“反向搜索”:美國警方竊取科技公司私人數據的狡猾手段


美國警察部門越來越多地依賴於一種有爭議的監控做法,即要求科技公司提供大量用戶數據,目的是識別犯罪嫌疑人。所謂的"反向"搜索允許執法部門和聯邦機構強迫Google等大型科技公司交出其龐大的用戶數據存儲中的信息。

geofence-warrants.jpeg

這些命令並不是Google獨有的,任何可以訪問用戶數據的公司都可以被強制要求交出這些數據,但這傢搜索巨頭已經成為警方要求訪問其用戶信息數據庫的最大受惠者之一。

例如,當局可以要求科技公司根據手機定位,交出每個人在特定時間出現在特定地點的信息,或者每個人搜索特定關鍵詞或查詢的信息。最近披露的一份法庭命令顯示,當局能夠獲取觀看某些 YouTube 視頻的每個人的身份信息。

反向搜索實際上是對科技公司的用戶數據存儲進行數字拉網式搜索,以捕捉警方正在尋找的信息。

公民自由倡導者認為,這類經法院批準的命令過於寬泛且違憲,因為它們還可能迫使公司交出與被控罪行毫無關聯的完全無辜的人的信息。批評者擔心,這些法院命令會允許警方根據人們的去向或他們在互聯網上搜索的內容對其進行起訴。

到目前為止,甚至連法院也無法就這些命令是否符合憲法達成一致,這就為美國最高法院可能面臨的法律挑戰埋下伏筆。

與此同時,聯邦調查人員已經在進一步推動這種有爭議的法律行為。在最近的一起案件中,檢察官要求Google交出所有訪問過某些 YouTube 視頻的人的信息,以追查一名洗錢嫌疑人。

去年向肯塔基州一傢聯邦法院提交的一份最近解封的搜查申請顯示,檢察官希望Google"提供與Google賬戶或 IP 地址在 2023 年 1 月 1 日至 2023 年 1 月 8 日一周內訪問 YouTube 視頻相關的記錄和信息"。

搜查申請稱,作為秘密交易的一部分,洗錢嫌疑人與調查人員分享一個 YouTube 鏈接,調查人員又發回兩個 YouTube 鏈接。這三個視頻在申請搜索時總共獲得約 2.7 萬次瀏覽。盡管如此,檢察官仍要求Google共享在那一周內觀看過這三個YouTube視頻的每個人的信息,這很可能是為縮小個人名單,以確定他們的頭號嫌疑人,檢察官推測此人瀏覽過這三個視頻中的部分或全部內容。

與傳統的搜查令相比,這種特殊的法院命令更容易被執法部門獲得,因為它尋求的是獲取關於誰訪問視頻的連接日志,而不是法院可以用來要求科技公司交出某人私人信息內容的更高標準的搜查令。

肯塔基州聯邦法院批準密封的搜索令,在一年內禁止公開發佈。直到上個月法院命令到期時,Google才被禁止公開這一要求。福佈斯》最先報道法院命令的存在。

目前尚不清楚Google是否遵守這一命令,Google發言人也拒絕透露。

斯坦福大學互聯網觀察站的研究學者 Riana Pfefferkorn 說,這是一個"完美的例子",說明為什麼公民自由倡導者長期以來一直批評這類法院命令能夠允許警方獲取人們的侵入性信息。

在談到最近針對 YouTube 用戶的命令時,Pfefferkorn 說:"政府實質上是在誘導 YouTube 成為一個蜜罐,讓聯邦調查局通過三角測量誰在特定時間段內瀏覽過相關視頻來抓捕犯罪嫌疑人。但是,通過要求提供所有瀏覽過這三個視頻中任何一個視頻的人的信息,調查還可能涉及到其他數十或數百名沒有不法嫌疑的人,就像地理定位的反向搜索令一樣。"

