Der US-Staatsangehörige Laut dem scheidenden Direktor der Behörde kauft die US-Sicherheitsbehörde ohne Genehmigung große Mengen kommerziell verfügbarer Webbrowserdaten von Amerikanern.
NSA-Direktor General Paul Nakasone enthüllte die Praxis in einem Brief an Senator Ron Wyden, einen Datenschutzaktivisten und hochrangigen Demokraten im Geheimdienstausschuss des Senats. Wyden veröffentlichte den Brief am Donnerstag.
Nakasone sagte, die NSA kaufe „verschiedene Arten“ von Informationen von Datenbrokern „für ausländische Geheimdienste, Cybersicherheit und autorisierte Missionszwecke“ und dass einige der Daten von Geräten stammen könnten, „die außerhalb – und in bestimmten Fällen innerhalb – der Vereinigten Staaten verwendet werden Zustände.“
„Die NSA kauft und nutzt kommerziell verfügbare Netflow-Daten im Zusammenhang mit rein inländischer Internetkommunikation und Internetkommunikation, bei der eine Seite der Kommunikation eine US-Internet-Protokoll-Adresse ist und die andere sich im Ausland befindet“, sagte Nakasone in dem Brief.
Netflow-Datensätze enthalten nicht inhaltliche Informationen (auch Metadaten genannt) über den Fluss und das Volumen des Internetverkehrs über ein Netzwerk, die Aufschluss darüber geben können, woher Internetverbindungen kamen und welche Server Daten an andere weitergegeben haben. Netflow-Daten kann verwendet werden, um den Netzwerkaktivitätsverkehr über VPNs zu verfolgen und kann dabei helfen, Server und Netzwerke zu identifizieren, die von böswilligen Hackern verwendet werden.
Die NSA gab nicht bekannt, bei welchen Anbietern sie kommerziell erhältliche Internetaufzeichnungen kauft.
In einem Antwortbrief an das Office of the Director of National Intelligence (ODNI), das die US-Geheimdienste beaufsichtigt, sagte Wyden, dass diese Internet-Metadaten „genauso sensibel sein können“ wie Standortdaten, die von Datenbrokern verkauft werden, da sie die Identität von Amerikanern identifizieren können. private Online-Aktivität.
„Webbrowsing-Aufzeichnungen können vertrauliche, private Informationen über eine Person preisgeben, je nachdem, wo sie im Internet unterwegs ist, einschließlich des Besuchs von Websites zu Ressourcen für psychische Gesundheit, Ressourcen für Überlebende sexueller Übergriffe oder häuslicher Gewalt oder des Besuchs eines Telemedizinanbieters, der sich auf Geburten konzentriert.“ Kontroll- oder Abtreibungsmedikamente“, sagte Wyden in einer Stellungnahme.
Wyden sagte, er habe im März 2021 von der Sammlung inländischer Internetaufzeichnungen der NSA erfahren, sei jedoch nicht in der Lage gewesen, die Informationen öffentlich zu teilen, bis sie freigegeben wurden. Als Mitglied des Geheimdienstausschusses des Senats darf Wyden vertrauliche Materialien empfangen und lesen, diese jedoch nicht öffentlich weitergeben. Die NSA hob die Beschränkungen nach Wyden auf die Nominierung des nächsten NSA-Direktors zurückhaltensagte der Senator.
Die Praxis der US-Geheimdienste, große Mengen kommerziell verfügbarer Daten von privaten Datenbrokern zu kaufen, ist zwar nicht neu, wurde aber erst im Juni 2023 öffentlich bekannt gegeben. Das ODNI gab nicht bekannt, welche US-Spionageagenturen die Daten kauften, und gab auch nicht an, ob es davon wusste . Nach eigenen Angaben sagte das ODNI damals, dass kommerziell erworbene Daten „eindeutig einen nachrichtendienstlichen Wert bieten“, aber „erhebliche Fragen im Zusammenhang mit der Privatsphäre und den bürgerlichen Freiheiten aufwerfen“.
Die NSA ist nicht die einzige US-Regierungsbehörde, die sich für die Informationsbeschaffung oder Ermittlungen auf kommerziell erworbene Daten verlässt. Frühere Berichte zeigen die Defense Intelligence Agency kaufte Zugang zu einer kommerziellen Datenbank mit Standortdaten von Amerikanern im Jahr 2021 ohne Haftbefehl. Auch der Internal Revenue Service verwendete Standortdaten, die es von einem Datenbroker gekauft hatte, um Verdächtige zu identifizierenebenso wie das Department of Homeland Security, um illegale Migranten aufzuspüren, in beiden Fällen ohne Durchsuchungsbefehl.
