Oglaševalski kompromat podjetij za kibernetsko vohunjenje

Leta 2021 je Jeffrey Burrill, ameriški katoliški duhovnik in generalni sekretar ameriške škofovske konference, odstopil iz svoje funkcije v cerkvi. Razlog? Katoliški medij The Pillar je objavil informacijo, da je duhovnik prekršil zapoved celibata, saj naj bi na telefonu uporabljal gejevske aplikacije in obiskoval gejevske bare in kopališča. A kako je medij pravzaprav sploh dobil podatke s katerimi je duhovnika kompromitiral? No, tukaj se zgodba šele dobro začne.

Izkazalo se je namreč, da so bili duhovnikovi podatki pridobljeni iz komercialno dostopnih baz. Medij The Pillar je iz komercialno dostopnih baz pridobil njegove podatke o uporabi aplikacij za zmenke med geji, pa tudi lokacijske podatke njegovega mobilnega telefona in brskalne navade, s čimer so odkrili, da je obiskoval gejevske bare in gejevska kopališča.

Podatki so bili pridobljeni iz sistema RTB (Real-Time Bidding). Gre za, preprosto povedano, sistem oglaševanja na spletu, ki omogoča avtomatizirano nakupovanje in prodajo oglasnega prostora v realnem času. Pri čemer pa ta sistem omogoča predvsem natančno ciljanje oglaševalskih akcij. Oglaševalci namreč lahko oglase usmerijo na zelo natančno definirane skupine ljudi, glede na želeno demografijo, lokacijo, njihove vedenjske podatke, itd. Svoje RTB sisteme oglaševalcem ponujajo številna velika tehnološka podjetja, kot so Google, Facebook, Amazon, Microsoft, itd., kot oglaševalec pa jih lahko zakupi kdorkoli. A o tem nekoliko več kasneje.

Izkazalo se je, da ta dogodek sploh ni bil osamljen primer. V ozadju tovrstnega vohunjenja za katoliškimi duhovniki je bila namreč konzervativna katoliška organizacija Catholic Laity and Clergy for Renewal, ki je investirala kar 4 milijone dolarjev v preverjanje, ali se katoliški duhovniki držijo zapovedi celibata. In tiste, ki so jih dobili grešiti, so preko medijev javno pribili na križ. Za identifikacijo Jeffreya Burrilla so potrebovali za 52 tednov RTB podatkov, nakar je bila njegova usoda zapečatena.

Zbiranje oglaševalnih podatkov na spletu

RTB sistem posameznike kategorizira na podlagi različnih podatkov, v grobem pa gre za obsežno zbirko demografskih podatkov (ki vključujejo spol, starost, izobrazbo, poklic, pa tudi informacije o družinskem stanju, itd.), podatkov o vedenju uporabnikov na spletu (iskalna zgodovina, kliki,…), posameznikove nakupne navade, lokacijske podatke (telefone vedno nosimo s seboj), podatke o uporabnikovih napravah (znamka pametnega telefona, tablice ali računalnika, operacijski sistem in spletni brskalnik,…) in še marsikaj drugega.

Na podlagi zbranih podatkov se nato v ozadju izvede obsežna segmentacija uporabnikov. Uporabnike sistem razvrsti v različne kategorije, kot na primer “Zaposleni v letalski industriji”, “Družinski član zaposlenega v vojski”, “Javni uslužbenec - izvoljeni funkcionar”, pa seveda tudi “Televizijski novinar” ali “Duhovnik”. Vsako od teh kategorij pa je nato mogoče razdeliti še na podkategorije, pač glede na njihove interese, vedenjske vzorce, demografske podatke, itd.

Bi želeli prikazati oglas zaposlenim v občinski upravi na območju Slovenije, ki so ženskega spola, stare med 20 in 30 let ter obiskujejo spletne strani z zdravo prehrano? Ni problema. Z nekaj kliki, bo vaš ciljani oglas dosegel točno to skupino uporabnic. Kaj pa če bi želeli vaš oglas prikazati duhovnikom iz Francije, ki obiskujejo gejevske spletne strani in so mlajši od 40 let? Kot smo videli, tudi to ni kakšen večji problem.

Seveda ni dvoma, da so RTB podatki zelo koristni za oglaševalce. Po drugi strani pa je jasno, da vsebujejo zelo občutljive informacije o posameznikih, vključno z lokacijskimi podatki, kaj na spletu berejo, gledajo ali poslušajo, kakšni so njihovi seksualni interesi, iz zbranih podatkov pa se da sklepati tudi na njihove osebne težave.