反向搜索法院令和搜查令主要是Google自己制造的問題,部分原因是這傢科技巨頭長期以來收集大量的用戶數據,如瀏覽歷史、網絡搜索,甚至是細粒度的位置數據。執法部門意識到科技巨頭掌握著大量的用戶位置數據和搜索查詢數據,因此開始成功說服法院批準對科技公司數據庫進行更廣泛的訪問,而不僅僅是針對個人用戶。

法院授權的搜查令允許警方要求科技公司或電話公司提供調查人員認為與已發生或即將發生的犯罪有關的人的信息。但是,警方越來越多地要求從"幹草堆"中獲取大塊信息--即使其中包括無辜者的個人信息--來篩選線索,而不是通過大海撈針的方式來尋找嫌疑人。

執法部門還可以利用這一技術,要求Google交出能識別在特定時間和地點出現的每個人的數據,或每個在互聯網上搜索特定問題的用戶的數據。

人們通常所說的"地理圍欄令"允許警方在地圖上圍繞犯罪現場或感興趣的地方畫出一個形狀,並要求Google數據庫提供大量位置數據,這些數據涉及在某個時間點處於該區域的任何人的手機。

警方還可以使用所謂的"關鍵字搜索"授權令,這種授權令可以識別在一段時間內搜索過某個關鍵字或搜索詞的每個用戶,通常是為找到犯罪嫌疑人提前研究其可能犯罪的線索。

由於Google存儲全球數十億人的細粒度位置數據和搜索查詢,因此這兩種逮捕令都能發揮有效作用。

執法部門可能會為這種監控收集技術辯護,因為它甚至能夠抓住最難以捉摸的犯罪嫌疑人。但是,很多無辜的人卻誤入這些調查的陷阱--在某些情況下是犯罪嫌疑人--僅僅因為他們的手機數據似乎顯示他們就在涉嫌犯罪的現場附近。

盡管Google盡可能多地收集用戶數據的做法使該公司成為反向搜索令的主要目標和主要接收者,但它並不是唯一一傢受制於這些有爭議的法院命令的公司。任何存儲可讀用戶數據的科技公司,無論規模大小,都有可能被強制向執法部門移交數據。微軟、Snap、Uber 和雅虎都收到過用戶數據反向搜查令。

一些公司選擇不存儲用戶數據,另一些公司則對數據進行加密處理,使用戶以外的任何人都無法訪問這些數據。這就防止公司交出他們沒有或無法訪問的數據--尤其是當法律一天天發生變化時,比如美國最高法院推翻憲法規定的墮胎權。

Google方面正在通過轉移其存儲用戶位置數據的位置,緩慢終止其對地理圍欄令的響應能力。Google將很快開始直接在用戶設備上存儲位置數據,而不是將大量用戶的精確位置歷史數據集中在服務器上,這樣警方就必須直接向設備所有者索取數據。盡管如此,Google至今仍對接收搜索指令敞開大門,這些指令要求Google提供用戶的搜索查詢和瀏覽歷史信息。

但是,正如Google和其他公司所發現的那樣,公司避免交出客戶數據的唯一辦法就是從一開始就不擁有這些數據。


相關推薦

2022-06-28

夥,半年獲利3000餘萬元——澎湃新聞6月28日從浙江餘姚警方獲悉,當地警方打掉一條新型侵犯公民個人信息的黑灰產業鏈,在多個省份抓獲嫌疑人35名,其中27人已因涉嫌侵犯公民個人信息罪、幫助信息網絡犯罪活動罪、詐騙罪

2022-11-11

前法國國傢憲兵隊在歐洲刑警組織的歐洲網絡犯罪中心、美國聯邦調查局和加拿大皇傢騎警的幫助下開展調查。歐洲刑警組織說,在逮捕過程中,警方查獲8臺電腦、32個外部硬盤和價值40萬歐元的加密貨幣。這次逮捕是繼去年10

