ABD Ulusal Ajansın görevden ayrılan yöneticisine göre, Güvenlik Ajansı, Amerikalılar hakkında büyük miktarda ticari olarak mevcut web tarama verilerini herhangi bir izin olmaksızın satın alıyor.
NSA direktörü General Paul Nakasone, bu uygulamayı, mahremiyet savunucusu ve Senato İstihbarat Komitesi’nin kıdemli Demokratı Senatör Ron Wyden’a yazdığı bir mektupta açıkladı. Wyden mektubu yayınladı Perşembe günü.
Nakasone, NSA’nın “yabancı istihbarat, siber güvenlik ve yetkili görev amaçları için” veri aracılarından “çeşitli türde” bilgiler satın aldığını ve verilerin bir kısmının “Birleşik Krallık dışında ve bazı durumlarda içeride kullanılan cihazlardan gelebileceğini” söyledi. Devletler.”
Mektupta Nakasone, “NSA, iletişimin bir tarafının ABD İnternet Protokolü adresi olduğu ve diğer tarafının yurt dışında bulunduğu, tamamen yurt içi internet iletişimleri ve internet iletişimleriyle ilgili ticari olarak mevcut net akışı verilerini satın alıyor ve kullanıyor.” dedi.
Netflow kayıtları, bir ağ üzerindeki internet trafiğinin akışı ve hacmi hakkında içerik dışı bilgiler (meta veriler olarak da bilinir) içerir; bu bilgiler, internet bağlantılarının nereden geldiğini ve hangi sunucuların verileri diğerine aktardığını ortaya çıkarabilir. Net akışı verileri VPN’ler aracılığıyla ağ etkinliği trafiğini izlemek için kullanılabilir ve kötü niyetli bilgisayar korsanları tarafından kullanılan sunucuların ve ağların belirlenmesine yardımcı olabilir.
NSA, ticari olarak mevcut internet kayıtlarını hangi sağlayıcılardan satın aldığını söylemedi.
Wyden, ABD istihbarat topluluğunu denetleyen Ulusal İstihbarat Direktörlüğü Ofisi’ne (ODNI) yanıt veren bir mektupta, bu internet meta verilerinin, Amerikalıların kimliğini belirleme yeteneği nedeniyle veri komisyoncuları tarafından satılan konum verileri kadar “eşit derecede hassas olabileceğini” söyledi. özel çevrimiçi etkinlik.
“Web’de gezinme kayıtları, akıl sağlığı kaynaklarıyla ilgili web sitelerini, cinsel saldırı veya aile içi istismardan kurtulanlara yönelik kaynakları veya doğuma odaklanan bir tele sağlık sağlayıcısını ziyaret etmeyi içeren web sitelerini ziyaret etmek de dahil olmak üzere, internette nereye gittiğine bağlı olarak bir kişi hakkında hassas, özel bilgileri açığa çıkarabilir. kontrol veya kürtaj ilacı” dedi Wyden Bir açıklamada.
Wyden, NSA’nın yurt içi internet kayıtları koleksiyonunu Mart 2021’de öğrendiğini ancak gizliliği kaldırılıncaya kadar bilgiyi kamuya açıklayamayacağını söyledi. Senato İstihbarat Komitesi’nin bir üyesi olarak Wyden’ın gizli materyalleri almasına ve okumasına izin veriliyor ancak bunları kamuya açık olarak paylaşamıyor. NSA, Wyden’ın ardından kısıtlamaları kaldırdı bir sonraki NSA direktörünün adaylığını askıya almakdedi senatör.
ABD istihbarat topluluğunun ticari olarak mevcut geniş veri setlerini özel veri komisyoncularından satın alması uygulaması, yeni olmasa da, ancak Haziran 2023’te kamuya açıklandı. ODNI, hangi ABD casus teşkilatlarının verileri satın aldığını açıklamadı veya bilip bilmediğini söylemedi. . ODNI, kendi itirafıyla, ticari olarak satın alınan verilerin “açıkça istihbarat değeri sağladığını” ancak “gizlilik ve sivil özgürlüklerle ilgili önemli sorunları gündeme getirdiğini” söylemişti.
NSA, istihbarat toplamak veya soruşturma yapmak için ticari olarak satın alınan verilere güvenen tek ABD hükümet kurumu değil. Önceki raporlar Savunma İstihbarat Teşkilatı’nı gösteriyor Amerikalıların konum verilerini içeren ticari bir veritabanına erişim satın aldı 2021’de arama emri olmadan. Ayrıca Gelir İdaresi şüphelileri belirlemek için bir veri komisyoncusundan satın aldığı konum verilerini kullandıTıpkı İç Güvenlik Bakanlığı’nın her iki durumda da herhangi bir izin olmaksızın belgesiz göçmenleri takip etmesi gibi.