Kaj pa anonimnost?

Ob tem se seveda takoj zastavi vprašanje, koliko so ti podatki pravzaprav anonimni. Oglaševalci seveda trdijo da še kar, saj da so podatki anonimizirani in je zato z njimi praktično nemogoče identificirati konkretne posameznike.

Resnica pa je precej bolj preprosta. Raziskovalci iz University of Washington so namreč že leta 2017 pokazali, da je za samo 1000 ameriških dolarjev s pomočjo oglaševalskih podatkov mogoče spremljati fizično gibanje konkretnega posameznika ter uporabo občutljivih mobilnih aplikacij (na primer tistih, ki kažejo na religijo ali spolno usmerjenost posameznika). Raziskovalci Paul Vines, Franziska Roesner in Tadayoshi Kohno so si namreč v članku Exploring ADINT: Using Ad Targeting for Surveillance on a Budget — or — How Alice Can Buy Ads to Track Bob zastavili raziskovalno vprašanje: “Ali lahko tretja stran s pomočjo kupovanja spletnih oglasov pridobi zasebne informacije o konkretnih posameznikih?”. In prišli do nedvoumnega odgovora: da, to je vsekakor mogoče. In niti ne preveč zapleteno.

Pri tem pa ni nepomemben podatek, da je RTB tehnologija aktivna na praktično vseh spletnih straneh in mobilnih aplikacijah, kjer zbira dobesedno ogromne količine osebnih podatkov o uporabnikih. Trenutno je največji Googlov RTB sistem, ki je aktiven na 15,6 milijona spletnih straneh in na milijone mobilnih aplikacijah, podatke o tem kaj uporabniki počnejo na spletnih straneh in kako uporabljajo mobilne aplikacije pa prenaša 42 milijardokrat(!) na dan. In to vsak dan. Pri čemer je Google “odgovoren” za samo 21% RTB prenosov v EU. Konkretno ti podatki pomenijo, da bodo RTB omrežja o povprečnemu nemškemu uporabniku zbrala podatke enkrat na minuto, spletne aktivnosti in lokacije povprečnega uporabnika v Franciji pa bodo v RTB omrežja posredovana 340-krat na dan. Podatki za Slovenijo kažejo, da je teh posredovanj za povprečnega slovenskega uporabnika 233 na dan.

AdInt

Zgodba pa se tukaj ne konča, ampak pravzaprav šele dobro začne.

Septembra letos je izraelski medij Haaretz objavil članek, v katerem so razkrili, da so izraelska podjetja, ki razvijajo in tržijo tehnologije za kibernetsko vohunjenje, razvila tehnologijo, ki s pomočjo zlorabe globalnega oglaševalskega sistema omogoča vohunjenje za praktično komerkoli na svetu. Izraelska podjetja naj bi razvila tehnologijo vohunjenja s pomočjo oglasov, tim. AdInt (angl. advertising-based intelligence), ki naj bi omogočala ne samo spremljanje posameznikov, pač pa tudi vdore v njihove telefone in računalnike. Po trditvah Haaretza naj proti temu ne bi obstajala nikakršna obramba, tehnologijo pa naj bi v času objave članka vsaj eno izmed identificiranih podjetij (z imenom Insanet) že prodalo v eno izmed nedemokratičnih držav. Denar pač ne pozna meja.

Haaretz o tem v mesecu septembru ni objavil kaj dosti tehničnih podrobnosti, njihov članek pa je šel mimo javnosti razmeroma neopazno. Varnostni strokovnjaki s(m)o že takrat sklepali, da Izraelci oglaševalska omrežja uporabljajo tako kot sistem za identifikacijo tarč, ter kot dostavni sistem za dostavo zlonamerne programske opreme na telefone. Ko na telefon uspejo preko ozko ciljanega oglaševanja namestiti vohunsko opremo tipa Pegasus ali Predator, pa o tarči lahko izvejo praktično vse. Od tega kje točno se oseba giblje, s kom in kaj se pogovarja, kakšna elektronska sporočila piše, kakšna gesla ima, ter seveda pridobi kopije fotografij in dokumentov iz njenega telefona. Ali pa računalnika.

Patternz

Potem pa je septembra letos Irish Council for Civil Liberties objavil poročilo Europe’s hidden security crisis v katerem je razkril še dodatne razsežnosti tovrstnega nadzora.

