Empresa dos EUA rastreia bilhões de celulares no mundo todo – e espiona até a CIA

Nos meses anteriores à invasão da Ucrânia pela Rússia, duas startups americanas obscuras se reuniram para discutir uma possível parceria de vigilância que combinaria o rastreamento de movimentos de bilhões de pessoas por meio de seus telefones e um fluxo constante de dados comprados diretamente do Twitter. Segundo Brendon Clark, executivo da Anomaly Six – ou “A6” –, a combinação da tecnologia de rastreamento de celulares de sua empresa com a vigilância de redes sociais fornecida pela Zignal Labs permitiria ao governo dos EUA espionar, sem dificuldades, as forças russas situadas próximas à fronteira ucraniana ou mesmo monitorar submarinos nucleares chineses. Para provar que a tecnologia funciona, Clark apontou os poderes da A6 para os EUA e espionou a Agência de Segurança Nacional, a NSA, e a CIA, usando celulares rastreados nas sedes das agências contra elas próprias.

Com sede na Virgínia, fundada em 2018 por dois ex-oficiais de inteligência militar, a Anomaly Six tem uma presença pública discreta, ao ponto de ser misteriosa. O site da empresa não revela nada sobre o que ela realmente faz – mas há boas chances de que a A6 saiba muito sobre você. A empresa é uma das muitas organizações que compra um gigantesco volume de dados de localização, rastreando centenas de milhões de pessoas no mundo inteiro graças a um fato pouco compreendido: a todo instante, inúmeros aplicativos comuns de smartphone coletam as localizações dos usuários e as retransmitem para anunciantes, geralmente sem que se tenha conhecimento ou consentimento, aproveitando as letras miúdas do juridiquês de extensos termos de serviço – que as empresas envolvidas esperam que você nunca leia. Atualmente não há lei nos EUA que proíba a venda e revenda de informações depois que a sua localização é transmitida a um anunciante. Empresas como a Anomaly Six são livres para adquiri-las e vendê-las à clientela privada e governamental. Dia após dia, a indústria da publicidade digital faz o trabalho pesado para qualquer interessado em rastrear a vida diária de outras pessoas – para terceiros interessados, basta adquirir o acesso.

Os materiais da empresa obtidos pelo Intercept e pela Tech Inquiry detalham a dimensão do poder de vigilância global da Anomaly Six, cujos recursos são capazes de fornecer a qualquer cliente habilidades antes reservadas a militares e agências de espionagem.

Segundo gravações em vídeo analisadas pelo Intercept e pela Tech Inquiry, a A6 afirma que pode rastrear cerca de 3 bilhões de dispositivos em tempo real – o equivalente a um quinto da população mundial. Essa impressionante capacidade de vigilância foi citada em uma apresentação para oferecer recursos de rastreamento telefônico da A6 para a Zignal Labs, empresa de monitoramento de redes sociais que aproveita seu acesso ao fluxo de dados “firehose”, raramente concedido pelo Twitter, para filtrar centenas de milhões de tuítes por dia sem restrições. Com a combinação das capacidades das duas empresas, propôs a A6, os clientes corporativos e governamentais da Zignal poderiam não apenas vigiar globalmente a atividade das redes sociais, mas também determinar quem exatamente publicou certos tuítes, de onde eles foram postados, com quem essas pessoas estavam, onde estiveram anteriormente e aonde foram em seguida. Essa robusta capacidade ampliada seria um benefício óbvio para ambas as organizações monitorarem seus adversários globais e empresas controlarem seus funcionários.