Ancak ticari verilerin ABD istihbarat topluluğu tarafından kullanılması, NSA’nın bu konuda yasal olmadığı bir dönemde, uygulamanın yasallığı konusunda soruları gündeme getiriyor. süresi dolan yasal gözetim yetkileri nedeniyle kongre incelemesiyle karşı karşıya ve federal hükümet içinden dolaylı uyarı.
ODNI’ye yazdığı mektubunda Wyden, Federal Ticaret Komisyonu’nun veri komisyoncularına karşı son yaptırım eyleminin, Amerikalıların verilerine erişimi satın alan devlet kurumlarının “yasallığı hakkında ciddi sorular” doğurduğunu belirtti.
Bu ayın başlarında FTC, paylaşım yapan üretken bir veri komisyoncusu olan X-Mode’u yasakladı. Askeri yüklenicilerle Müslüman namaz uygulaması kullanıcılarının konum verileri, telefon konum verilerinin satılmasını yasakladı ve şirkete topladığı verileri silmesini emretti. Bir hafta sonra FTC, şirketin konum verilerini toplamadan önce kullanıcıların açık rızasını almadığını söyleyerek başka bir veri komisyoncusu olan InMarket’e karşı da benzer bir dava açtı ve veri komisyoncusunun tüketicilerin kesin konum verilerini satmasını yasakladı.
Bu, NSA gibi ticari olarak elde edilen verileri kullanan devlet dairelerini ve kurumlarını yasal bir gri alana yerleştiriyor.
FTC sözcüsü Juliana Gruenwald Henderson, Cuma günü e-postayla kendisine ulaştığında, düzenleyici kurumun NSA’nın ticari verileri kullanımına ilişkin herhangi bir yorumu olmadığını söyledi.
Devlet kurumlarının genellikle bir telefondan veya bir teknoloji şirketinden Amerikalılara ilişkin özel verileri almadan önce mahkeme onaylı bir tutuklama emri çıkarması gerekiyor. Ancak ABD kurumları, kesin konum kayıtları veya net akış verileri gibi bilgilerin, satın almak isteyen herkese açık bir şekilde satılması durumunda izne ihtiyaç duymadıklarını öne sürerek bu gerekliliği göz ardı etti; ancak bu yasal teori ABD mahkemelerinde test edilmemiş durumda.
NSA ise Wyden’a yazdığı mektupta “ABD yasalarında veya yargı görüşlerinde herhangi bir gerekliliğin farkında olmadığını” söyledi. . . O [the Department of Defense] gibi bilgileri elde etmek, bunlara erişmek veya kullanmak için mahkeme kararı almak [commercially available information]Bu, ABD hükümetinin olduğu kadar yabancı düşmanların, ABD şirketlerinin ve özel kişilerin de satın alma şansına sahip.”
Wyden, ODNI’yi, yalnızca ABD casus teşkilatlarının Amerikalılar hakkında, FTC’nin yasal veri satışı standardını karşılayan verileri satın almasına izin veren bir politika uygulamaya çağırdı; aksi halde kurum verileri silmelidir. Wyden, bir ABD casus teşkilatının verileri saklama konusunda özel bir ihtiyacı varsa, kamuoyunu olmasa da en azından Kongre’yi bilgilendirmesi gerektiğini söyledi.
NSA’nın diğer federal hükümet kurumlarının yaptığı gibi konum veritabanlarına erişim satın alıp almadığı da belirsizliğini koruyor.
Nakasone, Wyden’a yazdığı mektubunda, NSA’nın “Amerika Birleşik Devletleri’nde olduğu bilinen telefonlardan veya araçlardan toplanan konum verilerini satın almadığını ve kullanmadığını” belirterek, NSA’nın, ABD’de bulunduğu bilinmiyorsa ticari olarak temin edilebilen verileri elde edebileceği yorumunu açık bırakıyor. ABD cihazlarından kaynaklanmaktadır.
E-postayla ulaşılan NSA sözcüsü Eddie Bennett, NSA’nın ticari olarak mevcut internet ağ akışı verilerini topladığını doğruladı ancak Nakasone’nin sözlerine açıklık getirmeyi veya yorum yapmayı reddetti.
Zack Whittaker ile +1 646.755.8849 numaralı telefondan Signal veya e-posta yoluyla iletişime geçebilirsiniz. Ayrıca SecureDrop aracılığıyla dosya ve belgeleri TechCrunch ile paylaşabilirsiniz.