法律漏洞帮助美国间谍购买美国人的个人数据 - 彭博社

克里斯托弗·雷（Christopher Wray）是美国联邦调查局（FBI）局长，保罗·纳卡索尼（Paul Nakasone）是国家安全局（NSA）局长，艾薇尔·海恩斯（Avril Haines）是国家情报总监，威廉·伯恩斯（William Burns）是中央情报局（CIA）局长，斯科特·贝里尔（Scott Berrier）是国防情报局（DIA）局长，在美国华盛顿特区参加了参议院情报委员会的听证会。

摄影师：Al Drago/Bloomberg一份新解密的美国政府报告强调了间谍机构（如中央情报局和国家安全局）可以利用的法律漏洞，以收集大量关于美国公民的数据。

这份报告上周发布，由国家情报总监办公室（ODNI）发布，指出了情报机构转向基本无监管的商业市场购买大量关于人们的数据，包括从手机收集的位置信息。报告的作者指出，这些个人数据可以揭示私人行为和社交关系。

这些数据通常是从设备收集的，以实现定向广告，由数十家数据经纪商和广告交易所合法在线转售。由于这些信息是商业可用的，美国情报机构不需要搜查令或传票就可以使用它来跟踪或监视人们。

但报告警告称，有更加恶劣的方式来使用这些数据，暗示在错误的手中，它可能“促成勒索、跟踪、骚扰和公开羞辱”。

情报机构仅向报告作者提供了两个未分类的例子，说明他们如何使用这些数据。在一个案例中，它被用来追踪特定黑客组织的活动。在另一个案例中，他们表示可以用来监测自然灾害和疾病传播如何影响人类的活动。

报告称：“它可能被滥用来窥探私人生活，毁坏声誉，造成情感困扰并威胁个人安全”，呼吁对美国机构处理数据的监督加强。

尽管许多经纪人声称他们出售的位置数据已经被匿名化，研究人员表示，当这些信息与其他来源配对或大量获取时，往往可以对这些信息进行去匿名化，显示一个人随时间的活动，从而揭示他们的家庭地址和工作地点等信息。

像NSA或CIA这样资源充足的情报机构几乎肯定拥有工具可以对从商业来源购买的位置数据进行去匿名化。2019年，《纽约时报》的一份报告展示了据称匿名的位置数据如何被分析以揭示特定人员随时间的活动。

NSA拒绝就此事发表评论。CIA没有立即回应评论请求。

即使在适当的控制下，报告补充说，这些数据的收集“可能会增加政府窥探私人生活的能力，达到可能超出我们宪法传统或其他社会期望的水平。”

五月份，我为《商业周刊》报道揭露，一家名为Rayzone的以色列公司悄悄地收集广告数据，并重新利用这些数据来帮助政府通过他们的手机追踪个人。作为这些努力的一部分，Rayzone已经收购了专门从事广告技术的公司，并与转售来自包括由Alphabet Inc.旗下的Google拥有的广告交易所数据的经纪人建立了关系。

美国俄勒冈州民主党参议员罗恩·怀登（Ron Wyden）多次呼吁对购买用于监视目的的数据的政府机构进行更严格的审查。在公布解密的国家情报总监办公室报告后，怀登表示，政府现有的政策未能为美国人的隐私提供必要的保障。这位参议员还暗示，这种做法可能是绕过第四修正案的手段，保护美国公民免受不合理的搜查和扣押。

“行政部门必须对这种做法进行更严格的监督，向机构发布关于商业数据法律地位的指导，并向美国人民提供关于其如何解释法律的透明度，”他在一份声明中说。

“如果政府可以通过第四修正案的程序购买自己的方式，那么对政府监视将几乎没有什么有意义的限制。”

本周我们学到了什么

发布还是不发布？最近几年来，网络安全研究在可信度和严肃性方面获得了提升，但在涉及公开“零日漏洞”时，从业者们仍然无法达成一致的礼仪规范，这些漏洞是指没有修复方案的漏洞，Katrina Manson写道。

在寻找文件传输服务MOVEit中的漏洞的竞赛就是一个例子。

一位自称的漏洞利用作者表示，他在Twitter上无意中发布了第三个MOVEit零日漏洞，而该服务当时正处于俄语黑客组织Clop的勒索活动的中心。

受Clop-MOVEit黑客攻击影响的公司和组织

消息来源：采访，公司/组织声明

* 调查潜在的数据泄露

普遍认为，发现零日漏洞的安全研究人员应该给公司90天的时间来修复问题，然后再公开，Huntress网络公司的高级安全研究员John Hammond表示。目的是确保公司能够在技术娴熟的黑客利用漏洞之前堵住漏洞。

这90天符合美国特勤局和教育部等机构运行的供应商披露计划的要求。但美国国土安全部表示可能会在45天内披露未修复的漏洞，指出在这个问题上缺乏一致性。

披露攻击漏洞的细节也有力量，一些人认为。网络安全公司Rapid7迅速发布了如何利用MOVEit中一个漏洞的详细信息，称这将有利于安全社区了解此类攻击的工作原理。与此同时，Huntress决定不公布自己类似的方法。

“对于隐瞒有关活跃和被大规模利用的漏洞的关键信息唯一受益的是实施网络攻击的罪犯，”该公司的安全研究高级经理Caitlin Condon说。这很可能会引发一场辩论，伴随着大量公开可用的代码。

我们正在阅读的内容

血迹斑斑的Macbook和一堆现金在暴力的Discord社区内展示，网络犯罪分子炫耀一些恶劣行为。

密码破译者正在使用人工智能和语言分析来揭示有关连环杀手和中世纪王后的秘密。

在这张2018年5月3日的文件照片中，旧金山警察局展示了一份寻人启事和一些由自称为占星师的人寄给旧金山纪事报的信件的副本。一组业余侦探已经解密了1969年由连环杀手占星师寄给旧金山报纸的一封密函。摄影师：Eric Risberg/APReddit遭受勒索软件攻击 未能对公司造成实质性影响，公司表示。

各州正在加紧监管 深度伪造技术，因为人工智能正变得普及。

美国海军和北约使用来自一家 中国公司的加密芯片，引发了后门的担忧。

警方逮捕了一名20岁的俄罗斯男子，据称他与 臭名昭著的LockBit勒索软件团伙合作。

钓鱼行动

不要错过Meow Wolf，这是在圣菲和丹佛展示的沉浸式艺术体验。特别是“Convergence Station”装置，值得所有的炒作和更多。

您可以联系Jeff Stone，邮箱为 [email protected]。Margi Murphy的邮箱是 [email protected]。您还可以使用我们的 SecureDrop 安全匿名地发送文件。

彭博社更多内容

获取科技日报以及更多彭博科技新闻简报：

• 游戏进行中玩转视频游戏行业
• 开机启动苹果独家报道，消费者科技新闻等
• 银幕时光好莱坞和硅谷碰撞的第一排座位
• 声音碎片播客、音乐行业和音频趋势报道
• 超驱动专家洞察汽车未来