揭秘！美军秘密采购大规模监控工具，可窥探任意公民网络数据

前情回顾·大数据新安全

• 美国执法部门命令在线旅行社长期监视俄罗斯黑客行踪

• 上帝视野！美企监视全球数十亿台手机，实时观测俄军/CIA特工动向

• 1.7亿元！FBI重金采购社交媒体开源情报，支持监控中文微博

• 揭秘：美国幕后控制密码设备公司窃听全球上百国家数十年

安全内参9月23日消息，美国参议员罗恩·怀登在周三的一封信中称，有多个军事情报办公室向数据经纪机构付费访问互联网流量日志，这可能会暴露美国公民的在线浏览历史。该消息援引了一位主动联络其办公室的匿名举报人的说法。

包括陆军和海军在内，美国国防部内部至少有四个机构，花费了至少350万美元使用一款鲜为人知的数据监控工具。据报道，该工具能够提供海量电子邮件数据及网络浏览活动的访问权限。作为工具开发方，佛罗里达州安全公司Team Cymru声称，其产品能为客户提供“互联网上的绝大多数活动”，对超过90%的互联网流量提供“可见性”。

外媒Vice报道称，怀登参议员与美国公民自由联盟敲响警钟，矛头直指这项不为人知的政府采购。对于美国国防部具体如何使用该工具，目前仍无法确定。怀登写道，“该工具能够展示民众的个人身份，以及人们在网上的阅读内容等极其敏感的信息。”虽然尚无证据，但此次采购至少代表政府机构可能绕过宪法保护，从见不得光的数据经纪机构和其他私营企业那边获取数据。

怀登周三致信国防部、司法部和国土安全部的监察长，敦促他们对各自机构购买数据的行为开展调查，并称他已确认“有多个政府机构在未经司法授权的情况下，购买美国公民数据”。

内部人士举报美军采购公民网络数据，可穿透VPN追踪个人

怀登表示，一名军方的举报人来到他的办公室，针对“整个指挥系统上下”提出了一系列正式指控。从指控内容来看，似乎是暗示海军刑事调查局（NCIS）在未拿到搜查令的情况下，以交易方式购买了网络流量数据（netflow）。

作为美国参议院财政主席兼特别情报委员会长期成员，怀登说，“根据举报人的说法，NCIS是从Team Cymru公司购买到的数据访问权，其中包括网络流量记录和部分通信内容。Team Cymru是一家数据经纪机构，我之前曾经调查过他们的数据销售情况。”

网络流量记录（netflow）包含用户接入过哪些服务器，一般足以推断出他们在访问哪些特定网站。日志还可能包含发送或接收的数据量，以及用户访问网站的时间。

外媒Vice曾在2021年8月报道称，威胁情报厂商Team Cymru正与互联网运营商合作，获取对网络流量记录的访问权限。Team Cymur当时还曾通知过参议员办公室，表示从第三方处获得了“网络流量数据，用以提取威胁情报”。

Vice当时援引某匿名消息人士的说法，称Team Cymru的客户可以访问一个数据集。通过该数据集，他们可以“对几乎任何IP执行查询，选择一个时间段拉取目标IP的网络流量。”

据报道，Team Cymru甚至能够穿透虚拟专用网络（VPN）实现流量跟踪，许多用户使用VPN来保护上网隐私。

根据怀登的说法，公开合同记录证实，军方使用了一种名为Augury的工具。该工具“从全球500多个收集点”汇聚了“PB级别”的网络数据。其每天至少会收集“1000亿条新记录”，包括电子邮件和网络浏览数据。

怀登表示，该工具由外包商Argonne Ridge Group提供，而这家公司跟Team Cymur有着“相同的公司地址”和“相同的公司高管”。他还补充称，Argonne已经跟美国网络司令部、陆军、FBI及特勤局签订了服务合同。

信中还提到了国防情报局、国防反情报与安全局以及美国海关与边境保护局（CBP）等机构。怀登正在对这项政府采购案开展持续调查。

公民自由联盟表示担忧，要求提高采购使用透明度

这一事件引发了美国公民自由联盟等主要权利组织的担忧。该联盟在采访中指出，有必要以更高的透明度关注政府机构如何使用这些信息。

美国公民自由联盟国家安全项目副主任帕特里克·图米（Patrick Toomey）在采访邮件中提到，“网络浏览记录能揭示出我们的身份、在网上阅读了哪些内容等高度敏感的信息。我们需要更透明的了解军事和执法机构如何使用这些未经授权获得的私人信息。”

Team Cymru公司一位发言人表示，关于该公司签订合同的报道“并不属实而且具有误导性”，对其软件功能的“指控”也“毫无根据”。（但他们没有具体解释哪些说法有误，也没有提供更进一步的更正细节。）

海关与边境保护局和FBI的发言人没有立即回应置评请求。军方一位发言人则将所有问题移交给国防部监察长办公室，据称稍后会做出回复。

多位议员要求公布采购细节，以确定是否侵犯公民隐私

此次事件之际，已经有多位联邦议员努力调查美国政府在未授权情况下获取数据的行为。上个月，美国众议院两位民主党人杰罗德·纳德勒（Jerrold Nadler）和本尼·汤普森（Bennie Thompson）要求FBI和国土安全部公布涉嫌购买数据的细节，据称这些细节足以揭示用户的网络浏览活动和精确位置。

虽然2018年最高法院已经裁定，政府不得在没有搜查令的情况下获取敏感位置数据，但部分政府机构仍故意收窄该裁定的适用范围，力图将商业购买的数据剔除在“获取”的范畴之外。换句话说，美国政府其实一直在围绕宪法第四修正案想办法钻空子。

想要摆脱束缚的还不只是联邦政府机构。上周五，众议员安娜·艾舒（Anna Eshoo）要求联邦贸易委员会调查新近发现的Fog Reveal警察软件。这款软件能帮助执法机构描绘出美国民众“之前几个月”的活动轨迹。该服务并不依赖于网络流量数据，而是从数百款消费级应用程序处收集据称用于广告目的的位置数据。

艾舒强调，“消费者自己并没意识到，当他们在手机上下载并使用这些免费应用时，很可能也同时丧失了宪法第四修正案赋予他们的权利。如果明确提出这种选择，大多数消费者恐怕都不会愿意接受。但从功能上讲，现实情况就是人们已经广泛接受了这一切。”

参考资料：https://gizmodo.com/ncis-whistleblower-military-data-broker-cymru-wyden-1849564984?scrolla=5eb6d68b7fedc32c19ef33b4

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。