Die Verwendung kommerzieller Daten durch die US-Geheimdienste wirft jedoch Fragen zur Rechtmäßigkeit dieser Praxis auf, zu einem Zeitpunkt, an dem die NSA dies tut Es steht vor der Kontrolle des Kongresses über seine auslaufenden gesetzlichen Überwachungsbefugnisse und indirekte Ermahnungen aus der Bundesregierung.
In seinem Brief an das ODNI führte Wyden an, dass die jüngsten Durchsetzungsmaßnahmen der Federal Trade Commission gegen Datenmakler „ernsthafte Fragen zur Rechtmäßigkeit“ von Regierungsbehörden aufwerfen, die Zugriff auf die Daten von Amerikanern kaufen.
Anfang dieses Monats verbot die FTC X-Mode, einen produktiven Datenbroker, der Daten teilte die Standortdaten muslimischer Gebets-App-Benutzer mit militärischen Auftragnehmern, vom Verkauf von Telefonstandortdaten und forderte das Unternehmen auf, die gesammelten Daten zu löschen. Eine Woche später erhob die FTC eine ähnliche Klage gegen InMarket, einen anderen Datenbroker, mit der Begründung, das Unternehmen habe vor der Erfassung ihrer Standortdaten nicht die ausdrückliche Zustimmung der Benutzer eingeholt, und verbot dem Datenbroker den Verkauf der genauen Standortdaten der Verbraucher.
Damit geraten Regierungsstellen und Behörden, die kommerziell gewonnene Daten nutzen, wie die NSA, in eine rechtliche Grauzone.
Als FTC-Sprecherin Juliana Gruenwald Henderson am Freitag per E-Mail kontaktiert wurde, sagte sie, die Regulierungsbehörde habe keinen Kommentar zur Verwendung kommerzieller Daten durch die NSA abgegeben.
Regierungsbehörden müssen in der Regel einen gerichtlich genehmigten Haftbefehl einholen, bevor sie private Daten über Amerikaner von einem Telefon- oder Technologieunternehmen erhalten. US-Behörden haben diese Anforderung jedoch umgangen, indem sie argumentierten, dass sie keinen Haftbefehl benötigen, wenn die Informationen, wie z. B. genaue Standortaufzeichnungen oder Netflow-Daten, offen zum Verkauf an jeden stehen, der sie kaufen möchte – obwohl diese Rechtstheorie vor US-Gerichten noch nicht überprüft wurde.
Die NSA ihrerseits erklärte in ihrem Brief an Wyden, dass ihr „keine Anforderung im US-Recht oder in der Gerichtsmeinung bekannt sei …“ [the Department of Defense] eine gerichtliche Anordnung einholen, um Informationen zu erlangen, darauf zuzugreifen oder sie zu nutzen, wie z [commercially available information]das ausländischen Gegnern, US-Unternehmen und Privatpersonen gleichermaßen zum Kauf zur Verfügung steht wie der US-Regierung.“
Wyden forderte das ODNI auf, eine Richtlinie einzuführen, die es US-Spionageagenturen nur erlaubt, Daten über Amerikaner zu erwerben, die dem FTC-Standard für legale Datenverkäufe entsprechen. Andernfalls sollte die Agentur die Daten löschen. Wyden sagte, wenn ein US-Spionagedienst einen besonderen Bedarf an der Aufbewahrung der Daten habe, sollte er zumindest den Kongress informieren, wenn nicht sogar die breite Öffentlichkeit.
Es bleibt unklar, ob die NSA auch Zugang zu Standortdatenbanken erwirbt, wie es andere Bundesbehörden getan haben.
Nakasone sagte in seinem Brief an Wyden, dass die NSA keine Standortdaten kauft und verwendet, die von Telefonen oder Fahrzeugen gesammelt werden, „von denen bekannt ist, dass sie sich in den Vereinigten Staaten befinden“, und lässt die Interpretation offen, dass die NSA kommerziell verfügbare Daten erwerben könnte, wenn dies nicht bekannt wäre stammen von US-Geräten.
Als NSA-Sprecher Eddie Bennett per E-Mail kontaktiert wurde, bestätigte er, dass die NSA kommerziell verfügbare Internet-Netflow-Daten sammelt, lehnte es jedoch ab, Nakasones Bemerkungen klarzustellen oder zu kommentieren.
Sie können Zack Whittaker by Signal unter +1 646.755.8849 oder per E-Mail kontaktieren. Sie können Dateien und Dokumente auch über unseren SecureDrop mit Tech teilen.