位于内布拉斯加州的PenLink是一家窃听公司,帮助FBI、DEA和ICE等执法部门从苹果、Meta、谷歌和其他公司收集数据

2022-02-26 01:00:53

内布拉斯加州的一家小公司正在帮助世界各地的执法部门监视谷歌、Facebook和其他科技巨头的用户。一份秘密录制的对警方的陈述揭示了PenLink在美国监控机器中的根深蒂固。

这家总部位于内布拉斯加州林肯市的公司通常是执法部门的首选,希望监控犯罪嫌疑人的通信。如果大家知道的话,它可能最出名的是帮助斯科特·彼得森定罪的工作。斯科特·彼得森谋杀了他的妻子拉西和他们未出生的儿子,这起案件在21世纪初引发了小报的狂热。如今,该公司一直在帮助警察监视谷歌、Facebook和WhatsApp用户涉嫌的不法行为——执法部门要求的任何网络工具。

PenLink每年从美国政府客户那里获得2000万美元的收入,比如缉毒署、联邦调查局、移民海关执法局(ICE)以及联邦目录中几乎所有其他执法机构,PenLink的收入源源不断。这还不包括向当地和州警察局的销售,该公司在当地和州警察局也有重要业务,但没有可用的收入数据。《福布斯》查看了美国各地的合同,包括加利福尼亚州、佛罗里达州、伊利诺伊州、夏威夷州、北卡罗来纳州和内华达州的城镇。

该公司表示:“PenLink很自豪能够支持美国和国际执法部门打击不法行为的努力。”。“我们不会公开讨论客户如何使用我们的解决方案。”

有时需要间谍才能从监控公司获得透明度。科技监督机构Tech Inquiry的创始人杰克·鲍尔森(Jack Poulson)在华盛顿举行的全国警长协会冬季会议上匿名出席。他录下了PenLink的一名长期员工展示该公司在执法方面可以做些什么,并讨论了该公司的业务规模。这段录音不仅揭露了PenLink在美国各地窃听行动中的参与程度,还详细披露了苹果、Facebook和谷歌等技术提供商在面临有效搜查令或传票时如何向警方提供信息。

在PenLink工作了15年的斯科特·图马(Scott Tuma)在会议上告诉与会者,该业务在1987年起步,当时一家执法机构有大量通话记录,需要帮助组织。1998年,该公司部署了第一个窃听系统。图马说:“一般来说,我们的产品分散在美国和世界各地。”。虽然他没有详细描述这个工具,但公司称之为林肯。

如今,事实证明,PenLink及其执法客户的沃土是社交媒体,而不是手机。图马描述了他在加利福尼亚州与一名司法部帮派调查员合作的情况,称他正在进行多达50次的社交媒体“拦截”PenLink的业务是收集和组织来自Facebook和谷歌等公司的信息,供警方使用。

PenLink的代表说,可以命令科技公司免费提供嫌疑人的近距离实时追踪。一个缺点是,社交媒体的订阅源不像电话窃听那样是实时的。Facebook及其分支Instagram会延迟15分钟。然而,他说,Snapchat每天给警察提供的数据不会超过四次。然而,图马说,在一些“紧急情况”下,他看到一些公司几乎实时提供拦截。

让警方更加棘手的是,要从Facebook获取截获数据,他们必须登录到门户网站并下载文件。如果调查人员在拦截过程中没有每小时登录,他们就会被锁定。图马说:“这就是Facebook给人带来的巨大痛苦。”。然而,PenLink自动化了这一过程,因此,如果执法人员不得不休息或工作日结束,他们返回时仍会收到拦截响应。

Facebook所有者Meta的发言人表示:“Meta遵守执法部门提交的有效法律程序,只直接向提出请求的执法官员提供所需信息,包括确保所使用的法律程序类型允许披露信息。”

美国公民自由联盟(American Civil Liberties Union)的监控和网络安全顾问詹妮弗·格拉尼克(Jennifer Granick)回顾了图马的评论。她对政府通过PenLink收集的信息量表示担忧。她说:“法律要求警方尽量减少截获的数据,并发出通知,表明必要性。”。“很难想象经常需要窃听50个社交媒体账户,我怀疑警方是否会回到所有在Facebook帖子上发表评论的人或群体成员那里,告诉他们他们被窃听了。”

她认为,图马声称向Facebook发出“简单的传票”可能会产生细微的信息——比如照片上传的时间和地点,或者Facebook Marketplace上的信用卡交易发生的时间——可能是对法律的过度理解。

纽约大学法学教授、电信巨头Verizon Communications前总法律顾问兰迪·米尔奇(Randy Milch)说,在政府行动可能偏离底线的地方,存在很多细微差别。他告诉《福布斯》:“虽然我赞同政府会提出超出其需要的要求,但简单地说‘太多数据必然意味着过度使用’是一种不可行的武断规则。”。在事实发生之前,“政府不知道它正在寻找的数据量”。米尔奇指出,《存储通信法》明确允许传票收集记录,包括姓名、地址、支付方式和来源,以及关于会话时间和持续时间的信息。

