1. 我是CIO首页
  2. 资讯
  3. 安全

NSO集团运行的无密码服务器引发了联系追踪隐私问题

NSO集团运行的无密码服务器引发了联系追踪隐私问题

随着各国在锁定数周后努力重新开放,接触追踪应用程序有助于了解致命冠状病毒毒株COVID-19的传播情况。

尽管大多数政府倾向于使用隐私信号的应用程序,这些应用程序使用蓝牙信号创建人的下落的匿名档案,而其他国家(例如以色列)则使用位置和手机数据来跟踪病毒的传播。

以色列私人保安公司NSO Group正在领导以色列的联系追踪工作之一。

安全研究员鲍勃·迪亚琴科(Bob Diachenko)在互联网上发现了NSO的一种接触追踪系统,该系统不受保护,并且没有密码,任何人都可以访问。与公司联系后,NSO将不受保护的数据库脱机。迪亚琴科说,他认为数据库中包含虚拟数据。

NSO说,该系统仅用于演示其技术,并否认由于安全漏洞而暴露于该系统。NSO仍在等待以色列政府批准将牢房记录送入系统。但是专家说,该系统不应该一开始就开放,而且市民位置数据的集中式数据库会带来安全和隐私风险。

代号’Fleming’

NSO于3月开始开发其代号为Fleming的联系跟踪系统。

Fleming旨在分析来自卫生当局的已确认的冠状病毒测试数据和来自移动网络的电话位置数据,以识别可能接触过该病毒的人。任何接近被诊断出冠状病毒的人都会被通知。

不受保护的数据库托管在法兰克福的Amazon Web Services服务器上,该服务器上的数据保护机制是世界上最严格的保护机制之一。它包含大约六周的位置数据,时间跨度约为3月10日至4月23日。它还包括特定的日期,时间和目标位置(NSO在数据库中用于描述人员的术语)与潜在感染者联系。数据还包括相遇的持续时间,以帮助评估传播感染的可能性。

NSO集团董事Oren Ganz说:“ NSO集团已经成功开发了’Fleming’,这是一种创新的,独特的纯分析系统,旨在应对冠状病毒大流行。Fleming专为政府决策者的利益而设计,而不会损害个人隐私。该系统已在全球范围内向媒体组织和大约100个国家/地区透明显示,”他说。

多伦多大学Munk学校的一部分,公民实验室的资深研究员John Scott-Railton说,任何存储位置数据的数据库都会带来隐私风险。

Scott-Railton说:“不保护服务器的安全将是一个学校项目的尴尬。对于一家市值十亿美元的公司而言,不要用密码保护一个秘密项目,该项目希望处理位置和健康数据,这表明该项目迅速而松散地推出了。”

他说:“ NSO的案件是证明问题的先例:匆忙的COVID-19跟踪工作将损害我们的隐私和在线安全。”

以色列的两个追踪系统

随着三月份全球冠状病毒感染开始激增,以色列政府通过了一项紧急法律,赋予其国内安全服务Shin Bet “前所未有的访问权限”,以从电话公司收集大量的细胞数据,以帮助识别可能的感染。

到3月底,以色列国防部长纳夫塔利·本内特(Naftali Bennett)表示,政府正在研究一种新的联系追踪系统,该系统与Shin Bet使用的系统分开。后来发现,NSO正在构建第二个联系人跟踪系统。

以色列民主研究所的隐私专家兼高级研究员Tehilla Shwartz Altshuler告诉TechCrunch,在疫情爆发初期,她也在一次Zoom呼叫中得到了Fleming的示范。

在没有获得单元记录的权限的情况下,NSO告诉她,它使用了从广告平台或所谓的数据代理收集的位置数据。以色列媒体还报道说,国家统计局使用广告数据对系统进行“培训”。

数据经纪人聚集并出售从数百万部手机上安装的应用程序收集的大量位置数据,跟踪您的运动和位置的应用程序通常还会将这些位置出售给数据经纪人,然后再将数据转售给广告商,以投放更具针对性的广告。

NSO否认它在Fleming演示中使用了来自数据代理的位置数据。

“ Fleming演示不是基于真实和真实的数据,” Ganz说。“该演示只是对公共混淆数据的说明。它不包含任何形式的任何个人识别信息。”

自从政府开始概述他们的联系跟踪系统计划以来,专家警告说位置数据不准确,并且可能导致误报和误报。当前,NSO的系统似乎依赖于此数据来实现其核心功能。

Scott-Railton说:“这种位置数据无法可靠地衡量两个人是否密切接触。”

NSO与中东的联系

以色列并不是唯一对Fleming感兴趣的政府。彭博社3月份的报道称,有十多个国家正在测试NSO的联系追踪技术。

对未受保护数据库的审查显示,以色列,卢旺达,沙特阿拉伯和阿拉伯联合酋长国都有大量位置数据点。

纽约沙特,卢旺达和阿联酋领事馆的发言人没有回复我们的电子邮件。NSO没有回答我们有关其与这些政府之间关系的问题。

沙特阿拉伯是NSO集团的知名客户。联合国专家呼吁对有关沙特政府使用NSO的Pegasus间谍软件入侵亚马逊首席执行官Jeff Bezos 的电话的指控进行调查。国家统计局否认了这一要求。

NSO还卷入了与Facebook拥有的WhatsApp 的法律诉讼中,据称该公司构建了旨在通过WhatsApp交付的黑客工具,该工具被用来入侵1400名用户的手机,其中包括政府官员,记者和人权活动家。

隐私问题

专家们对集中数据的使用表示担忧,担心它可能成为黑客的目标。

大多数国家/地区都喜欢分散化的工作,例如Apple和Google的联合项目,该项目使用从附近的电话中获取的匿名蓝牙信号,而不是将蜂窝位置数据收集到一个数据库中。蓝牙联系人跟踪已在基于位置的联系人跟踪工作中赢得了学者和安全研究人员的支持,他们表示这将实现大规模监视。

Shwartz Altshuler说,基于位置的联系人跟踪是对隐私的“巨大侵犯”。“这意味着你不能有任何秘密。如果您是记者,则不能举行任何会议,也不能去人们想知道您身在何处的地方。”

苹果和谷歌在自己的联系人跟踪工作中颇受青睐,因为担心存储在中央服务器上的数据可能遭到破坏,苹果和谷歌已经禁止政府使用其联合API构建联系人跟踪应用程序使用位置跟踪。

萨里大学的教授艾伦·伍德沃德(Alan Woodward)说,位置数据使其“有可能建立社交图谱,并开始确定谁在何时何地遇到谁。”

他说:“即使只是试验数据,对于真实的人还是很敏感的。”

本文为作者 三石 独立观点,并不代表 我是CIO 立场。

发表评论

登录后才能评论