Sob anonimato, a fonte que compartilhou os materiais expressou grande preocupação com a legalidade de empresas terceirizadas do governo, como a Anomaly Six e a Zignal Labs, estarem “revelando postagens em redes sociais, nomes de usuários e localizações de americanos” a usuários do “Departamento de Defesa”. A fonte também afirmou que a Zignal Labs mentiu ao Twitter de forma intencional, retendo os casos de uso de vigilância militar e corporativa mais amplos de seu acesso “firehose”. Os termos de serviço do Twitter tecnicamente proíbem terceiros de “realizar ou fornecer vigilância ou coletar inteligência” usando o acesso à plataforma, embora a prática seja comum e a aplicação dessa proibição, rara. Questionado sobre essas preocupações, o porta-voz Tom Korolsyshun disse ao Intercept que “a Zignal cumpre as leis de privacidade e as diretrizes estabelecidas por nossos parceiros de dados”.

A A6 alega que sua captura de dados de GPS reúne diariamente de 30 a 60 pings de localização por dispositivo e 2,5 trilhões de pontos de dados de localização anuais no mundo inteiro, totalizando até 280 terabytes de dados de localização por ano e muitos petabytes no total – sugerindo que a empresa monitora todos os dias, em média, cerca de 230 milhões dispositivos. O representante de vendas da A6 acrescentou que, enquanto muitas empresas rivais coletam dados de localização pessoal por meio de conexões bluetooth e wi-fi de telefones – que fornecem informações gerais sobre o paradeiro do usuário –, a Anomaly 6 coleta apenas pontos de GPS com margem de metros de precisão. Além de coletar dados de localização, a A6 afirmou que construiu uma biblioteca com mais de 2 bilhões de endereços de e-mail e outros dados pessoais que as pessoas compartilham quando utilizam aplicativos de smartphone e que podem ser usados para identificar a quem pertence o ping do GPS. Tudo isso é alimentado, observou Clark durante a apresentação, pela ignorância geral da onipresença e invasão dos kits de desenvolvimento de software para smartphones, conhecidos como SDKs: “Tudo é aceito e enviado pelo usuário, mesmo que ele provavelmente não leia as 60 páginas [do contrato de licença do usuário final]”.

O Intercept não conseguiu corroborar as alegações da Anomaly Six sobre seus dados e recursos, feitas no contexto de uma apresentação de vendas. O pesquisador de privacidade Zach Edwards acredita que as alegações sejam plausíveis, mas alertou que as empresas tendem a exagerar a qualidade de seus dados. O pesquisador de segurança móvel Will Strafach concorda com Edwards, destacando que o fornecimento de dados da A6 “soa alarmante, mas não está muito distante das alegações ambiciosas de outras empresas”. Para Wolfie Christl, pesquisador de vigilância e privacidade no setor de dados de aplicativos, mesmo que os recursos da Anomaly Six sejam exagerados ou parcialmente imprecisos, uma empresa que possua que uma fração desses recursos de espionagem seria preocupante do ponto de vista da privacidade pessoal.

Procurado para comentar, o porta-voz da Zignal deu a seguinte declaração: “Embora a Anomaly 6 tenha demonstrado no passado seus recursos para a Zignal Labs, a Zignal Labs não tem um relacionamento com a Anomaly 6. Nunca integramos os recursos da Anomaly 6 em nossa plataforma nem oferecemos a Anomaly 6 a nenhum de nossos clientes”.

Quando perguntado sobre a apresentação da empresa e seus recursos de vigilância, o cofundador da Anomaly Six, Brendan Huff, respondeu por e-mail que “a Anomaly Six é uma pequena empresa de propriedade de veteranos que se preocupa com os interesses americanos, a segurança natural e entende a lei”.

Empresas como a A6 são alimentadas pela onipresença dos SDKs – pacotes de código prontos para uso que os fabricantes de software podem inserir em seus aplicativos para facilitar a inclusão de funcionalidades e monetizar suas ofertas com anúncios. De acordo com Clark, a A6 pode obter medições exatas de GPS coletadas por meio de parcerias secretas com “milhares” de aplicativos de smartphone – um modo de operar que ele descreveu na apresentação como uma “abordagem ‘da fazenda à mesa’ para aquisição de dados”. Esses dados não são úteis apenas para pessoas que esperam vender coisas: o comércio global de dados pessoais, amplamente não regulamentado, encontra cada vez mais clientes, não apenas em agências de marketing, mas também em agências federais de rastreamento de imigrantes e alvos de drones e por órgãos que estabelecem sanções econômicas e fiscalizam a evasão fiscal. De acordo com dados públicos analisados inicialmente pela Motherboard, em setembro de 2020 o Comando de Operações Especiais dos EUA pagou 590 mil dólares à Anomaly Six para ter um ano de acesso ao “feed de telemetria comercial” da empresa.

