私人英特尔公司购买位置数据来跟踪人们到他们的“家门口”--这些数据来自世界各地安装在人们手机上的数百个普通应用程序。

一家名为HYAS的威胁情报公司，这是一家试图阻止或调查针对其客户的黑客攻击的私营公司，正在购买从安装在世界各地人们手机上的普通应用程序获取的位置数据，并用这些数据来揭开黑客的面纱。该公司是一家企业，而不是执法机构，并声称能够追踪人们到他们的家门口。

这则新闻突显了位置数据的复杂供应链和销售，从用户在某些情况下没有意识到软件正在出售他们的位置的应用程序，一直到数据经纪人，最后到使用数据本身的最终客户。这则新闻还显示，虽然一些定位公司一再向公众保证，他们的数据专注于对人群的高水平、聚合的、匿名的跟踪，但一些公司确实从一个基本上不受监管的市场购买和使用定位数据，明确地是为了识别特定的个人。

位置数据来自X-Mode公司，该公司最初推出了一款名为“醉酒模式”的应用程序，旨在防止大学生醉酒打电话，后来该公司开始出售一系列应用程序的用户数据。在隐私政策中提到X-Mode的应用程序包括美容应用Perfect365，以及其他看起来无害的应用程序，如MP3文件转换器。

一位收到HYAS产品演示的威胁情报行业消息人士告诉主板，作为一款TI[威胁情报]工具，它令人难以置信，但从道德上讲，它很糟糕。主板允许消息来源匿名，因为他们没有被他们的公司授权向媒体发表讲话。

您在Location SDK公司工作吗？你以前是吗？你还知道关于位置数据销售的其他事情吗？我们很高兴收到你的来信。使用非工作电话或计算机，您可以通过Signal(+44 20 8133 5190)、Wickr(Josephcox)、OTR Chat(Email：jfcox@jabber.ccc.de)或电子邮件(joseph.cox@vice.com)安全地联系约瑟夫·考克斯(Joseph Cox)。

HYAS特别强调识别攻击的幕后黑手，或将他们归因于他们，尽管其产品的实际有效性尚不清楚，而且该公司在营销材料中可能夸大了这一点。

HYAS首席执行官大卫·拉特纳在LinkedIn上的个人资料中写道：我们为客户和客户追踪威胁分子和其他坏人，直到他们的实际家门口。据HYAS网站介绍，HYAS&34；Insight&34；产品为客户提供了谷歌地图风格的界面，可以与该公司的数据集进行互动。网站上写道，Insight提供对该公司的独家数据源和非传统收集机制的访问。

各行各业经常购买位置数据，以跟踪人群的移动情况。零售商可以获取数据，看看他们的商店，或者他们的竞争对手之一，获得了多少客流量。房地产公司可以利用这些信息来看看一块土地是否有潜力受到欢迎。营销公司使用位置数据来识别和定位具有特定商业或政治广告的群体。

HYAS的不同之处在于，它提供了一个具体的例子，说明一家公司故意采购手机位置数据，目的是识别和定位特定的人，并向自己的客户提供这项服务。独立于Motherboard，参议员罗恩·怀登(Ron Wyden)的办公室一直在调查位置数据市场，也发现HYAS正在使用移动位置数据。怀登的一名助手说，他们已经与HYAS讨论了数据的使用问题。据Wyden助手称，HYAS表示，移动位置数据是用来揭开可能使用虚拟专用网(VPN)隐藏身份的人的面具。

在上传到HYAS网站的一场网络研讨会上，该公司营销副总裁托德·蒂曼(Todd Thiemann)描述了HYAS是如何利用位置数据追踪一名疑似黑客的。

他在网络研讨会上表示：我们发现这里是阿布贾，你可以在下面一栋公寓楼的一个街区看到它。我们找到了用于受威胁员工的命令和控制域，并使用此威胁参与者的登录到注册器，以及我们的地理位置精确移动数据，直接确认到他家。我们还得到了他的名字和姓氏，并向一家尼日利亚移动运营商核实了他的手机。

在其网站上，HYAS声称拥有一些财富25强公司、大型科技公司以及执法和情报机构作为客户。

威胁情报公司通常从广泛的来源收集数据，包括黑客论坛、私人聊天室和互联网基础设施(如网站托管的位置)，并基于这些数据和自己的分析向客户销售产品。客户可以包括想要了解新倾倒的被盗信用卡数据是否属于他们的银行、试图保护自己免受黑客攻击的零售商，或者检查是否有员工的登录信息被网络犯罪分子交易的企业。

一些威胁情报公司还向政府机构出售服务，包括联邦调查局、国土安全部和特勤局。司法部经常承认特定威胁情报公司在司法部宣布对黑客和其他类型的罪犯提出指控或起诉时所做的工作。

但威胁情报行业的其他一些成员批评了HYAS&39；使用移动应用程序位置数据的做法。另一家威胁情报公司的首席执行官告诉主板，他们的公司使用的信息与HYAS不同。

最初提醒母板注意HYAS的威胁情报来源回忆说，他们收集信息的方式让他们超级震惊，他指的是位置数据。

第三家威胁情报公司的一名高级员工表示，位置数据并不难买。

HYAS&39；网站上的一篇博客文章称，HYAS Insight 1.1提供从广告和移动应用程序位置数据中收集的遥测数据。

当Motherboard给HYAS发送电子邮件时，它从博客帖子中删除了广告和移动应用程序位置数据的提及。这篇博客文章补充说，Insight产品还允许客户确定设备附近有哪些其他设备或无线网络。该帖子现在写道，HYAS"；提供精确的地理定位遥测。

