Citizen Lab研究人员Wolfie Christl等人在报告中指出,以色列公司Cobwebs Technologies开发的Webloc工具,现由其继任者Penlink销售,已被匈牙利情报机构、萨尔瓦多国家警察以及多家美国执法部门采用。根据Penlink官网信息,该工具作为社交媒体情报系统Tangles的附加产品,提供实时更新的设备记录流,包括设备标识符、位置坐标和用户画像数据。这些记录来源于移动App和数字广告平台,覆盖全球范围。Penlink成立于1986年,主要向美国及全球执法机构供应数字证据收集软件。美国客户名单长长一串:移民与海关执法局ICE、美国军方、德克萨斯公共安全部、西弗吉尼亚国土安全部、纽约市检察官办公室,还有洛杉矶、达拉斯、巴尔的摩、图森、达勒姆等多地警察局,甚至小城市如Elk Grove市和Pinal县也榜上有名。链上数据显示,Webloc部署的活跃服务器达219个,其中126个位于美国,32个在荷兰,17个在新加坡。
Webloc的核心玩法简单粗暴。它从广告生态买数据,分析数亿人的行为轨迹和移动路径。Cobwebs Technologies在2020年10月正式推出这款平台,自称能融合网络数据与地理空间点位,通过交互地图链接数字世界和物理位置。用户可回溯过去三年整个人群的位置、移动和个人信息特征。Penlink网站强调,它帮助调查人员解读位置数据支持办案,还能从IP地址推断位置,挖掘设备主人的家庭住址和工作场所。报告还挖出Cobwebs的灰色过往:2021年12月Meta封禁其7家网络雇佣军之一,涉及200个账户用于侦察和社会工程攻击,客户遍布孟加拉、香港、美国、新西兰、墨西哥、沙特和波兰。当时Meta观察到针对香港和墨西哥活动人士、反对派政客及官员的频繁追踪。404 Media、Forbes和Texas Observer的报道显示,Webloc无需搜查令即可追踪手机,一份采购通知直指它能自动化监控移动广告ID、地理定位IP和关联设备。企业记录显示,Cobwebs创始人Omri Timianker现掌管Penlink国际业务,该公司疑似与以色列间谍软件商Quadream有关联,2023年可能已关闭运营。
这项广告基监视系统让本地警察也能玩转大规模追踪,Citizen Lab直指其入侵性和法律疑虑。根据报告,全球多国军情和执法单位均无搜查令或足够监督就上手。Penlink回应称,Citizen Lab发现基于不准确信息或误解,自2023年收购Cobwebs后,他们不从事此类操作,并遵守美国州隐私法。现实中,Webloc服务器分布非洲、亚洲和欧洲多地,暴露执法数据贩卖链条的隐秘一角。想想看,日常刷广告竟成追踪你的把柄,这套系统已渗透美国移民执法到地方警局,隐私边界正被悄然蚕食。(852字)