تقنية Fleming من NSO تستخدم البيانات الحقيقية للموقع
خلص باحثون إلى أن مجموعة NSO المصنعة لبرامج التجسس استخدمت البيانات الحقيقية للموقع لآلاف الأشخاص عندما عرضت نظامها الجديد Fleming لتتبع فيروس كورونا للحكومات والصحفيين.
وروجت NSO، وهي شركة تشتهر ببيع الحكومات الوصول إلى برنامج التجسس Pegasus، في وقت سابق من هذا العام لنظامها، الذي يهدف إلى مساعدة الحكومات على تتبع انتشار فيروس كورونا.
وتم تصميم Fleming للسماح للحكومات بتغذية بيانات الموقع من شركات الهواتف المحمولة لتصور وتتبع انتشار الفيروس.
وقدمت NSO عرضًا توضيحيًا لتقنية Fleming لعدة منافذ إخبارية، التي تقول NSO: إنها تساعد الحكومات في اتخاذ قرارات الصحة العامة دون المساس بالخصوصية الفردية.
واكتشف باحث أمني في شهر مايو قاعدة بيانات مكشوفة تخزن الآلاف من نقاط بيانات الموقع التي استخدمتها NSO لتوضيح كيفية عمل Fleming.
وأبلغ الباحث الشركة بهذا الأمر، التي قامت بتأمين قاعدة البيانات، لكنها قالت: إن بيانات الموقع لا تستند إلى بيانات حقيقية.
ويختلف ادعاء NSO بأن بيانات الموقع لم تكن حقيقية عن التقارير الواردة في وسائل الإعلام، التي قالت: إن NSO قد استخدمت بيانات الموقع التي تم الحصول عليها من وسطاء البيانات من أجل تدريب النظام.
وقالت خبيرة الخصوصية (تهيلا شوارتز ألتشولر) Tehilla Shwartz Altshuler: إن NSO أخبرتها أنه تم الحصول على البيانات من وسطاء البيانات، الذين يبيعون الوصول إلى المجموعات الضخمة من بيانات الموقع الإجمالية التي تم جمعها من التطبيقات المثبتة عبر ملايين الهواتف.
ونشر الباحثون في Forensic Architecture، وهي وحدة أكاديمية في جامعة لندن تدرس وتفحص انتهاكات حقوق الإنسان، نتائجهم، وخلصوا إلى أن البيانات المكشوفة كانت تستند على الأرجح إلى البيانات الحقيقية للموقع.
وقال الباحثون: إذا كانت البيانات حقيقية، فإن NSO انتهكت خصوصية 32000 فرد في عدة دول.
وحلل الباحثون عينة من بيانات الموقع المكشوفة من خلال البحث عن الأنماط التي توقعوا رؤيتها مع بيانات موقع الأشخاص الحقيقيين، مثل: تركيز الأشخاص في المدن الكبرى وقياس الوقت الذي يستغرقه الأفراد للسفر من مكان إلى آخر.
ووجد الباحثون أيضًا المخالفات المكانية التي من شأنها أن ترتبط ببيانات حقيقية، مثل: الأنماط الناتجة عن الهاتف الذي يحاول تحديد موقعه بدقة عندما يتم إعاقة خط الرؤية إلى القمر الصناعي بواسطة المباني الشاهقة.
وقال الباحثون: إن مجموعة البيانات على الأرجح ليست بيانات وهمية ولا يتم إنشاؤها بواسطة الحاسب، بل تعكس حركة الأفراد الفعليين، ربما من شركات الاتصالات أو مصدر آخر.
ونشأت البيانات على الأرجح من تطبيقات الهاتف التي تستخدم مزيجًا من بيانات GPS المباشرة والشبكات اللاسلكية القريبة وأجهزة الاستشعار المدمجة بالهاتف لمحاولة تحسين جودة بيانات الموقع.
ورفضت NSO نتائج الباحثين، وقالت: لم نر الفحص المفترض وعلينا أن نتساءل كيف تم التوصل إلى هذه الاستنتاجات، ومع ذلك، لم تكن المواد التجريبية مبنية على بيانات حقيقية تتعلق بأفراد مصابين بفيروس كورونا.
