监视公司将广告数据转化为政府追踪工具 - 彭博社

插图：Shira Inbar for Bloomberg Businessweek

广告技术行业的创新在于自动化拍卖，以交易关于手机用户的实时数据，包括他们的物理位置和浏览习惯，但不包括他们的真实姓名。这种活动的主要目的，被称为实时竞价，是将数字广告展示给最有可能点击它们的人。但也有可能购买这些数据以达到其他目的。

一个显著的非广告参与者是 Rayzone Group Ltd. 这家总部位于特拉维夫的监视公司多年来悄悄地收集广告数据，并重新利用这些数据来帮助政府通过他们的手机追踪个人。作为这些努力的一部分，Rayzone已经收购了专门从事广告技术的公司，并与转售来自主要广告交易所数据的经纪人建立了关系，其中包括由 Alphabet Inc.旗下的Google拥有的交易所。

Rayzone将获取的广告数据输入到一个名为Echo的服务中，然后将其出售给全球各地的政府。据行业专家称，Echo是首个已知的商业化监视系统，以这种方式利用广告数据。Rayzone将这款产品定位为一种全视技术，几乎不可能避免或停用。正如其营销材料所说：“你可以逃跑，你可以躲藏，但你无法逃避你自己的回声。”

当不直接与客户交谈时，Rayzone 一直努力保持对 Echo 的细节保密，让参与其中的员工签署保密协议。其网站没有提到 Echo 的名称，只提到其销售的“位置调查平台”。一位公司发言人拒绝在记录上回答具体问题，而是提供一份声明，称公司及其子公司“向政府机构提供 passiv 工具，以符合当地和国际法规，同时我们的网络安全部门防御网络攻击。”

在一封电子邮件中，一位 Google 发言人表示公司正在调查此事，并且尚未确定 Rayzone 与其广告交易所（称为授权买家）之间的任何关系。该发言人表示，Google 的政策“严格禁止”任何试图根据其实时竞价数据识别人员的行为，并补充说它不会分享“精确位置或敏感个人”信息。

“这是有史以来记录的最大数据泄露事件—而且每天都在重复发生”

多年来，隐私专家一直在警告实时数据交换的危险。“互联网上的每个人正在阅读、观看和倾听的内容，以及他们在现实世界中的移动轨迹，都被广播给成千上万家公司，而且一直如此，”爱尔兰公民自由委员会高级研究员 Johnny Ryan说。“这是有史以来记录的最大数据泄露事件—而且每天都在重复发生。”

2021年，六名用户在加利福尼亚州联邦地方法院对谷歌提起了一项拟议的集体诉讼，声称该公司“误导消费者认为它不会出售他们的个人信息。”（谷歌试图让这个案件被驳回，称其广告交易所上的数据不应被视为私人数据，因为人们通过他们的互联网使用与网站共享这些数据。）在2021年4月的一封信中，一群美国参议员跨党派表达了对通过实时竞价共享的数据的担忧，称这“将成为外国情报机构的金矿，他们可以利用它来获取信息并加强黑客攻击、勒索和影响活动。”

美国政府本身已经购买了移动定位数据来追踪人员，私人实体也在寻求进行自己的监视。《福布斯》在2020年12月报道称，Rayzone和另一家以色列公司Bsightful，正在销售基于位置数据的监视技术，这些数据是从智能手机应用程序中收集的。这篇报道基于对熟悉Rayzone的人的采访（所有这些人要求不透露姓名讨论机密事项），以及内部文件，提供了有关其运营、技术和客户群的新信息。（Bsightful的代表未回复置评请求。）

Rayzone成立于2010年。其中一位联合创始人，总裁Yohai Ben-Zakai，是以色列国防军电子监视部队8200部队的前副主任，有时被比作美国国家安全局。该公司最初以向政府销售技术而闻名，该技术通过利用电信协议SS7（Signaling System 7）的漏洞来跟踪移动设备的位置，SS7是全球电信行业的交换机板，可以追溯到上世纪70年代。随着网络运营商改进了SS7的安全性，据熟悉该公司的人士称，Rayzone于2017年开始开发Echo。至少自2018年以来，该公司一直在销售这项服务。

