Новая "холодная война" уже в смартфонах. Теперь вы можете купить геолокацию объектов НАТО и Европарламента

Миллионы мобильных телефонов в странах Европейского союза ежедневно оставляют цифровые следы, которые можно купить на открытом рынке. Координаты передвижений, точки проживания, места работы, посещения фитнес-центров, больниц или даже интимных заведений — всё это доступно в коммерческих базах данных, созданных якобы ради рекламного таргетинга. Расследование журналистов из Bayerischer Rundfunk, L'Echo, Le Monde и BNR, опубликованное в рамках проекта Databroker Files, показало, что торговля такими данными угрожает не только частной жизни граждан, но и безопасности Европы.

Авторы исследования обнаружили, что даже сотрудники высшего уровня Европейской комиссии, включая чиновников подразделений, подчинённых Урсуле фон дер Ляйен, невольно стали объектом слежки. В их распоряжении оказались точные координаты домов и офисов, а также детализированные маршруты поездок по Брюсселю. Данные поступили из открыто продаваемых пакетов, предлагаемых брокерами как «пробная выборка» перед покупкой подписки. Всего в двух новых массивах, проанализированных журналистами, оказалось около 278 миллионов записей о передвижениях пользователей в Бельгии.

Несмотря на обещания Регламента о защите данных GDPR, принятого ещё в 2015 году, расследование показало, что личная автономия европейцев в цифровом мире так и не обеспечена. Мобильные приложения продолжают собирать координаты пользователей и передавать их рекламным сетям, а затем — брокерам, перепродающим информацию третьим лицам. Потенциальными покупателями становятся не только маркетологи, но и разведслужбы иностранных государств.

На фоне сообщений о шпионаже, дронах-нарушителях и кибератаках использование коммерческих баз координат выглядит новым каналом наблюдения, сравнимым с методами времён холодной войны. Комиссия ЕС признала, что обеспокоена продажей геолокационных данных граждан и чиновников Союза, и выпустила новые рекомендации сотрудникам о настройках рекламы на служебных и личных устройствах. Национальные центры реагирования CSIRT также получили уведомления о рисках.

Журналисты обнаружили более 2 000 геометок, связанных с 264 устройствами в здании Еврокомиссии, и около 5 800 меток с 756 устройств в Европарламенте. В данных присутствовали сотни телефонов работников в чувствительных областях — от дипломатических миссий до Совета ЕС и внешнеполитической службы EEAS. Исследователи без труда восстановили частные адреса как минимум пяти сотрудников, включая высокопоставленных дипломатов. Точность координат позволила идентифицировать их дома по вывескам у дверей и сопоставить с информацией в открытых источниках, что доказывает — геоданные не являются анонимными.

Только на территории штаб-квартиры НАТО в Брюсселе было найдено 9 600 точек, зафиксированных 543 устройствами. Представители альянса признали риск, связанный со сбором данных сторонними компаниями, но не уточнили, какие меры предприняты. В Бельгии военные власти пообещали ужесточить правила использования личных смартфонов, однако даже самые безобидные приложения могут передавать координаты на внешние серверы.

Согласно данным центра Stratcom CoE при НАТО, ещё несколько лет назад специалисты предупреждали, что подобные наборы сведений способны выдать передвижения армии и местоположение ключевых объектов. Исследователь Корбиниан Руккербауэр из германского центра Interface отмечает, что европейские службы безопасности до сих пор не осознали масштаб угрозы и не обсуждают её публично. Его коллега Торстен Ветцлинг считает ситуацию «чрезвычайно тревожной», особенно в контексте постоянных попыток злоумышленников искать уязвимости в оборонной архитектуре Европы.

Источником проблемы остаются мобильные приложения, в которых пользователи соглашаются на передачу геолокации для показа рекламы. Разработчики внедряют сторонний код трекеров, а собранные сведения попадают на десятки серверов компаний-участников аукционов за рекламное место. Позже брокеры перепродают эти данные, формируя иллюзию гигантских массивов — некоторые искусственно «раздувают» их, добавляя фиктивные идентификаторы. Несмотря на неточности, даже эти сведения позволяют отслеживать конкретных людей и учреждения. Среди инфраструктуры, участвующей в торговле данными, значится и берлинская площадка Datarade.

Лишь несколько человек из попавших в базы согласились поделиться впечатлениями. Представительница организации EDRi признала, что осознание собственной «прозрачности» без ведома пугает и ставит под вопрос право на частную жизнь. Один из журналистов бельгийской L'Echo подтвердил, что данные точно указали место его проживания и отдыха, хотя он сознательно старается минимизировать цифровой след.

Формально бизнес брокеров противоречит GDPR: согласие на обработку персональных данных должно быть информированным и добровольным, а использование информации — строго ограничено заявленной целью. Но большинство пользователей, принимая условия при установке приложения, не представляют, куда в итоге уходят их данные. Нарушаются и другие принципы — например, запрет на использование информации, раскрывающей политические взгляды, сексуальную ориентацию или посещение религиозных учреждений.

Европейские надзорные органы действуют лишь по жалобам граждан, а те редко знают, на кого жаловаться. Поэтому активность служб сводится к поверхностным проверкам баннеров cookie, тогда как вся скрытая инфраструктура остаётся без контроля. Ресурсов и технических специалистов у регуляторов также не хватает. Отдельные расследования уже начаты в Германии, но местные уполномоченные признают: без законодательных изменений проблему не решить.

Проект постановления ePrivacy, который мог бы ограничить слежку ещё в 2018 году, окончательно снят с повестки весной 2025-го. Под давлением рекламной индустрии и медиакомпаний документ был заморожен, а вместо «права не быть отслеживаемым» гражданам оставили запутанные окна согласия.

Надежды возлагаются на готовящийся Digital Fairness Act, однако, по оценке депутатов Европарламента, ожидать решительных мер не стоит: сейчас приоритетом для Брюсселя объявлено «снижение бюрократии». Тем временем представители партий ЕНП, S&D и «Зелёных» призывают ввести жёсткий запрет на торговлю геолокацией, регистрировать всех брокеров данных и классифицировать массовое слежение как угрозу национальной безопасности.

Европа, стремящаяся к цифровому суверенитету, неожиданно обнаружила, что частная рекламная экосистема способна предоставить противнику карту её собственных уязвимостей.