O software da Anomaly Six permite que os clientes naveguem por todos esses dados com uma visualização intuitiva, ao estilo da visão de satélite do Google Maps. Os usuários precisam apenas encontrar um local de interesse e desenhar uma caixa ao redor dessa localização. A A6 preenche a delimitação com pontos que indicam smartphones que passaram pela área. O clique em um ponto fornece linhas que representam os movimentos do dispositivo – e de seu proprietário – em um bairro, cidade ou mesmo no exterior.

Enquanto as forças armadas russas se aproximavam da fronteira com a Ucrânia, o representante de vendas da A6 detalhou como a vigilância por GPS poderia ajudar a transformar a Zignal em uma espécie de agência de espionagem privada, capaz de auxiliar a clientela estatal no monitoramento dos movimentos de tropas. Imagine, explicou Clark, se os tuítes da zona de crise que a Zignal rapidamente trouxe à tona fossem apenas o começo. Usando imagens de satélite tuitadas por contas que conduzem as cada vez mais populares investigações de “inteligência open source” – conhecida pela sigla em inglês OSINT –, Clark mostrou como o rastreamento por GPS da A6 permitiria aos clientes da Zignal determinar não apenas que a concentração de forças militares estava ocorrendo, como também rastrear telefones de soldados russos durante a mobilização para apontar onde exatamente eles haviam treinado, estavam instalados e a quais unidades pertenciam. Clark mostrou o software da A6 rastreando os telefones das tropas russas de forma retroativa, indicando localizações anteriores, distantes da fronteira, como uma instalação militar próxima à cidade russa de Yurga. O representante da A6 sugeriu que os aparelhos poderiam ser rastreados até as residências dos militares. Reportagens anteriores do Wall Street Journal indicam que esse método de rastreamento já é usado para monitorar manobras militares russas e que as tropas americanas estão igualmente vulneráveis.

Em outra demonstração, Clark aproximou a visualização do mapa em direção à cidade de Molkino, no sul da Rússia, onde os mercenários do Grupo Wagner estariam instalados. O mapa mostrava dezenas de pontos indicando dispositivos na base do grupo e linhas dispersas apontando movimentos recentes. “Você pode começar a assistir a esses dispositivos”, explicou Clark. “Sempre que eles começam a deixar a área, estou analisando a potencial atividade de pré-deslocamento de atores russos não padronizados, seu pessoal não uniforme. Se você os vir entrando na Líbia, na República Democrática do Congo ou algo do tipo, isso pode ajudar a entender melhor as possíveis ações de soft power que os russos estão adotando.”

Para impressionar completamente seu público com o imenso poder do software, a Anomaly Six fez o que poucos no mundo são capazes: espionar espiões americanos.

A apresentação observou que esse tipo de vigilância telefônica em massa poderia ser usado pela Zignal para ajudar clientes não especificados com “contramensagens”, desmascarando as alegações russas de que tais mobilizações militares seriam meros exercícios de treinamento e não a preparação para uma invasão. “Em termos de contramensagem, vocês têm grande parte do valor de fornecer ao cliente a peça de contramensagem – [A Rússia está] dizendo: ‘Ah, é apenas local, regional… Exercícios.’ Tipo assim, não. Podemos ver pelos dados que eles estão vindo de toda a Rússia.”

