500 млн устройств, ни одного ордера. Полиция и спецслужбы следят за людьми через рекламу — и это законно

Мобильные приложения и реклама давно собирают данные о пользователях, но теперь стало ясно, как далеко эти массивы могут заходить. Исследователи обнаружили систему Webloc, которая превращает рекламные идентификаторы смартфонов в инструмент глобального слежения и позволяет отслеживать перемещения сотен миллионов людей — в том числе задним числом на годы.

Это продукт из линейки израильской компании Cobwebs Technologies, который после объединения бизнеса перешел к Penlink. Система продается как дополнение к платформе аналитики соцсетей и веб-данных Tangles. По сути, Webloc берет данные, которые мобильные приложения и рекламные сети собирают для таргетинга, и превращает их в поток геолокационной информации с привязкой к конкретным устройствам.

В основе лежит привычная для рекламной индустрии механика. Приложения получают доступ к рекламным идентификаторам смартфонов, координатам и поведенческим данным, а затем передают их партнерам. Webloc покупает такие массивы и собирает их в единую базу. В результате пользователи превращаются в набор точек на карте, где каждая запись содержит идентификатор устройства, координаты и дополнительные сведения о профиле.

Исследователи утверждают, что система может работать с потоком данных от сотен миллионов устройств по всему миру. Обновления идут постоянно, поэтому заказчик получает почти непрерывную картину перемещений. В интерфейсе такие данные отображаются на многослойных картах, где цифровые следы связываются с физическими локациями.

Возможности на этом не заканчиваются. Webloc позволяет анализировать перемещения не только в реальном времени, но и в прошлом. В отдельных случаях речь идет о периоде до трех лет. Заказчик может отследить, где устройство находилось в конкретный день, как часто появлялось в определенном месте и с какими другими устройствами пересекалось.

Система также умеет строить более сложные выводы. По данным исследователей, Webloc может сопоставлять IP-адреса с геолокацией, выделять предполагаемые домашние адреса и места работы, а затем пытаться связать устройство с конкретным человеком. Для следственных задач такой функционал выглядит как быстрый способ собрать досье без прямого доступа к оператору связи.

Список клиентов показывает, что инструмент уже используется на практике. Среди пользователей называют Иммиграционную и таможенную службу США, военные структуры, департаменты общественной безопасности отдельных штатов, окружные прокуратуры Нью-Йорка и полицейские управления в Лос-Анджелесе, Далласе, Балтиморе, Тусоне и других городах. Упоминаются и зарубежные структуры, включая венгерские спецслужбы и полицию Сальвадора.

Главная проблема в том, как именно такие системы применяются. Журналисты и исследователи указывают, что Webloc позволяет отслеживать устройства без судебного ордера. В одном из документов о закупке отдельно подчеркивалась возможность автоматически и непрерывно мониторить рекламные идентификаторы, геолокацию по IP и связанные устройства. По сути, речь идет о способе обхода более жестких процедур, которые обычно требуются для доступа к телекоммуникационным данным.

История самой Cobwebs Technologies тоже добавляет контекста. В 2021 году Meta заблокировала сеть из примерно 200 аккаунтов, связанных с этой компанией. Тогда выяснилось, что через них собирали информацию о целях, пытались проникать в закрытые группы и использовать социальную инженерию, чтобы выманивать личные данные. Среди целей встречались не только фигуранты расследований, но и активисты, оппозиционные политики и чиновники в разных странах.

Связи компании тянутся и к рынку шпионского ПО. Анализ корпоративных данных указывает на пересечения с разработчиком spyware Quadream через одного из ключевых руководителей Cobwebs. После объединения с Penlink в 2023 году бренд Cobwebs фактически исчез, а продукты перешли в новую структуру.

Техническая инфраструктура системы разбросана по разным регионам. Исследователи нашли более 200 серверов, связанных с развертыванием продуктов Cobwebs. Больше всего узлов находится в США, заметное число — в Нидерландах, Сингапуре, Германии, Гонконге и Великобритании. Отдельные серверы обнаружены и в других странах Европы, Азии и Африки.

Penlink с выводами исследования не согласилась. Компания заявила, что в отчете используются неточные данные или неверное понимание принципов работы, и подчеркнула, что соблюдает законы о защите персональной информации в США. При этом ключевой вопрос — как именно применяются такие инструменты на практике — остается открытым.

Ситуация с Webloc показывает, как изменилась логика слежки. Раньше для отслеживания перемещений требовался доступ к операторам связи или физическое наблюдение. Теперь достаточно купить рекламные данные, которые изначально собирались для показа баннеров и анализа аудитории. На стыке этих двух миров — маркетинга и правоохранительных инструментов — появляется система, которая превращает обычный смартфон в постоянный источник координат.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.