Διαφημιστικές εταιρείες σε ρόλο… κατασκόπων;

Μεσάζοντας δεδομένων στη Φλόριντα αποκάλυψε σε γερουσιαστή των ΗΠΑ ότι απέκτησε ευαίσθητα δεδομένα για μέλη του στρατού των ΗΠΑ στη Γερμανία από μια λιθουανική εταιρεία -η οποία όμως αρνείται κάθε εμπλοκή- αποκαλύπτοντας τη δυσδιάκριτη φύση της διαδικτυακής παρακολούθησης μέσω διαφημίσεων.

Πέρυσι, δημοσιογραφική έρευνα αποκάλυψε ότι η εταιρεία

Datastream Group, που εδρεύει στη Φλόριντα, πουλούσε εξαιρετικά ευαίσθητα δεδομένα τοποθεσίας, τα οποία παρακολουθούσαν στρατιωτικό προσωπικό των ΗΠΑ στο εξωτερικό. Εκείνη την εποχή, η προέλευση αυτών των δεδομένων ήταν άγνωστη. Τώρα, μια επιστολή προς το γραφείο του γερουσιαστή Ron Wyden -η οποία αποκτήθηκε από διεθνή ομάδα Μέσων Ενημέρωσης-ισχυρίζεται ότι η τελική πηγή αυτών των δεδομένων ήταν η Eskimi, μια λιγότερο γνωστή λιθουανική εταιρεία τεχνολογίας διαφημίσεων (η οποία εκπροσωπείται και στην Ελλάδα). Η Eskimi, ωστόσο, αρνείται κάθε ανάμειξη.

Κατάχρηση πρόσβασης σε δεδομένα
Η υπόθεση αναδεικνύει τη δυσκολία διαφάνειας στον κλάδο των δεδομένων τοποθεσίας: Ένας μεσάζοντας δεδομένων στη Φλόριντα ισχυρίζεται ότι μια λιθουανική εταιρεία παρείχε δεδομένα για στρατιωτικό προσωπικό των ΗΠΑ στη Γερμανία. Αυτά τα δεδομένα θα μπορούσαν θεωρητικά να πωληθούν σε οποιονδήποτε. Ωστόσο, οι ακριβείς τρόποι με τους οποίους συλλέγονται, συγκεντρώνονται και διαμοιράζονται παραμένουν ασαφείς: «Υπάρχει ένας παγκόσμιος κίνδυνος εκ των έσω, από άγνωστες διαφημιστικές εταιρείες, οι οποίες ουσιαστικά παρακάμπτουν όλα τα συστήματα, καταχρώνται την πρόσβασή τους και πωλούν αυτά τα εξαιρετικά ευαίσθητα δεδομένα σε μεσάζοντες, οι οποίοι στη συνέχεια τα πωλούν σε κυβερνήσεις και ιδιωτικά συμφέροντα», λέει ο Zach Edwards, ανώτερος αναλυτής απειλών της εταιρείας κυβερνοασφάλειας Silent Push. «Οι διαφημιστικές εταιρείες είναι ουσιαστικά εταιρείες παρακολούθησης, με καλύτερα επιχειρηματικά μοντέλα», συμπληρώνει.

Τον Δεκέμβριο, μια κοινή έρευνα των WIRED, Bayerischer Rundfunk (BR) και Netzpolitik.org ανέλυσε ένα δωρεάν δείγμα δεδομένων τοποθεσίας που παρείχε η Datastream. Η έρευνα αποκάλυψε ότι η Datastream προσέφερε πρόσβαση σε ακριβή δεδομένα τοποθεσίας από συσκευές που πιθανότατα ανήκαν σε στρατιωτικό προσωπικό και προσωπικό υπηρεσιών πληροφοριών των ΗΠΑ στο εξωτερικό- συμπεριλαμβανομένων βάσεων στη Γερμανία που πιστεύεται ότι φιλοξενούν πυρηνικά όπλα των ΗΠΑ.