Para impressionar o público da apresentação com o imenso poder do software, a Anomaly Six fez o que poucos no mundo são capazes: espionar espiões americanos. “Gosto de tirar sarro do nosso próprio povo”, disse Clark. Abrindo uma visão de satélite semelhante ao Google Maps, o representante de vendas mostrou a sede da NSA em Fort Meade, em Maryland, e a sede da CIA em Langley, na Virgínia. Com delimitações virtuais desenhadas em torno de ambas – técnica conhecida como geofencing –, o software da A6 revelou uma incrível recompensa de inteligência: 183 pontos representando telefones que visitaram ambas as agências, potencialmente pertencentes a membros da inteligência americana, com centenas de linhas revelando seus movimentos, prontos para serem rastreados no mundo inteiro. “Se eu sou um oficial de inteligência estrangeiro, agora tenho 183 pontos de partida”, observou Clark.

A NSA e a CIA se recusaram a comentar.

A Anomaly Six rastreou um dispositivo que visitou as sedes da NSA e da CIA e uma base aérea próxima de Zarqa, na Jordânia.

Captura de tela: The Intercept/Google Maps

Ao clicar em um dos pontos da NSA, Clark pôde seguir os movimentos exatos daquele indivíduo – praticamente todos os momentos de sua vida durante um período prévio de um ano. “Pense em coisas divertidas como terceirização”, disse Clark. “Se sou um oficial de inteligência estrangeiro, não tenho acesso a coisas como a agência ou o forte, mas posso descobrir onde essas pessoas moram, para onde viajam, quando saem do país.” A demonstração rastreou o indivíduo nos EUA e no exterior até um centro de treinamento e um aeródromo a cerca de uma hora de carro, a noroeste da Base Aérea Muwaffaq Salti, em Zarqa, Jordânia, onde os EUA mantêm uma frota de drones.

“Não é preciso muita criatividade para ver como espiões estrangeiros podem usar essas informações para espionagem, chantagem, todo tipo de, como costumavam dizer, atos covardes.”

“Com certeza há uma séria ameaça à segurança nacional se um analista de dados puder rastrear algumas centenas de funcionários de inteligência em suas casas e no mundo inteiro”, afirmou ao Intercept o senador democrata Ron Wyden, crítico da indústria de dados pessoais. “Não é preciso muita criatividade para ver como espiões estrangeiros podem usar essas informações para espionagem, chantagem, todo tipo de, como costumavam dizer, atos covardes.”

De volta aos EUA, o indivíduo em questão foi rastreado até sua casa. O software da A6 inclui uma função chamada “Regularidade”, um botão em que os clientes podem clicar para analisar locais visitados com frequência, permitindo que se deduza onde um alvo mora e trabalha, embora os pontos de GPS fornecidos pela A6 omitam o nome do proprietário do telefone. Pesquisadores de privacidade afirmam há muito tempo que mesmo dados “anônimos” de localização podem ser facilmente associados a um indivíduo com base nos lugares que ele mais frequenta, um fato confirmado pela demonstração da A6. Depois de apertar o botão “Regularidade”, Clark ampliou uma imagem do Google Street View da casa do indivíduo.

“A indústria alegou repetidamente que coletar e vender esses dados de localização de celulares não violam a privacidade por estarem vinculados a números de identificação de dispositivos em vez de nomes de pessoas. Esse recurso prova que essas alegações são superficiais”, disse Nate Wessler, vice-diretor do Projeto de Expressão, Privacidade e Tecnologia da União Americana das Liberdades Civis, a ACLU. “É claro que seguir os movimentos de uma pessoa 24 horas por dia, todos os dias, dirá onde ela mora, onde trabalha, com quem passa o tempo e quem ela é. A violação de privacidade é imensa.”

