Mobilok millióinak mozgását követhették nyomon visszamenőlegesen is a nyomozók egy szolgáltatás segítségével. Mint a The Associated Press kiderítette, a Fog Reveal nevű eszközt nem egyszer bírói engedély nélkül vetették be.

A szolgáltatást, melyet egy virginiai székhelyű cég, a Fog Data Science (FDS) fejleszt, 2018 óta használja a rendőrség. Az AP szerint több bűnügyben bevetették, még a Capitoliumnál történt zavargások egyik potenciális résztvevőjének mozgását is azzal követték nyomon. Ám az ilyen megfigyelések ritkán hagynak nyomot a bírósági iratokban.

A Fog Data Science-t a belbiztonsági minisztérium két korábbi magas rangú tisztviselője alapította. Termékük, a Fog Reveal abban különbözik a rendőrség által használt más mobiltelefon-helymeghatározási technológiáktól, hogy a készülékeket a reklámazonosítókon keresztül követi. Pontosabban nem is a cég követi. Ezek az adatok olyan népszerű mobiltelefonos alkalmazásokból nyerhetők ki, melyek a személy mozgása és érdeklődési köre alapján célozzák a hirdetéseket (Waze, Starbucks stb.). És ha már az üzemeltetők kinyerték ezeket az adatokat, el is adják olyan cégeknek, mint a Fog.

Az ilyen rendszerek minden készülékhez rendelnek egy egyedi számot, és bár az még nem tartalmazza a tulajdonos személyes adatait (név, lakcím stb.), bőven elég ahhoz, hogy a hatóság pontosan nyomon kövesse valakinek a mozgását, és elemezze a megfigyelt személy szokásait, életmódját.

Egy gebe Pegasus is Pegasus

A Fog Reveal a szegény állami hatóságok Pegasusa. A vállalat azzal "vette meg" a nyomozó hatóságokat, hogy a szolgáltatást már évi 7500 dollártól lehetett használni. A másik mézesmadzag pedig az volt, hogy a rendőrség pillanatok alatt hozzáfért az őt érdeklő geolokációs adatokhoz. Ha az adatokat olyan cégektől szerették volna beszerezni, mint az Apple vagy a Google, első körben minimum egy bírósági engedélyre lett volna szükségük, ami napokkal, sőt hetekkel tolta volna ki az intézkedést.

A szolgáltatás jogszerűségét firtatókat azzal nyugtatták, hogy a geolokációs információk nem kapcsolhatók össze konkrét eszközzel és tulajdonosával. Csakhogy eközben a rendőrség épp arra használta, hogy a hirdetésazonosítón keresztül eljusson konkrét személyekhez. Használata egyébként az USA-ban bírósági engedély nélkül is lehet jogszerű: mint egy megyei ügyész mondta az AP-nek, a sürgető körülményekre (pl. emberélet közvetlen veszélye) hivatkozva bírói végzés nélkül is bevethető, és ő például ki is használta ezt a lehetőséget.

A Fog Reveal webes felületen érhető el. A nyomozó beírhatja a helyszín koordinátáit, a rendszer pedig visszaadja az adott időintervallumban ott előforduló eszközök Fog-azonosítóját, amely az egyedi hirdetési azonosítón alapul. Az időintervallum nagyon széles: a nyomozók a bűncselekmény időpontjától 180 napot mehetnek vissza az időben. (A cég adatai egyébként 2017 júniusáig nyúlnak vissza.) A Fog-azonosító önmagában kevés személyek azonosításához, de ha a rendőrség nem jut előre, a cég szívesen "súg" kiegészítő adatokkal, ha nem is közvetlenül, hanem egy megbízható partnercégén, a Venntel nevű adatbrókeren keresztül.

A szolgáltatás kapcsán ismét fellángolt a vita a biztonság és a szabadságjogok elsődlegességéről. A kérdés igencsak jogos, hiszen a két cég együttesen több milliárd adatpontból gyűjthet információkat. (Az külön rejtély, hogy a Starbucks és a Waze adataihoz hogyan jutottak, mert mindkét cég tagadja, hogy bármilyen kapcsolatban állnának a Fog Data Science-szel.)

A rendőrség azzal érvel, hogy ők a rosszfiúk ellen küzdenek, és ebben a küzdelemben a győzelem sokszor múlik az időfaktoron. Példaként egy gyilkossági ügyet szoktak emlegetni, amit a Fog Reveal segítségével oldottak meg. A gyilkost az alapján találták meg, hogy a szolgáltatás segítségével azonosították, hogy kik jártak a helyszínen a gyilkosság idején. Az AP azonban nem találta nyomát a bírósági dokumentumokban, hogy használták volna a Fog Revealt.

Az AP tényfeltáró riportja teljes egészében elérhető a SecurityWeek oldalán >>>