Η Datastream λειτουργεί ως μεσάζοντας, προμηθεύοντας δεδομένα από άλλους παρόχους και στη συνέχεια πουλώντας τα σε πελάτες. Ο ιστότοπός της ανέφερε ότι προσφέρει «δεδομένα διαδικτυακής διαφήμισης σε συνδυασμό με κρυπτογραφημένα email, cookies και δεδομένα τοποθεσίας κινητών συσκευών». Το εν λόγω σύνολο δεδομένων περιείχε 3,6 δισ. συντεταγμένες τοποθεσίας, μερικές καταγεγραμμένες σε διαστήματα χιλιοστών του δευτερολέπτου, από έως και 11 εκατ. διαφημιστικά ID κινητών στη Γερμανία μέσα σε έναν μήνα. Τα δεδομένα πιθανότατα συλλέχθηκαν μέσω SDKs (software development kits) που είναι ενσωματωμένα σε εφαρμογές κινητών από προγραμματιστές που εν γνώσει τους ενσωματώνουν εργαλεία παρακολούθησης με αντάλλαγμα οικονομικά οφέλη από μεσάζοντες δεδομένων.

Πρόστιμα έως και 20 εκατ. ευρώ
Μετά τη δημοσιοποίηση των παραπάνω και την απαίτηση του γραφείου Wyden για απαντήσεις από την Datastream Group, η τελευταία ισχυρίσθηκε ότι απέκτησε τα δεδομένα «νόμιμα από έναν αξιόπιστο πάροχο, την Eskimi.com». Ο CEO της Eskimi, Vytautas Paukstys, αρνήθηκε οποιαδήποτε σχέση με την Datastream, δηλώνοντας: «Η Eskimi δεν έχει, ούτε είχε ποτέ, εμπορική σχέση με την Datasys/Datastream Group. Η Eskimi «δεν είναι μεσάζοντας δεδομένων».

Εν τω μεταξύ, το Υπουργείο Άμυνας των ΗΠΑ (DOD) απέφυγε να απαντήσει σε συγκεκριμένες ερωτήσεις σχετικά με την έρευνα. Ωστόσο, τον Δεκέμβριο, εκπρόσωπος του Πενταγώνου δήλωσε ότι το Πεντάγωνο γνωρίζει πως οι υπηρεσίες γεωεντοπισμού μπορούν να θέσουν το προσωπικό σε κίνδυνο και προέτρεψε τα μέλη των ενόπλων δυνάμεων να ακολουθούν αυστηρά τα πρωτόκολλα ασφαλείας. Το γραφείο του Wyden προσπάθησε να επικοινωνήσει με την Eskimi και τη λιθουανική Αρχή Προστασίας Δεδομένων (DPA) για μήνες. Σύμφωνα με τον Keith Chu, διευθυντή επικοινωνίας του Wyden, η εταιρεία απάντησε ότι βρήκε το email του γραφείου του γερουσιαστή στον φάκελο ανεπιθύμητων μηνυμάτων της. Η λιθουανική DPA δήλωσε ότι «συλλέγει πληροφορίες και αξιολογεί την κατάσταση» και μπορεί να επιβάλει πρόστιμα έως και 20 εκατ. ευρώ στην Eskimi εάν διαπιστωθούν παραβάσεις του GDPR. Επιπλέον, το γραφείο του Wyden επικοινώνησε με τη Google, καθώς η Eskimi είναι συνεργάτης της μέσω του προγράμματος Authorized Buyer. Η Google ανέφερε ότι ελέγχει τακτικά τις συνεργασίες της και διερευνά πιθανές παραβάσεις πολιτικών.

Το άρθρο αποτελεί μέρος συνεχιζόμενου δημοσιογραφικού εγχειρήματος μίας διεθνούς συμμαχίας Μέσων Ενημέρωσης, συμπεριλαμβανομένων των Netzpolitik.org και Bayerischer Rundfunk (Γερμανία), Schweizer Radio und Fernsehen (Ελβετία), BNR Nieuwsradio (Ολλανδία), NRK (Νορβηγία), Dagens Nyheter (Σουηδία), Le Monde (Γαλλία), καθώς και WIRED και 404 Media (ΗΠΑ).