HYAS的业务是支持我们的客户进行网络犯罪调查。我们的业务重点是帮助我们的客户发现和预防网络犯罪，拉特纳在一封电子邮件中告诉母板。当被问及为什么从其网站上删除提及移动应用程序位置数据时，该公司没有回答。

主板发现几家位置数据公司在他们的隐私政策中列出了HYAS。其中之一是X-Mode，这是一家将自己的代码植入普通智能手机应用程序，然后获取位置信息的公司。X-Mode的一位发言人在一封电子邮件中告诉Motherboard，该公司的数据收集代码或软件开发包(SDK)包含在400多个应用程序中，平均收集全球6000万月度用户的信息。X-Mode还开发了一些自己的应用程序，这些应用程序使用位置数据，包括父母监控应用程序Planc和健身跟踪器Burn App。

无论你需要什么，XDK Visualizer都会在这里向你展示，我们标志性的SDK太合法了，不能退出(字面上说，它一直都是开着的)，X-Code自己的另一个应用程序的描述是这样的，它可以可视化公司的数据收集来吸引客户，下面是这样描述的：XDK Visualizer是我们的标志性SDK，它是永远不会退出的。X-Code自己的另一个应用程序可以可视化公司的数据收集来吸引客户。

它们和许多位置跟踪器一样，但老实说，看起来更有攻击性，卫报应用程序的创始人威尔·斯特拉法赫在一次在线聊天中告诉主板，该应用程序会提醒用户其他应用程序会访问他们的位置数据。今年1月，X-Mode收购了另一家定位公司Location Sciences的资产，扩大了X-Mode的数据集。

斯特拉法赫说，我敢打赌，他们打赌人们会在不看文本的情况下点击东西。斯特拉法赫说，应用程序用户不一定知道X-Mode正在收集他们的位置数据。

主板随后确定了一些应用程序，它们自己的隐私政策提到了X-Mode。其中包括Perfet365，这是一款专注于美容的应用程序，人们可以用它通过设备的摄像头虚拟试用不同类型的化妆品。

“我不知道我的信息是否在任何地方被使用过，”完美365的用户玛尔塔告诉“主板”(Motherboard)。玛尔塔提供了一张她的应用程序设置的屏幕截图，显示Perfet365可以访问她设备的位置。

另一位用户吉安娜(Gianna)说，它问我现在的位置，这让我很困扰！，她补充道。

活动组织电子前沿基金会(EFF)的网络安全主管伊娃·加尔佩林(Eva Galperin)告诉主板，即使向用户提交了某种形式的同意通知，他们也可能无法切实理解或知道他们的数据发生了什么。

X-Mode的一位发言人在一封电子邮件中告诉Motherboard，在追踪应用程序用户的位置之前，用户必须提供知情同意，公司遵循GDPR、CCPA和其他数据保护法规的指导方针。电子邮件补充说，用户也可以通过该公司自己的应用程序选择退出收藏。

X-Mode的发言人补充说，我们的客户使用这些数据来观察整体和假名的个体群体。X-Mode积极使用两种数据匿名技术-化名和泛化。我们对从所有设备收集的任何用户ID进行模糊处理，并使用泛化来聚合设备。我们的客户使用这些技术和其他技术来识别在个人层面很难观察到的趋势，比如流动性的趋势。

然而，这与HYAS所说的它实际上试图处理这些数据的做法形成了鲜明对比。当被追问部署移动定位数据以找到特定的人时，X-Mode表示，我们认真对待与客户的保密义务，我们不能讨论特定客户的细节。不过，我相信您都知道，像您提到的这样的公司使用多个数据源。正如我们所说的，并重申，我们在合同上禁止滥用X-Mode数据，例如仅使用X-Mode数据重新识别个人身份。

HYAS&34；首席执行官Ratner补充说：我们获得的数据符合所有适用的法律，用于这些目的。(#34；Ratner"；Ratner"；Ratner，HYAS"；CEO)补充说。

参议员罗恩·怀登(Ron Wyden)在一份声明中告诉Motherboard，可疑的数据经纪人正在收集私人信息数据库，在未经我们同意或不知情的情况下创建美国个人的档案。如果这些数据库落入不法之徒手中，就会给我们的人身安全、隐私和美国国家安全带来巨大风险。我写了“头脑你自己的商业法案”(Mind Your Your Our Business Act)，以打击这些令人不快的行为，并让美国人重新控制自己的个人信息。

不同的政府机构已经从其他公司购买了位置数据的访问权。上个月，主板发现美国海关和边境保护局(CBP)向一家销售电话位置数据的公司支付了47.6万美元。CBP已经使用这些数据扫描了美国边境的部分地区，美国国税局(IRS)也试图使用同样的数据来追踪犯罪嫌疑人，但没有成功。

增加了第一个威胁情报来源，描述了移动位置数据的使用，这是他妈的可疑的。

签署“色情通讯”，即表示您同意接收来自“色情通讯”的电子通讯，其中有时可能包括广告或赞助内容。