رد‌یابی سربازان آمریکایی با ۱۲ سِنت

این هدف‌گیری اولین بار توسط رویترز گزارش شد که نامه سنتکام را به دست آورده بود. اما این تاییدیه در کنار رکوردی قرار می‌گیرد که طولانی‌تر و قاطع‌تر از آن چیزی است که در آن سند واحد نشان داده شده است. در بیشتر دهه گذشته، قانون‌گذاران آمریکایی همان هشدارهایی را در مورد خطرات داده‌های مکانی موجود در بازار شنیده‌اند که پنتاگون شنیده بود؛ از همان ارزیابی‌های اطلاعاتی، از شاهدان و از همکاران خودشان. با این حال، قانون‌گذاری جامع در مورد حریم خصوصی بارها در واشنگتن متوقف شده است و تنها اصلاحیه محدودی که تصویب شد -الزام عدم فروش مجدد داده‌های به اشتراک گذاشته شده با پیمانکاران نظامی - صنعت گسترده‌تر را دست نخورده باقی گذاشت.

یکی از اولین هشدارها در سال ۲۰۱۶ مطرح شد. در مجتمع فرماندهی عملیات ویژه مشترک در فورت براگِ کالیفرنیا، یک متخصص فناوری دولتی در حال ارائه توضیحات به افسران ارشد نشان داد که چگونه داده‌های مکانی تجاری - خریداری شده، نه هک شده - می‌توانند تلفن‌ها را از فورت براگ و پایگاه نیروی هوایی مک‌دیل در فلوریدا، ایستگاه‌های اصلی زبده‌ترین واحدهای آمریکا، از طریق ترکیه و شمال سوریه، جایی که آنها در یک پایگاه عملیاتی مخفی مستقر بودند، ردیابی کنند. همین داده‌ها در دسترس هر تبلیغ‌کننده یا سرویس اطلاعاتی خارجی بود.

حتی با وجود اینکه به پنتاگون هشدار داده شده بود که بازار داده‌های مکانی، جان افراد خودش را به خطر می‌اندازد، بخش‌هایی از این وزارتخانه مشتاق بودند که مشتری آن شوند. آژانس اطلاعات دفاعی در سال ۲۰۲۱ به کنگره فاش کرد که از داده‌های مکانی تلفن‌های خریداری‌شده تجاری - از جمله آمریکایی‌ها - بدون حکم استفاده می‌کند و این موضع را اتخاذ کرد که هیچ حکمی لازم نیست. ماه‌ها قبل، «مادربرد» گزارش داد که ارتش ایالات متحده در حال خرید داده‌های مکانی جمع‌آوری‌شده از برنامه‌های محبوب مصرف‌کننده است.

در سال ۲۰۲۳، ارتش برای تشریح این تهدید هزینه پرداخت کرد. محققان دانشگاه دوک - که تحت کمک هزینه تحصیلی از آکادمی نظامی ایالات متحده در وست پوینت کار می‌کردند - تصمیم گرفتند داده‌های مربوط به اعضای سرویس آمریکایی را به روشی که یک دشمن خارجی ممکن است انجام دهد، خریداری کنند. آنها صدها وب‌سایت دلال داده را بررسی کردند و هزاران فهرست را یافتند که داده‌های مربوط به پرسنل نظامی را تبلیغ می‌کردند، از جمله مجموعه داده‌هایی با عنوان «لیست پستی خانواده‌های نظامی» و «خانواده‌های نظامی سرسخت».

محققان شروع به خرید کردند. آنها با قیمتی تنها ۱۲ سنت برای هر رکورد، تقریبا بدون هیچ گونه بررسی، نام، آدرس منزل، وضعیت سلامتی و جزئیات مالی سربازان فعال را خریداری کردند. آنها خود را به عنوان خریدار معرفی کردند که از طریق یک دامنه مستقر در سنگاپور فعالیت می‌کند و همین نوع داده‌ها را که در فورت براگ، کوانتیکو و سایر تاسیسات جغرافیایی محصور شده بودند، نیز به دست آوردند. یکی از دلالان پیشنهاد داد که در صورت پرداخت از طریق حواله بانکی، از بررسی هویت آنها صرف نظر کند.