A demonstração continuou com um exercício de vigilância assinalando movimentos navais dos EUA, usando uma foto de satélite tuitada do barco USS Dwight D. Eisenhower, no Mar Mediterrâneo, realizada pela empresa Maxar Technologies. Clark explicou como uma foto de satélite poderia ser transformada em um recurso de vigilância ainda mais poderoso do que uma imagem obtida do espaço. Usando as coordenadas de latitude e longitude e a indicação de horário vinculadas à foto da Maxar, a A6 conseguiu captar um sinal de telefone oriundo da posição do navio naquele exato momento, ao sul de Creta. “É preciso apenas um”, observou Clark. “Quando olho para trás, onde esteve esse dispositivo? De volta a Norfolk. E o que mais vemos no porta-aviões? Aqui estão todos os outros dispositivos.” Sua tela revelou uma visão da embarcação ancorada na Virgínia, repleta de milhares de pontos coloridos representando pings de localização de telefones coletados pela A6. “Bem, agora eu posso ver toda vez que aquele navio está se deslocando. Não preciso de satélites. Posso usar isso.”

Embora Clark tenha admitido que a empresa tem muito menos dados disponíveis sobre os proprietários de telefones chineses, a demonstração mostrou ao final um ping de GPS captado a bordo de um suposto submarino nuclear chinês. Usando apenas imagens de satélite não classificadas e dados de publicidade comercial, a Anomaly Six conseguiu rastrear com precisão movimentos das forças militares e de inteligência mais sofisticadas do mundo. Com ferramentas como as vendidas pela A6 e pela Zignal, até mesmo um aficionado de inteligência open source teria poderes de vigilância global anteriormente exclusivos a nações. “As pessoas colocam muita coisa nas redes sociais”, acrescentou Clark com uma risada.

Como os dados de localização proliferaram sem supervisão do governo dos EUA, uma mão lava a outra, criando um setor privado com poderes de vigilância de magnitude estatal que também podem alimentar o crescente apetite do estado por vigilância, sem o habitual escrutínio judicial. Os críticos dizem que o comércio livre de dados publicitários constitui uma brecha na Quarta Emenda, a qual exige que o governo leve seu caso a um juiz para ter acesso às coordenadas de localização de um provedor de celular. Mas a mercantilização total dos dados telefônicos permite que o governo dos EUA abra mão de ordens judiciais e simplesmente compre dados muitas vezes ainda mais precisos que os fornecidos por empresas de telefonia como a Verizon. Defensores das liberdades civis afirmam que isso abre uma lacuna perigosa entre as proteções pretendidas pela Constituição e a compreensão da lei sobre o comércio moderno de dados.

“A Suprema Corte deixou claro que as informações de localização de celular são protegidas pela Quarta Emenda devido à imagem detalhada da vida de uma pessoa que ela pode revelar”, explicou Wessler. “As compras de acesso a dados de localização confidenciais de americanos por agências governamentais levantam sérias questões sobre se elas estão envolvidas em uma operação ilegal no que diz respeito à exigência de mandado da Quarta Emenda. É hora de o Congresso acabar de uma vez por todas com a insegurança jurídica que permite essa vigilância, avançando para a aprovação da lei ‘A Quarta Emenda Não Está à Venda’.”

Embora tal legislação pudesse restringir a capacidade do governo de pegar carona na vigilância comercial, os criadores de aplicativos e os analistas de dados permaneceriam livres para vigiar os proprietários de telefones. Ainda assim, Wyden, coautor do projeto de lei, disse ao Intercept que acredita que “essa legislação manda uma mensagem muito forte” ao “Velho Oeste” da vigilância baseada em anúncios, mas que reprimir a cadeia de fornecimento de dados de localização seria “certamente uma questão para o futuro”. Wyden sugeriu que a Comissão Federal de Comércio poderia lidar melhor com a proteção do rastro de localização obtido por aplicativos de espionagem e anunciantes. Outra legislação, introduzida anteriormente por Wyden, capacitaria a comissão a reprimir o compartilhamento promíscuo de dados e ampliar a capacidade dos consumidores de optar por não rastrear anúncios.