V poročilu so razkrili kako zasebna podjetja, ki prodajajo storitve kibernetskega nadzora in vohunjenja uporabljajo (oziroma pravilneje: zlorabljajo) RTB podatke. Dostop do RTB podatkov ima namreč praktično kdorkoli. RTB podatki se brez ovir iznašajo v države kot so Kitajska in Rusija. Seveda ne neposredno vladnim agencijam, jih pa dobivajo zasebna podjetja iz teh držav, kaj potem ta podjetja počnejo s kupljenimi podatki pa si lahko le mislimo. Kot navaja Irish Council for Civil Liberties, ruska podjetja od Googla kupujejo med drugim tudi profile ruskih uporabnikov interneta, ki obiskujejo spletne strani ruske opozicije v tujini.

Dostop do podatkov imajo tudi zasebna podjetja, ki se ukvarjajo z nadzorom in obveščevalno dejavnostjo. Poročilo tako navaja primere dveh takšnih podjetij, ki sta se registrirali kot tim. oglaševalec (oziroma oglaševalska platforma na strani povpraševanja - Demand Side Platform ali DSP), kar jima omogoča neposredno pridobivanje oglaševalskih podatkov s strani ponudnikov. Podjetje Rayzone tako trži “množično zbiranje podatkov o vseh uporabnikih interneta v državi”, podjetje Near Intelligence pa se hvali s profilnimi podatki o 152 milijonih Evropejcev, vključno z identificirano lokacijo njihovega doma, delovnega mesta in krajev, ki jih pogosto obiskujejo.

Poseben biser pa je zasebno podjetje ISA, Israeli Security Academy & technologies. Podjetje je razvilo orodje Patternz, ki uporablja RTB podatke za profiliranje 5 milijard posameznikov, pri čemer se usmerjajo tudi na otroke svojih tarč. Orodje omogoča pregled nad trenutno in preteklimi lokacijami targetiranega posameznika, podatke o tem s kom se je oseba pogosto srečala, samodejno pa zna identificirati tudi njegove otroke, partnerja, sodelavce in kje se oseba običajno giblje.

In pa seveda - Patternz se je v svojem promocijskem gradivu hvalil, da omogoča tudi ciljane napade na posameznike, in sicer s pomočjo pošiljanja “usmerjenih sporočil, oglasov ali zlonamerne programske opreme neposredno skozi oglasno omrežje”. Poslovno pa je Patternz tesno povezan z izraelskim oglaševalskim podjetjem NUVIAD, ki je registrirano tudi kot DSP in je v letu 2020 pridobivalo RTB podatke od podjetij Google, MobPub (Twitter), AOL/Yahoo, Smaato, OpenX, Amobee, Pulsepoint, Rubicon, Inneractive/Fyber (Digital Turbine), Opera Mediaworks, itd…

A prepletenost oglaševalskega in vohunskega sektorja se tukaj ne konča. Podjetje NUVIAD je povezano tudi z drugimi podjetji, ki se ukvarjajo s kibernetskim vohunjenjem. Leta 2017 se je tako direktor NUVIAD-a pridružil upravnemu odboru izraelskega podjetja Ability, ki je specializirano za ponujanje storitev prestrezanja telefonskih komunikacij. Rešitev Patternz pa trži tudi singapursko podjetje Sovereign Systems. To podjetje je pozornost javnosti pritegnilo leta 2021, ko so mediji razkrili, da je prodalo prisluškovalno opremo Bangladešu, državi, ki nima diplomatskih vezi z Izraelom in ki svojim državljanom celo prepoveduje potovanje v Izrael in poslovanje z izraelskimi podjetji. In kje je podjetje Sovereign Systems dobilo opremo, ki so jo prodali Bangladešu? Seveda v Izraelu, kar je prostodušno priznal kar direktor Sovereign Systems James Moloney, ki je za medije izjavil, da je njegovo podjetje zgolj fasadno podjetje za izraelski PicSix. Izobraževanje bangladeških obveščevalcev so nato leta 2018 izvedli kar izraelski obveščevalni strokovnjaki, in sicer na Madžarskem, pri tem pa so svojim slušateljem demonstrirali prisluškovanje v živo. Seveda brez kakršnekoli pravne podlage in kar na naključno izbranih tarčah na Madžarskem. Ko sta v igri denar in »višji interesi«, človekove pravice pač niso pomembne.