2023-11-23

者在公共機構或企業通常關門的非工作時間操作鉆機。在美國,至少有一個突出的案例,就是在公共機構非法、秘密地安裝另一個加密礦機。這起案件讓我們解到一臺設備可以竊取多少電力。今年早些時候,在馬薩諸塞州一所高

2022-07-01

道”。何延哲表示,超星學習通方面聲稱已經報警,如果警方有證據證明是學習通泄密,那超星學習通就違反瞭個人信息保護法律法規,如果企業的安全措施沒做到位導致個人信息遭受侵犯,此前又沒有告知用戶采取修改密碼等

2022-10-05

為NetWalker勒索軟件網絡的重要骨幹,據信他在那裡對一些美國公司和至少17個加拿大實體進行勒索操作。根據他的LinkedIn個人資料,Vachon-Desjardins在加拿大擔任公共工程和政府服務部門的IT顧問,之前他在2021年1月被加拿大警方逮

2022-10-17

有害的,很有可能加劇種族偏見和侵犯 DNA 數據庫隱私。美國電子隱私信息中心的全球隱私顧問 Callie Schroeder 就轉發該推文,並對 3D 人像的實用性提出質疑:如果你看到這條消息,你會如何思考?難道懷疑看到的每個身高 1.63 米

2022-08-16

AirTag,此前已經有非常多的故事。而今天介紹的是發生在美國佛羅裡達州的一起調查時間。上周奧卡盧薩縣治安辦公室宣佈,利用AirTag成功逮捕一名竊取乘客行李箱的機場工作人員。奧卡盧薩縣治安辦公室發佈的聲明中,有一名

2022-08-29

出到底有哪些公司受到影響,僅稱其中至少有 114 傢位於美國、或在美設有分支機構的企業 —— 其中 IT、軟件開發和雲服務公司成為 0ktapus 釣魚攻擊的首要目標。安全研究人員推測攻擊者位於北卡羅來納州周四的時候,Okta 也在

2022-07-03

戶信息泄露事件層出不窮,比如劍橋分析公司通過Facebook竊取瞭8700萬用戶的私人信息,Google+平臺存在的漏洞導致近5000多萬個用戶的信息面臨泄露風險,國內一傢大型酒店集團5億條個人信息被放在暗網上售賣……“在互聯網上,

2023-02-08

WhisperGate惡意軟件網絡攻擊的幕後黑手,以一種新的信息竊取惡意軟件為手段攻擊烏克蘭實體。賽門鐵克的威脅獵手團隊將這一活動歸因於一個與俄羅斯有關的網絡威脅行為者,它之前被稱為TA471(或UAC-0056),自2021年初以來一

2022-07-02

後來,謀殺指控被駁回。對她不利的證據,包含她的在線搜索歷史中,包括如何誘導流產,以及如何在網上購買墮胎藥。辛西婭在她的論文中寫道:“費舍爾的數字數據為檢察官提供瞭一扇‘瞭解其靈魂的窗口’,以證實他們的

2023-05-17

竊取關鍵的蘋果汽車相關信息並將其轉發給中國公司。在美國司法部分享的一份起訴書[PDF]中,Wang因在2016年至2018年期間秘密獲取蘋果汽車數據而被指控犯有六項竊取商業秘密罪。Wang在蘋果公司工作期間曾在註釋團隊工作,研究

2022-08-13

數據保護條例》(GDPR)今年迎來六周年。然而多年來,美國全面的數據隱私立法一直停留在國會的待辦事項清單上。最近,美國國會推出的《美國數據隱私和保護法案》(ADPPA),仍舊存在許多分歧。美國信息技術與創新基金會

2024-03-07

美聯社報道,美國司法部周三表示,Google公司的一名前軟件工程師被指控竊取該公司的人工智能技術,同時與兩傢位於中國的公司秘密合作。中國公民丁林葳(音譯)因四項聯邦商業機密盜竊罪在加利福尼亞州紐瓦克市被捕,每