A A6 está longe de ser a única empresa envolvida na privatização do rastreamento e da vigilância de dispositivos. Três dos principais funcionários da Anomaly Six trabalharam antes na concorrente Babel Street, que listou os três em um processo de 2018, noticiado pelo Wall Street Journal. De acordo com o documento, Brendan Huff e Jeffrey Heinz fundaram a Anomaly Six (e a menos conhecida Datalus 5) meses depois de deixarem a Babel Street, em abril de 2018, com a intenção de replicar o Locate X – produto de vigilância de localização de celular da Babel – em parceria com a Semantic AI, concorrente da Babel. Em julho de 2018, Clark seguiu os passos de Huff e Heinz. Deixou o cargo de “interface principal para… clientes da comunidade de inteligência” e se tornou funcionário da Anomaly Six e da Semantic.

Como seu rival Dataminr, a Zignal anuncia suas parcerias mundanas com a marca de roupas Levi’s e o time de basquete Sacramento Kings, mostrando-se em termos vagos, com pouca indicação de que usa o Twitter para fins de inteligência – uma violação ostensiva da política antivigilância do Twitter. Os laços da Zignal com o governo são profundos: o conselho consultivo da empresa inclui um ex-chefe do Comando de Operações Especiais do Exército dos EUA, Charles Cleveland, bem como o CEO do Grupo Rendon, John Rendon, cuja biografia informa que ele “foi pioneiro no uso de comunicações estratégicas e gerenciamento de informações em tempo real como um elemento do poder nacional, servindo como consultor da Casa Branca, da comunidade de Segurança Nacional dos EUA, incluindo o Departamento de Defesa dos EUA. ” Além disso, dados públicos afirmam que a Zignal recebeu cerca de 4 milhões de dólares para subcontratar, por meio da empresa de recrutamento de defesa ECS Federal, o Projeto Maven para “Agregação de Dados… Publicamente Disponíveis” e um “Enclave de Informações Publicamente Disponíveis” relacionado à Rede Não Classificada Segura do exército dos EUA.

A notável capacidade global da Anomaly Six é representativa do salto quântico que ocorre no campo da inteligência open source. Embora o termo seja frequentemente usado para descrever o trabalho de detetive habilitado pela internet, baseado em registros públicos para, digamos, identificar a localização de um crime de guerra a partir de um videoclipe granulado, os sistemas de “inteligência open source automatizada” agora usam software para combinar enormes conjuntos de dados que ultrapassam o que um humano poderia fazer por conta própria. A inteligência open source automatizada também se tornou um nome inadequado, usando informações que não são de forma alguma “código aberto” ou de domínio público, tais como dados comerciais de GPS que devem ser comprados de um analista privado.

Embora poderosas, as técnicas de inteligência open source geralmente são protegidas de acusações de violação de privacidade porque a natureza “código aberto” das informações significa que elas já eram, em certa medida, públicas. Essa é uma defesa que a Anomaly Six, com seus bilhões de pontos de dados adquiridos, não consegue reunir. Em fevereiro, o Comitê Holandês de Revisão dos Serviços de Inteligência e Segurança divulgou relatório sobre técnicas automatizadas de inteligência open source e a ameaça à privacidade pessoal que elas podem representar: “O volume, a natureza e a variedade de dados pessoais nessas ferramentas automatizadas de inteligência open source podem levar a uma violação mais grave dos direitos fundamentais, em particular o direito à privacidade, do que consultar dados de fontes de informação online publicamente acessíveis, como dados de redes sociais publicamente acessíveis ou dados recuperados usando um mecanismo de pesquisa genérico”. Essa fusão de dados públicos, registros pessoais adquiridos de forma privada e análise computadorizada não é o futuro da vigilância governamental, mas o presente. No ano passado, o New York Times noticiou que a Agência de Inteligência da Defesa “compra bancos de dados comercialmente disponíveis contendo dados de localização de aplicativos de smartphones e realiza buscas retroativas, sem mandado, de movimentos de americanos”, um método de vigilância que hoje é praticado regularmente por órgãos como o Pentágono, o Departamento de Segurança Interna e a Receita Federal dos EUA, entre outros.

Tradução: Ricardo Romanoff