A inteligência doméstica da Hungria, a polícia nacional de El Salvador e diversos órgãos de segurança e departamentos de polícia dos Estados Unidos foram associados ao uso de um sistema global de vigilância por geolocalização baseado em publicidade chamado Webloc.
A ferramenta foi desenvolvida pela empresa israelense Cobwebs Technologies e agora é comercializada por sua sucessora, a Penlink, após a fusão entre as duas companhias em julho de 2023, segundo um relatório publicado pelo Citizen Lab.
Fundada em 1986, a Penlink fornece software de “mission-critical communications” e de coleta e análise de evidências digitais para agências de segurança nos EUA e em vários países.
Entre os clientes norte-americanos do Webloc estão o Immigration and Customs Enforcement, o ICE, as Forças Armadas dos EUA, o Texas Department of Public Safety, o DHS West Virginia, promotores de Nova York e departamentos de polícia em Los Angeles, Dallas, Baltimore, Tucson e Durham, além de cidades e condados menores, como Elk Grove e o condado de Pinal.
“O Webloc é vendido como um produto adicional ao sistema de inteligência para redes sociais e web Tangles”, afirmaram os pesquisadores do Citizen Lab Wolfie Christl, Astrid Perry, Luis Fernando Garcia, Siena Anstis e Ron Deibert.
“Ele oferece acesso a um fluxo constantemente atualizado de registros de até 500 milhões de dispositivos móveis em todo o mundo, contendo identificadores de dispositivos, coordenadas de localização e dados de perfil coletados de apps móveis e publicidade digital.”
Na prática, o sistema de vigilância baseado em anúncios usa dados comprados de aplicativos móveis e da publicidade digital para analisar o comportamento e os deslocamentos de centenas de milhões de pessoas.
A Cobwebs Technologies o apresentou oficialmente em outubro de 2020 como uma “plataforma de location intelligence de ponta que reúne e analisa dados da web combinados com pontos de dados geoespaciais, usando mapas interativos em camadas para conectar o mundo digital aos dados físicos”.
Com a ferramenta, clientes podem monitorar a localização, os movimentos e as características pessoais de populações inteiras com até três anos de histórico.
Segundo informações disponíveis no site da Penlink, o Webloc pode ser usado para “investigar e interpretar dados baseados em localização para apoiar seus casos”.
O sistema também consegue inferir a localização a partir de endereços IP e identificar os donos dos dispositivos ao cruzar endereços residenciais e locais de trabalho.
Curiosamente, a Cobwebs Technologies estava entre as sete empresas de cyber mercenaries removidas pela Meta em dezembro de 2021 por operar cerca de 200 contas usadas para reconhecimento de alvos e até para ações de social engineering, com o objetivo de entrar em comunidades e fóruns fechados e induzir pessoas a revelar informações pessoais.
Na época, a gigante das redes sociais informou ter identificado clientes da Cobwebs Technologies em Bangladesh, Hong Kong, Estados Unidos, Nova Zelândia, México, Arábia Saudita e Polônia.
“Além de alvos relacionados a atividades de aplicação da lei, também observamos frequentes ações contra ativistas, políticos da oposição e autoridades governamentais em Hong Kong e no México”, afirmou a Meta.
Relatórios da 404 Media, da Forbes e do Texas Observer revelaram que o Webloc pode ser usado para rastrear celulares sem mandado judicial, e um aviso de aquisição destacou a capacidade da ferramenta de “automatizar e monitorar continuamente identificadores únicos de publicidade móvel, endereços IP geolocalizados e a análise de dispositivos conectados”.
Uma análise de registros corporativos e de outras informações públicas mostrou ainda que a Cobwebs Technologies mantém vínculos com a fornecedora israelense de spyware Quadream por meio de Omri Timianker, fundador e ex-presidente da Cobwebs Technologies, que hoje responde pelas operações internacionais da Penlink.
A empresa é suspeita de ter encerrado suas operações em 2023.
Até 219 servidores ativos ligados a implantações de produtos da Cobwebs foram identificados, a maioria nos Estados Unidos, com 126 servidores, seguida por Países Baixos, com 32, Singapura, com 17, Alemanha e Hong Kong, com 8 cada, e Reino Unido, com 7.
Servidores potenciais do produto também foram detectados em diversos países da África, da Ásia e da Europa.
Em resposta ao relatório, a Penlink afirmou que as conclusões “parecem se basear em informações incorretas ou em um entendimento equivocado sobre como operamos, incluindo práticas às quais a Penlink não recorre após a aquisição da Cobwebs Technologies em 2023”.
A empresa também declarou que cumpre as leis estaduais de privacidade dos Estados Unidos.
“Nossa pesquisa mostra que a vigilância invasiva e juridicamente questionável baseada em publicidade, ou seja, sem mandado ou supervisão adequada, está sendo usada por agências militares, de inteligência e de segurança pública até o nível de unidades policiais locais em vários países do mundo”, disse o Citizen Lab.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...