为了提供Echo服务，Rayzone直接从一些广告交易所以及其他从手机获取位置和其他信息的公司获取数据，据熟悉该公司运营的四人称。人们说，Rayzone及其关联公司有时会假扮为潜在广告客户，通过需求方平台这种系统获取数据。它拥有两家专门从事广告技术的公司： Impulse Programmatics和 Oxillon，后者声称“受到世界顶级广告代理公司的信任”。根据商业记录，这两家公司都在与Rayzone同一栋位于以色列特拉维夫东部的办公楼内运营。

通过广告技术进行监视具有一些监管优势。许多监视公司位于以色列的政府对依赖于黑客入侵设备或在电信网络中安装技术的某些数字监视产品实施出口管制。熟悉该业务的人士表示，因为Echo仅仅解释商业可获得的数据，所以不受这些管制的约束。

Rayzone为政府提供Echo的定制安装，价格根据客户希望跟踪人员的国家或地区以及所需数据量而定。据熟悉其销售情况的人士透露，该公司希望为其最昂贵的许可证收取高达1000万美元的费用。据熟悉Rayzone运营情况的四人透露，欧洲、中东、亚洲以及南北美洲的数十家执法和情报机构已购买了Echo。这些人表示，该公司在包括泰国、菲律宾和墨西哥在内的国家有销售其技术的合作伙伴。

广告技术每次一个人使用手机执行常规功能时生成数据，例如浏览互联网或使用应用程序查看天气。这些数据不包括人们的姓名，但研究人员已经表明，通过结合各种数据集，可以对其进行去匿名化。

Rayzone的营销解释称，该公司“从全球每个互联网用户那里收集信息”，一份文件吹嘘说“目标不知道被监视，也无法避免”。此后，Rayzone告诉客户，其技术可以检索曾经在特定位置的手机的信息，然后将其连接到包括个人姓名、性别、年龄、地址、爱好和浏览历史在内的个人资料中，根据公司文件。Rayzone表示，它可以提供长达六个月的手机通话记录，使政府能够回溯时间，找出谁曾在特定位置以及何时。

2022年4月，Rayzone代表向潜在客户展示了技术如何跟踪人们在墨西哥的行踪，分析了大约20亿条位置记录，据他称这些记录是从广告行业收集而来的。该系统可以精确定位到特定建筑物，并识别几个月前某一天或某个时间在那里的人。

隐私倡导者表示，像Rayzone这样的产品构成了一种特殊威胁，因为它们绕过了政府监视的限制。许多国家的法规使电话提供商难以与外国政府分享个人数据，安全和隐私研究人员保罗·维恩斯表示，利用广告数据进行监视“绕过了保护措施——某个第三方公司可以获取数据，政府只需购买即可。”

Rayzone销售其他几种跟踪工具。它声称其中一种名为Optimus的工具可以部署虚假社交媒体资料或“化身”来在网络论坛上收集信息，同时掩盖用户的真实身份。另一种名为Sprinter的工具可以装在手提箱中，远程用于窃听电话和短信。

这类服务本质上是有争议的，以色列的监视部门尤其在最近几年的行动曝光后受到了增加的审查。在2021年11月的一次特拉维夫会议上，Rayzone的前首席网络安全官盖伊·米兹拉希进行了慷慨陈词的辩护。他说：“作为一个私人个体，我希望我的政府能够监视人们，甚至是我，如果他们认为我做错了什么。”“其他国家也应该拥有这种能力，但并非所有国家都能自行开发。所以如果我们能出售这些东西并帮助他们做到，那就太好了。”阅读下一篇：VPN正变得普及，它们的信任问题也在增加