وأضافت: نظام Fleming هو أداة تحلل للبيانات المقدمة من المستخدمين لمساعدة صانعي القرار في مجال الرعاية الصحية خلال هذه الجائحة العالمية، ولا تجمع NSO أي بيانات للنظام، ولا تمتلك NSO أي وصول إلى البيانات التي تم جمعها.
وروجت NSO، وهي شركة تشتهر ببيع الحكومات الوصول إلى برنامج التجسس Pegasus، في وقت سابق من هذا العام لنظامها، الذي يهدف إلى مساعدة الحكومات على تتبع انتشار فيروس كورونا.
وتم تصميم Fleming للسماح للحكومات بتغذية بيانات الموقع من شركات الهواتف المحمولة لتصور وتتبع انتشار الفيروس.
وقدمت NSO عرضًا توضيحيًا لتقنية Fleming لعدة منافذ إخبارية، التي تقول NSO: إنها تساعد الحكومات في اتخاذ قرارات الصحة العامة دون المساس بالخصوصية الفردية.
واكتشف باحث أمني في شهر مايو قاعدة بيانات مكشوفة تخزن الآلاف من نقاط بيانات الموقع التي استخدمتها NSO لتوضيح كيفية عمل Fleming.
وأبلغ الباحث الشركة بهذا الأمر، التي قامت بتأمين قاعدة البيانات، لكنها قالت: إن بيانات الموقع لا تستند إلى بيانات حقيقية.
ويختلف ادعاء NSO بأن بيانات الموقع لم تكن حقيقية عن التقارير الواردة في وسائل الإعلام، التي قالت: إن NSO قد استخدمت بيانات الموقع التي تم الحصول عليها من وسطاء البيانات من أجل تدريب النظام.
وقالت خبيرة الخصوصية (تهيلا شوارتز ألتشولر) Tehilla Shwartz Altshuler: إن NSO أخبرتها أنه تم الحصول على البيانات من وسطاء البيانات، الذين يبيعون الوصول إلى المجموعات الضخمة من بيانات الموقع الإجمالية التي تم جمعها من التطبيقات المثبتة عبر ملايين الهواتف.
ونشر الباحثون في Forensic Architecture، وهي وحدة أكاديمية في جامعة لندن تدرس وتفحص انتهاكات حقوق الإنسان، نتائجهم، وخلصوا إلى أن البيانات المكشوفة كانت تستند على الأرجح إلى البيانات الحقيقية للموقع.
وقال الباحثون: إذا كانت البيانات حقيقية، فإن NSO انتهكت خصوصية 32000 فرد في عدة دول.
وحلل الباحثون عينة من بيانات الموقع المكشوفة من خلال البحث عن الأنماط التي توقعوا رؤيتها مع بيانات موقع الأشخاص الحقيقيين، مثل: تركيز الأشخاص في المدن الكبرى وقياس الوقت الذي يستغرقه الأفراد للسفر من مكان إلى آخر.
ووجد الباحثون أيضًا المخالفات المكانية التي من شأنها أن ترتبط ببيانات حقيقية، مثل: الأنماط الناتجة عن الهاتف الذي يحاول تحديد موقعه بدقة عندما يتم إعاقة خط الرؤية إلى القمر الصناعي بواسطة المباني الشاهقة.
وقال الباحثون: إن مجموعة البيانات على الأرجح ليست بيانات وهمية ولا يتم إنشاؤها بواسطة الحاسب، بل تعكس حركة الأفراد الفعليين، ربما من شركات الاتصالات أو مصدر آخر.
ونشأت البيانات على الأرجح من تطبيقات الهاتف التي تستخدم مزيجًا من بيانات GPS المباشرة والشبكات اللاسلكية القريبة وأجهزة الاستشعار المدمجة بالهاتف لمحاولة تحسين جودة بيانات الموقع.
ورفضت NSO نتائج الباحثين، وقالت: لم نر الفحص المفترض وعلينا أن نتساءل كيف تم التوصل إلى هذه الاستنتاجات، ومع ذلك، لم تكن المواد التجريبية مبنية على بيانات حقيقية تتعلق بأفراد مصابين بفيروس كورونا.
وأضافت: نظام Fleming هو أداة تحلل للبيانات المقدمة من المستخدمين لمساعدة صانعي القرار في مجال الرعاية الصحية خلال هذه الجائحة العالمية، ولا تجمع NSO أي بيانات للنظام، ولا تمتلك NSO أي وصول إلى البيانات التي تم جمعها.