在华盛顿的演讲中,图马滔滔不绝地谈论谷歌的位置跟踪数据。他说,谷歌“可以让我在距离精确位置三英尺的范围内找到我”。“我无法告诉你,我帮助处理了多少个冷案,这是五、六、七岁的案件,人们需要让(嫌疑人)肇事逃逸,或者是发生了性侵犯。”他说,如果人们携带手机并拥有Gmail账户,执法部门“会非常幸运。而且这种情况经常发生。”Tuma说,相比之下,Facebook将在60到90英尺范围内找到目标,而Snapchat已经开始在15英尺范围内提供更准确的位置信息。

图马还描述了在向谷歌询问搜索历史方面取得的巨大成功。“多起凶杀案调查,我都看到了:‘如何处置尸体’,‘倾倒尸体的最佳地点’。天哪,这就是他们搜索的内容。这在他们的谷歌历史记录中。他们清除了浏览器、cookies和其他东西,他们认为它不见了。谷歌是最好的。”谷歌发言人表示,该公司试图在隐私问题与警方需求之间取得平衡。发言人说:“与所有执法要求一样,我们有一个严格的程序,旨在保护用户的隐私,同时支持重要的执法工作。”。

Tuma将苹果的iCloud授权描述为“惊人的”“如果你做了什么坏事,我敢打赌我能在备份中找到,”他说。(苹果没有回应置评请求。)图马说,尽管WhatsApp平台保证了严密的安全,但也有可能查看WhatsApp消息。备份消息的用户会有效地删除应用程序端到端加密提供的保护。图马说,他正在纽约处理一个案件,当时他正坐在“WhatsApp大约1000张录音带上”然而,Facebook拥有的应用程序可能不太容易受到近实时拦截的影响,因为备份的频率只能达到每天一次。然而,元数据显示了WhatsApp账户的使用方式,以及哪些号码在相互联系,以及何时联系,可以通过一种称为笔式注册的监控技术进行跟踪。PenLink将该工具作为服务提供。

WhatsApp上的所有消息都是端到端加密的,一位公司发言人说,它对如何与执法部门合作是透明的。这位发言人说:“我们知道,人们希望他们的信息服务可靠、安全,这就要求WhatsApp拥有有限的数据。”。“我们根据适用法律和我们的服务条款,仔细审查、验证和回应执法请求,并在我们的网站和定期透明度报告中明确这一点。这项工作帮助我们在提供私人通信的同时确保人们的安全,并已导致在美国的逮捕。”刑事案件。“他们指出,去年发布的一项功能允许用户在iCloud或Google Drive中加密备份,同时指出,当他们响应执法请求时,他们不会向PenLink等任何私人公司提供数据,而是直接向执法部门提供。

近年来,联邦调查局和多个警察机构对谷歌或Facebook端到端加密切断有价值的数据源提出了担忧。但图马表示,硅谷的重量级人物不太可能开始向警方隐瞒信息,因为这将意味着对广告商采取同样的行动。图马说:“我总是因为这个原因打电话给BS:2020年谷歌的广告收入为1820亿美元。”。

美国公民自由联盟(ACLU)的格拉尼克(Granick)表示,这些指控表明,与该局声称的相反,FBI并没有因为WhatsApp等加密应用程序而忽视嫌疑人。“备份和其他数据未加密的事实为警方创造了一个宝库,”格拉尼克说。“他们非但没有走向黑暗,反而沉浸在数据中。”值得注意的是,Signal是一款加密通信应用程序,近年来非常流行,但它没有允许用户将数据备份到云端的功能。

事实上,谷歌和Facebook等公司向警方发送的数据量可能令人震惊。《福布斯》最近审查了一份搜查令,警方在一个Facebook账户上收到了27000页的信息,其中一名男子被控非法游览大峡谷。图马说,他看到了更大的回报,最大的回报约为34万。

尽管PenLink的员工数量很小——据LinkedIn称,不足100名员工——但在过去20年中,PenLink大规模开发各种电信和互联网业务的能力使该公司对警方非常有吸引力。仅在上个月,DEA就订购了近200万美元的许可证,FBI订购了75万美元。

通过《信息自由法案》的要求,福布斯获得了2017美元签署的一份1650万美元的PENLink合同的信息,并持续到2021。它详细说明了对该公司电信分析和拦截软件应用套件的需求,包括它所称的PLX工具。该合同要求PenLink至少帮助监听包括at&;T、 铱星卫星、Sprint、Verizon、T-Mobile、Cricket、Cablevision、康卡斯特、时代华纳、考克斯、Skype、Vonage、Virgin Mobile以及政府称之为“社交媒体和广告网站”的网站,如Facebook和WhatsApp。

如果没有技术提供商的合规,PenLink的工作是不可能的,Granick说,“将太多数据存储太长时间,然后将太多数据交给调查人员。社交媒体公司能够按日期、数据类型,甚至发送者和接收者进行过滤。太字节的数据几乎永远不会对可能的原因做出响应,这是第四修正案所要求的。”