Probabilmente non hai mai sentito parlare di Babel Street o di Location X, ma è probabile che sappiano molto di te e di chiunque altro tu conosca che tenga un telefono a portata di mano 24 ore su 24. Babel Street, con sede a Reston, in Virginia, è la società poco conosciuta dietro Location X, un servizio in grado di tracciare le posizioni di centinaia di milioni di utenti di telefoni per periodi di tempo prolungati. Apparentemente, Babel Street limita l’uso del servizio al personale e ai contractor delle agenzie di polizia del governo degli Stati Uniti, comprese le entità statali. Nonostante la restrizione, un individuo che lavora per conto di un’azienda che aiuta le persone a rimuovere le proprie informazioni personali dai database dei broker di dati dei consumatori è riuscito di recente a ottenere una prova gratuita di due settimane dicendo (sinceramente) a Babel Street che stava pensando di svolgere lavori di appalto per un’agenzia governativa in futuro.

SONO INTORNO A NOI, IN MEZZO A NOI

KrebsOnSecurity, uno dei cinque organi di informazione che hanno ottenuto l’accesso ai dati prodotti durante la sperimentazione, ha affermato che una delle potenzialità di Location X è la possibilità di tracciare una linea tra due stati o altre località, oppure una sagoma attorno a un edificio, un isolato o un’intera città, e di visualizzare un registro storico dei dispositivi connessi a Internet che hanno attraversato quei confini.

Il reporter Brian Krebs ha detto che i dati includevano quasi 100.000 contatti per il telefono di un agente di polizia del New Jersey che di recente è diventato vittima di un’intensa campagna di doxxing che ha sottoposto lei e la sua famiglia a decine di minacce di morte da parte di persone che conoscevano il suo indirizzo di casa e i numeri di telefono sia suoi che di suo marito. La campagna includeva persone mascherate in auto che guidavano fuori dalla casa della famiglia.

I dati visionati dalla persona che ha utilizzato il processo di due settimane hanno fornito un quadro dettagliato e intimo dell’agente nell’arco di diversi mesi. Non c’è alcuna indicazione che le persone che hanno perseguitato e molestato la famiglia abbiano utilizzato Location X, ma non c’è dubbio che il servizio avrebbe potuto consentire loro di determinare il numero di telefono e la residenza dell’agente.

404 Media, un altro canale a cui è stato concesso l’accesso ai dati, ha riferito che il tesoro ha permesso a un reporter di ingrandire il parcheggio di una clinica per l’aborto in Florida e di osservare più di 700 puntini rossi, ognuno dei quali rappresentava un telefono che aveva visitato di recente la clinica. La posizione X ha quindi permesso al reporter di tracciare i movimenti di un dispositivo specifico.

Quel dispositivo, e per estensione la persona che lo trasportava, ha iniziato il viaggio a metà giugno da una residenza in Alabama. La persona è passata davanti a un negozio Lowe’s Home Improvement, ha guidato su un’autostrada, ha visitato una chiesa, ha attraversato la Florida e infine si è fermata alla clinica dove il telefono indica che la persona è rimasta per due ore prima di andarsene e tornare in Alabama. I dati hanno tracciato il telefono come se avesse visitato la clinica solo una volta.

LA TRAPPOLA DELL’ID UNIVOCO

La tecnologia che rende possibile questa vasta raccolta di dati è, ovviamente, il meccanismo di tracciamento integrato in Android e iOS e nelle app che girano su quei sistemi operativi. Di default, Android assegna un ID annuncio univoco a ogni dispositivo e lo rende disponibile a qualsiasi app che abbia permessi di localizzazione. iOS, al contrario, mantiene privato il suo tracker “Identifier for Advertisers”, ma dà a ogni app installata l’opportunità di richiederne l’accesso.

Ad alcune app viene concesso il permesso di accedere alla posizione di un telefono e poi vendere la posizione del dispositivo a broker di dati dei consumatori. I dati possono anche essere resi disponibili tramite l’ecosistema pubblicitario web. Mentre una pagina supportata da pubblicità viene caricata, la rete pubblicitaria tiene un’asta in tempo reale per vendere un annuncio personalizzato al miglior offerente. Un’informazione fondamentale che gli offerenti usano per stabilire un prezzo è, hai indovinato, la posizione del dispositivo che esegue il browser. Gli inserzionisti generano entrate aggiuntive vendendo quella cronologia a società come Babel Street, il fornitore di Location X.