能“促成勒索、跟蹤、騷擾和公開羞辱”。

情報機構僅向報告作者提供了兩個未分類的例子，説明他們如何使用這些數據。在一個案例中，它被用來追蹤特定黑客組織的活動。在另一個案例中，他們表示可以用來監測自然災害和疾病傳播如何影響人類的活動。

報告稱：“它可能被濫用來窺探私人生活，毀壞聲譽，造成情感困擾並威脅個人安全”，呼籲對美國機構處理數據的監督加強。

儘管許多經紀人聲稱他們出售的位置數據已經被匿名化，研究人員表示，當這些信息與其他來源配對或大量獲取時，往往可以對這些信息進行去匿名化，顯示一個人隨時間的活動，從而揭示他們的家庭地址和工作地點等信息。

像NSA或CIA這樣資源充足的情報機構幾乎肯定擁有工具可以對從商業來源購買的位置數據進行去匿名化。2019年，《紐約時報》的一份報告展示了據稱匿名的位置數據如何被分析以揭示特定人員隨時間的活動。

NSA拒絕就此事發表評論。CIA沒有立即回應評論請求。

即使在適當的控制下，報告補充説，這些數據的收集“可能會增加政府窺探私人生活的能力，達到可能超出我們憲法傳統或其他社會期望的水平。”

五月份，我為《商業週刊》報道揭露，一家名為Rayzone的以色列公司悄悄地收集廣告數據，並重新利用這些數據來幫助政府通過他們的手機追蹤個人。作為這些努力的一部分，Rayzone已經收購了專門從事廣告技術的公司，並與轉售來自包括由Alphabet Inc.旗下的Google擁有的廣告交易所數據的經紀人建立了關係。

美國俄勒岡州民主黨參議員羅恩·懷登（Ron Wyden）多次呼籲對購買用於監視目的的數據的政府機構進行更嚴格的審查。在公佈解密的國家情報總監辦公室報告後，懷登表示，政府現有的政策未能為美國人的隱私提供必要的保障。這位參議員還暗示，這種做法可能是繞過第四修正案的手段，保護美國公民免受不合理的搜查和扣押。

“行政部門必須對這種做法進行更嚴格的監督，向機構發佈關於商業數據法律地位的指導，並向美國人民提供關於其如何解釋法律的透明度，”他在一份聲明中説。

“如果政府可以通過第四修正案的程序購買自己的方式，那麼對政府監視將幾乎沒有什麼有意義的限制。”

本週我們學到了什麼

發佈還是不發佈？最近幾年來，網絡安全研究在可信度和嚴肅性方面獲得了提升，但在涉及公開“零日漏洞”時，從業者們仍然無法達成一致的禮儀規範，這些漏洞是指沒有修復方案的漏洞，Katrina Manson寫道。

在尋找文件傳輸服務MOVEit中的漏洞的競賽就是一個例子。

一位自稱的漏洞利用作者表示，他在Twitter上無意中發佈了第三個MOVEit零日漏洞，而該服務當時正處於俄語黑客組織Clop的勒索活動的中心。

受Clop-MOVEit黑客攻擊影響的公司和組織

消息來源：採訪，公司/組織聲明

* 調查潛在的數據泄露

普遍認為，發現零日漏洞的安全研究人員應該給公司90天的時間來修復問題，然後再公開，Huntress網絡公司的高級安全研究員John Hammond表示。目的是確保公司能夠在技術嫺熟的黑客利用漏洞之前堵住漏洞。

這90天符合美國特勤局和教育部等機構運行的供應商披露計劃的要求。但美國國土安全部表示可能會在45天內披露未修復的漏洞，指出在這個問題上缺乏一致性。

披露攻擊漏洞的細節也有力量，一些人認為。網絡安全公司Rapid7迅速發佈瞭如何利用MOVEit中一個漏洞的詳細信息，稱這將有利於安全社區瞭解此類攻擊的工作原理。與此同時，Huntress決定不公佈自己類似的方法。

“對於隱瞞有關活躍和被大規模利用的漏洞的關鍵信息唯一受益的是實施網絡攻擊的罪犯，”該公司的安全研究高級經理Caitlin Condon説。這很可能會引發一場辯論，伴隨着大量公開可用的代碼。

我們正在閲讀的內容

血跡斑斑的Macbook和一堆現金在暴力的Discord社區內展示，網絡犯罪分子炫耀一些惡劣行為。

密碼破譯者正在使用人工智能和語言分析來揭示有關連環殺手和中世紀王后的秘密。

在這張2018年5月3日的文件照片中，舊金山警察局展示了一份尋人啓事和一些由自稱為占星師的人寄給舊金山紀事報的信件的副本。一組業餘偵探已經解密了1969年由連環殺手占星師寄給舊金山報紙的一封密函。攝影師：Eric Risberg/APReddit遭受勒索軟件攻擊 未能對公司造成實質性影響，公司表示。

各州正在加緊監管 深度偽造技術，因為人工智能正變得普及。

美國海軍和北約使用來自一家 中國公司的加密芯片，引發了後門的擔憂。

警方逮捕了一名20歲的俄羅斯男子，據稱他與 臭名昭著的LockBit勒索軟件團伙合作。

釣魚行動

不要錯過Meow Wolf，這是在聖菲和丹佛展示的沉浸式藝術體驗。特別是“Convergence Station”裝置，值得所有的炒作和更多。

您可以聯繫Jeff Stone，郵箱為 [email protected]。Margi Murphy的郵箱是 [email protected]。您還可以使用我們的 SecureDrop 安全匿名地發送文件。

彭博社更多內容

獲取科技日報以及更多彭博科技新聞簡報：

• 遊戲進行中玩轉視頻遊戲行業
• 開機啓動蘋果獨家報道，消費者科技新聞等
• 銀幕時光好萊塢和硅谷碰撞的第一排座位
• 聲音碎片播客、音樂行業和音頻趨勢報道
• 超驅動專家洞察汽車未來