یک سال بعد، وایرد متوجه شد که همین نوع داده‌ها از طریق پلتفرم تبلیغاتی خود گوگل در جریان است. وایرد با استفاده از داده‌های به‌دست‌آمده توسط شورای آزادی‌های مدنی ایرلند، بخش‌های بازاریابی را در Display & Video ۳۶۰ گوگل شناسایی کرد که کارمندان دولت ایالات متحده را که «تصمیم‌گیرندگان» در نظر گرفته می‌شدند و «به‌طور خاص در زمینه امنیت ملی» کار می‌کردند، مشخص می‌کرد. یعنی افرادی را هدف شناسایی قرار می‌دهد که برای شرکت‌های دارای مجوز ساخت موشک، وسایل پرتاب فضایی و سیستم‌های رمزنگاری که وظیفه‌شان حفاظت از داده‌های طبقه‌بندی‌شده است، کار می‌کنند.

بازرس شورای آزادی‌های مدنی ایرلند گفت که انتظار دارد داستان پوششی‌اش مورد آزمایش قرار گیرد. او در آن زمان به وایرد گفت: «وقتی ثبت‌نام کردم، هیچ سوالی پرسیده نشد. من می‌توانستم هر کسی باشم.»

تحقیقات قبلی وایرد نشان داده بود که این افشاگری در عمل چگونه به نظر می‌رسد: در اواخر سال ۲۰۲۴، خبرنگاران با همکاری رسانه‌های آلمانی Bayerischer Rundfunk و Netzpolitik.org، یک «نمونه رایگان» از داده‌های مکانی را از یک کارگزار فلوریدایی دریافت کردند؛ حجم داده‌های دریافت شده عجیب بود: «۳.۶‌میلیارد مختصات مرتبط با تقریبا ۱۱‌میلیون تلفن در آلمان در طول دو ماه.» درون آن، حرکات روزانه پرسنل نظامی و اطلاعاتی آمریکایی مستقر در این کشور وجود داشت: « اطلاعات۱۲۳۱۳ دستگاه که از حداقل ۱۱ تاسیسات آمریکایی، از ستاد اروپایی ارتش در ویسبادن تا مدارسی که فرزندان اعضای ارتش در آنها آموزش می‌بینند، به‌دست آمد.»

خبرنگاران دستگاه‌هایی را در داخل پایگاه هوایی بوخل، جایی که گمان می‌رود سلاح‌های هسته‌ای ایالات متحده در پناهگاه‌های مستحکم نگهداری می‌شوند، ردیابی کردند و در عین حال شاهد حرکت زیگزاگ خودروهای زرهی در گرافن‌ووهر بودند. سخنگوی پنتاگون در پاسخ به سوالی در مورد این ردیابی، در آن زمان به وایرد گفت که این وزارتخانه از این موضوع آگاه است که سرویس‌های موقعیت‌یابی جغرافیایی می‌تواند پرسنل را در معرض خطر قرار دهد و از اعضای سرویس خواست تا آموزش‌های خود را به خاطر بسپارند و از پروتکل‌های امنیتی عملیاتی پیروی کنند. با این حال همان چارچوب مسوولیت فردی که پیش‌تر توسط خود ارتش تهیه شده بود، نشان می‌داد که برای حفاظت ناکافی است.

این هشدارها از درون بازوی تحقیقاتی خود ارتش منتشر شد. در گزارش فنی ماه مه ۲۰۲۵، موسسه سایبری ارتش در وست‌پوینت دریافت که بیش از یک‌پنجم از پربازدیدترین دامنه‌های وب در شبکه‌های غیرمحرمانه این سرویس در داخل آمریکا، ردیاب‌های تجاری بوده‌اند. 

