美国执法部门命令在线旅行社长期监视俄罗斯黑客行踪
关注我们
带你读懂网络安全
美国政府的一批公开文件,首次揭露了该国执法部门长期通过私营公司监视国际公民行踪的秘密监视活动。
前情回顾
安全内参消息,美媒福布斯援引法律申请了一批政府公开文件,首次揭露了美国政府通过私营公司监视国际公民行踪的秘密监视令活动。
美国的Sabre和英国的Travelport是两家世界级大型旅游公司,把持着中国和俄罗斯之外的全球旅游预订市场。
几十年来,这两家公司一直在通过所谓的“全球分销系统”(GDS)收集和储存国际游客的信息,帮助游客在各大航空公司、邮轮公司、汽车租赁公司和酒店完成旅游预定。这些蕴含着巨大价值的数据显然引起了美国执法部门的注意。
布尔科夫案
阿历克谢・布尔科夫(Aleksei Burkov)是一名俄罗斯黑客。美国政府认为他经营的Cardplanet网站涉嫌协助他人使用被盗信用卡获利2000万美元,因此于2015年责成特勤局对其进行追捕。
但莫斯科与华盛顿之间没有签署引渡协议。这意味着只能趁逮捕布尔科夫离开俄罗斯的时候将其逮捕,所以美国执法部门想起了Sabre和Travelport经手与使用的旅行数据。
在2015年发布的一份法庭令中,美国特勤局要求Sabre和Travelport公司对布尔科夫的旅行情况进行持续两年的监视(美方称之为“完整的实时同步账户活动”,主要监视目标账户的记录、服务、使用等情况),并向特勤局每周报告一次监视所得结果。根据福布斯的披露,Sabre公司此前还对另外一名黑客进行过此类监视。但那次持续时间仅为六个月,远远短于布尔科夫的两年。
图:布尔科夫在以色列被捕
Sabre和Travelport公司的监视效果如何目前并不清楚。但布尔科夫确实在法庭令发布后不久的2015年12月被捕。当时他刚刚在特拉维夫度过了几周假期。不过,官方始终没有公布他是如何被追踪到在以色列旅游的。美国司法部也三缄其口,未就此事提供更多信息。
尽管俄罗斯一再阻挠,但以色列还是于2019年末把布尔科夫引渡到美国。2020年6月,布尔科夫被美国政府以伪造和网络入侵等罪名判处108个月徒刑。
但奇怪的是,他在美国服刑至2021年9月便被莫名其妙地送回俄罗斯。尽管有议员担心布尔科夫回到俄罗斯后会为俄政府工作,从事有损美国利益的网络活动,但美国司法部至今也未向外界解释当时为什么会把他送回俄罗斯。
涉事公司不愿直面监视话题
卷入布尔科夫案的Sabre和Travelport两家公司显然不愿意正面回答是否遵从了美国政府发布的监视令。
Saber公司发言人只是泛泛地表示本公司会在法律允许的范围内对合法程序进行回应。“保护Sabre用户的数据以及遵守法律是我们必须严肃承担起来的义务,”他说。
Travelport公司则声称,本公司并未执行过对特定人员的监视任务。“Travelport公司一向遵守合法渠道发出政府法令,但从未对任何个人进行过主动监视,”公司发言人说。与此同时,Travelport公司没有澄清可以在政府要求下提供何种类型的数据。
(本文刊出后,Travelport公司声称游客信息将在最后一次旅游交易完成36个月后予以删除。并表示通过公司掌握的数据记录只能看出游客在哪里做的预定,无法确定该游客是否按照预定进行了旅行。公司发言人说,“Travelport没有向政府部门提供个人数据的惯例,也不会给美国执法部门、情报机构或其他政府部门留下读取数据的后门。”)
在无法得到当事公司正面回应的情况下,外界显然无法确定Sabre和Travelport两家公司是否成了美国特勤局等政府部门的“帮凶”,以及究竟有多少人“享受”过与布尔科夫一样的漫长且非同寻常的监视待遇。
美国官方对涉事公司也持维护态度。司法部公然宣称公众无权查阅根据《全令法案》发出的法令,而且“执法部门需要对此类材料进行持续性封存”。联邦法院发布的一项法庭令支持了司法部的说法,称“出于重要的政策原因”,上述法令应该“按惯例处于保密状态”。
《全令法案》适用性引争议
利用数据收集公司对个人进行监视的合法性源于1789年的《全令法案》(All Writs Act of 1789)。该法案允许政府发布“所有必要并合适的法令”,协助权力部门“出于恰当的司法目的”从实体处获得与特定调查没有直接关联的“非负担”协助并对案件进行调查。
布尔科夫案之前,《全令法案》此前数次被启用,不少大型科技公司都被官方强迫交出“有助于调查”的信息。尤其是谷歌和苹果公司,曾多次被政府要求对嫌疑人的安卓设备或苹果手机进行解锁,以协助联邦部门对犯罪案件进行调查。
2015年,FBI以《全令法案》为依据要求苹果公司解锁一部圣贝纳迪诺枪击案嫌疑人使用的手机未能成功,该法案的启动和使用遂引起外界关注。美国公民自由联盟(ACLU)将这种做法称为“不恰当的使用”,并直斥其有遭到滥用的可能。
“有太多此类法令不为公众所知,” 美国公民自由联盟监视与网络安全顾问珍妮弗・格兰尼克(Jennifer Granick)说。“借助这些公司收集的个人数据进行调查,警方无异于获得了未得到民主程序批准和监管的监视权。”格兰尼克表示,这样的结果是无法想象的——公众对执法部门在何种调查中如何使用手中的权力,以及他们调用数据是否得到批准等等几乎一无所知。所以她认为,收集与过往犯罪活动无关的未来旅行信息“(对人权和个人隐私)有很强的侵犯性,而且很可能遭到滥用”。
基于上述原因,美国公民自由联盟(ACLU)和电子前沿基金会(Electronic Frontier Foundation)的人权活动分子认为《全令法案》不应取得与搜查令和窃听令相同的合法地位,应该依法予以封存。
“征用”民用数据或不会停止
福布斯的调查结果引发舆论争议。批评者认为,政府部门借法庭令之威强迫高技术公司交出受隐私法保护的用户数据“非常过分”,利用这些民用数据进行监视活动更是对人权的秘密侵犯。
Netenrich网络活动分析公司首席威胁分析师约翰・巴姆本尼克(John Bambenek)表示,尽管自己不担心联邦政府借助合法手段获取高技术公司收集的个人隐私数据,但却担心这些海量数据获取者的身份,“担心他们滥用所获得的数据。”
部分法律人士以及其他支持者则认为这种做法值得支持用于罪案调查。
前CIA网络威胁分析师、技术情报官罗莎・斯玛则斯(Ross Smothers)以布尔科夫案为例讲解称,“审阅卷宗后,联邦法官认可了(对布尔科夫采取措施)司法正确性,并发布了授权监视活动的法令。这与流氓政府胡搞乱来地进行未获授权的数据收集行为是完全不一样的。”
尽管毁誉参半,但美国政府显然不愿意放过旅游公司掌握的海量数据。
体量巨大的Sabre、Travelport等公司对全球旅游市场影响巨大,掌握的旅客信息也了达到无法想象的规模。熟悉这两家公司业务的前高级管理人员乔・赫佐格(Joe Herzog)因而表示,从技术角度说,Sabre和Travelport两家公司应要求与政府合作并向执法部门提供数据“相对比较简单”,只需注意隐私问题即可。“我想GDS系统内大概90%的信息都是可以被外人获取的。”
参考资料:福布斯、threatpost
推荐阅读