Kompromat

Vprašanje, ki se zastavlja kar samo po sebi pa je, kdo so pravzaprav glavne tarče teh orodij? Kot kaže analiza Irish Council for Civil Liberties, so ena izmed pomembnih tarč evropski politični odločevalci in zaposleni na občutljivih delovnih mestih. To je namreč jasno razvidno iz RTB profilov, ki so na primer: “Osebe zaposlene v obveščevalni dejavnosti in na področju protiterorizma”, “Zaposleni v obrambnem sektorju”, “Osebe odgovorne za javna naročila v letalstvu in obrambi”, “Pripadniki vojske”, “Sodniki” in “Politiki” v Franciji in Nemčiji. Pa “Zaposleni na področju jedrske energije”. In “Odločevalci v političnih organizacijah”. Seveda, v vsaki evropski državi posebej. In tako dalje, in tako naprej. Vse do “Partnerji pripadnikov vojske in člani njihovih družin”.

Pri čemer profiliranje ni samo enodimenzionalno, pač pa se nad zbranimi podatki izvaja tudi tim. psihološko profiliranje. Analitična orodja skušajo identificirati osebe s finančnimi težavami, težavami ali ranljivostmi v duševnem zdravju, spolne preference teh oseb in celo ali so te osebe kdaj v preteklosti doživele spolno zlorabo.

Na tem mestu je čas, da odpremo slovar in v njem poiščemo besedo “kompromat”. Kompromat je okrajšava za “kompromitirajoč material”, torej škodljiva informacija o nekom, ki se lahko uporablja za ustvarjanje negativne publicitete ali za izsiljevanje. Beseda izvira iz ruskega jezika, v javno rabo je prišla v sovjetskih časih, njen točen izvor pa je iz žargona sovjetske tajne policije iz 1930-tih let. Wikipedija podaja precej izčrpno definicijo besede: “zaničevalne informacije, ki jih je mogoče zbirati, shranjevati, z njimi trgovati ali jih strateško uporabljati na vseh področjih: političnem, volilnem, pravnem, strokovnem, sodnem, medijskem in poslovnem”. Ter dodaja, da gre pri tem predvsem za zbiranje informacij na zalogo, za primer, ko bi bile lahko koristne kdaj kasneje.

Če je tudi vam sistem globalnega oglaševanja zadišal po sovjetskih časih, niste edini. In če ste se ob tem spomnili na Stalina, njegovo tajno policijo, čistke in gulage, tudi niste edini.

RTB podatki, ki jih kot kaže sistematično zbirajo določene zasebne organizacije, ki se ukvarjajo s kibernetskim nadzorom in vohunjenjem, lahko najbolj natančno opišemo ravno z besedo kompromat. Še posebej, ker gre za sistematično zbiranje podatkov o finančnem stanju, mentalnem ter fizičnem zdravju, in najbolj intimnih skrivnostih o evropskih voditeljih in zaposlenih v evropski kritični infrastrukturi. To evropske institucije in industrijo izpostavlja hekerskim vdorom, izsiljevanju in kompromitiranju, posledično pa to spodkopava skupno evropsko varnost.

Kaj pa lahko storite vi?

Če se ob tem še vedno tolažite, da ste itak preveč nepomembni, da bi bili lahko tarča takšnega nadzora, in da tako ali tako nimate nič za skrivat, pa se spomnite, da ni potrebno, da bi bili v kategoriji političnih odločevalcev ali zaposlenih v kritični infrastrukturi. Dovolj je, da je ena izmed “oseb interesa” vaš sodelavec, prijatelj ali sosed. Ali pa njegov sin obiskuje isti vrtec kot vaša hčerka. In sploh ni nujno, da je ta oseba visok politični funkcionar, sodnik ali direktor kakšnega strateškega podjetja. Lahko je zgolj zadolžen za javna naročila, ali pa ima zaradi svoje funkcije dostop do kakšne zanimive informacije.

Morda ste sedaj pomislili, da bi bilo vseeno pametno pobrisati zgodovino svojega spletnega brskalnika? Naj vam razkrijemo skrivnost. Za to je že zdavnaj prepozno. Oglaševalska omrežja so si bolj od vas zapomnila zgodovino vašega brskanja, katere aplikacije uporabljate in kje ste se fizično gibali v preteklosti. Na to, ali bodo vaši podatki našli pot do obveščevalnih podjetij ali tajnih služb, pa tudi ne morete vplivati. Duh je že ušel iz steklenice. Upate lahko samo da se vam ne bo zgodilo podobno kot tistemu nesrečnemu duhovniku iz začetka tega članka.

English version of this text is also available.