آنها در این زمینه گزارش دادند که رفع این مشکلات به «حداقل بودجه یا منابع» نیاز دارد. از جمله توصیه‌های آنها برای رفع اینگونه مشکلات از این قرار بود: محدود کردن نصب مرورگر کروم گوگل روی ایستگاه‌های کاری ارتش، با اشاره به اینکه این تنها مرورگر اصلی بود که از مسدود کردن کوکی‌های شخص ثالث مورد استفاده برای دنبال کردن کاربران در سراسر وب خودداری کرده بود. یک سال بعد، یک گروه دو حزبی از قانونگذاران که به پنتاگون نامه نوشته بودند، اکنون همین درخواست را دارند.

این نامه که به‌طور مستقل توسط وایرد به‌دست آمده و توسط ۱۴ عضو از هر دو حزب امضا شده است، پرونده علیه پنتاگون را به تفصیل شرح می‌دهد. آنها نوشتند که این وزارتخانه بیش از یک دهه از این تهدید آگاه بوده و «در اتخاذ دفاع سایبری معقول» که توسط کارشناسان دولت خود توصیه شده بود، کوتاهی کرده است. این طرح، کرستن دیویس، مدیر ارشد اطلاعات این وزارتخانه را تحت فشار قرار می‌دهد تا کارهایی را که سال‌هاست مطرح هستند، انجام دهد: غیرفعال کردن شناسه تبلیغاتی در تلفن‌های نظامی، حذف مرورگر کروم از دستگاه‌های دولتی به نفع مرورگرهای متمرکز بر حریم خصوصی، و ثبت‌نام اعضای سرویس در سیستم‌های انصراف کارگزاران داده ایالتی.

قانون‌گذاران به‌طور ضمنی پنتاگون را به خاطر عدم رعایت توصیه‌های موسسه سایبری ارتش، تحت فشار قرار می‌دهند. تکان‌دهنده‌ترین جزئیات، موضوع زمان‌بندی است: «سنتکام تایید کرده است که تقریبا ۱۰ سال پس از اولین هشدار، قابلیت غیرفعال کردن اشتراک‌گذاری موقعیت مکانی در تلفن‌های هوشمند دولتی را همین ماه ارائه کرده است.»

اوایل این ماه، ارتش به سربازان گفت که برای کارهای دولتی از تلفن‌های شخصی خود استفاده کنند - همان تلفن‌هایی که شناسه‌های تبلیغاتی را پخش می‌کنند و موقعیت مکانی را به همان دلالانی که در قلب تهدید هستند، می‌دهند. 

ارتش می‌گوید دسترسی خودش به یک برنامه کاری محدود می‌شود و متون، عکس‌ها و مرور یک سرباز را خصوصی نگه می‌دارد. اما دلالان داده با چنین دیوارهایی روبه‌رو نیستند، همان‌طور که بازرسان خودشان قبلا اشاره کرده‌اند.

شان ویتکا، مدیر اجرایی Demand Progress، یک گروه فعال در حوزه حریم خصوصی که برای مهار تجارت داده‌ها با کنگره لابی کرده است، به وایرد می‌گوید که مجلس نمایندگان دو سال پیش قانون مهمی را تصویب کرد که دولت را از پرداخت یارانه به این صنعت منع می‌کرد، اما تعداد انگشت‌شماری از قانون‌گذاران طرفدار نظارت از هر دو حزب، آن را مسدود کردند و رهبری سنا، حتی پس از انتخابات گذشته، از به رای گذاشتن آن خودداری کرد.

ویتکا می‌گوید: «به‌رغم ادعاهای بدخواهانه‌ سیاستگذارانی که دائما از قدرت خود برای تضعیف حریم خصوصی استفاده می‌کنند، نظارت ذاتا برای امنیت خوب نیست. اکنون عموم مردم می‌توانند شواهد نگران‌کننده‌ای را ببینند که ثابت می‌کند حریم خصوصی نه تنها یک حق اساسی بشر است، بلکه برای حفظ امنیت مردم نیز بسیار مهم است.» وایرد می‌گوید که پنتاگون بلافاصله به سوالات مربوط به این گزارش پاسخ نداد.