Інфраструктура цифрової реклами, створена для таргетингу оголошень, дедалі частіше використовується як прихований канал моніторингу пересувань людей. Один із найпоказовіших прикладів — система Webloc, описана в новому звіті дослідницької групи Citizen Lab, яка перетворює рекламні дані на повноцінний інструмент геолокаційної розвідки для спецслужб та правоохоронних органів.
Походження Webloc та коло замовників серед спецслужб
Платформа Webloc була розроблена ізраїльською компанією Cobwebs Technologies, що спеціалізується на OSINT та аналізі відкритих цифрових джерел. Після поглинання Cobwebs у липні 2023 року її продукти перейшли під бренд Penlink — постачальника рішень для перехоплення комунікацій та аналітики даних для правоохоронних структур у різних країнах.
За даними Citizen Lab, до користувачів Webloc належать внутрішня розвідка Угорщини, національна поліція Сальвадору, а також низка відомств у США. Серед американських клієнтів фігурують Immigration and Customs Enforcement (ICE), окремі підрозділи армії США, Департамент громадської безпеки штату Техас, регіональні структури DHS, окружні прокуратури Нью-Йорка, а також поліцейські департаменти Лос-Анджелеса, Далласа, Балтимора, Тусона, Дарема та інших міст і округів.
Як працює Webloc: рекламні ідентифікатори, adtech та OSINT
Механізм збору даних через екосистему adtech
Webloc постачається як додатковий модуль до системи цифрової розвідки Tangles і, за оцінками Citizen Lab, надає доступ до до 500 мільйонів мобільних пристроїв по всьому світу. Ключовим ресурсом виступають:
- ідентифікатори пристроїв та мобільні рекламні ідентифікатори (Mobile Advertising ID, MAID);
- точні геокоординати місцезнаходження;
- профільні дані, які збирають мобільні додатки та рекламні мережі.
Фактично Webloc не зламує пристрої, а монетизує вже існуючу рекламну інфраструктуру. Дані закуповуються у брокерів, які агрегують інформацію з мобільних застосунків і платформ цифрової реклами. Така модель дозволяє аналізувати шаблони поведінки та траєкторії переміщень сотень мільйонів користувачів без їхньої обізнаності та прямої згоди на подібне використання.
Довгостроковий моніторинг і побудова профілів
Згідно з описом Penlink, Webloc дає змогу відстежувати місцезнаходження користувачів та їхні маршрути за період до трьох років. Система вміє:
- пов’язувати пристрої з домашніми адресами та місцем роботи на основі повторюваних точок перебування;
- уточнювати геолокацію через аналіз IP-адрес;
- автоматизувати постійний моніторинг «цікавих» рекламних ID та визначених геозон.
З технічної точки зору це означає, що орган, який має доступ до Webloc, може будувати детальні поведінкові профілі людей: де вони живуть, працюють, як часто відвідують певні об’єкти, з якими подіями у просторі та часі співпадають їхні переміщення.
Масштаб інфраструктури та пов’язані компанії
Citizen Lab вказує на зв’язок Cobwebs Technologies з ізраїльським виробником шпигунського ПЗ Quadream через Омрі Тим’янкера — засновника і колишнього президента Cobwebs, який зараз відповідає за міжнародні операції Penlink. Хоча Quadream, за повідомленнями ЗМІ, припинила діяльність у 2023 році, її напрацювання суттєво вплинули на ринок комерційних «кібернайманців».
Дослідникам вдалося ідентифікувати щонайменше 219 активних серверів, пов’язаних із розгортанням продуктів Cobwebs і Webloc. Більшість з них розміщені у США (126), Нідерландах (32), Сінгапурі (17), Німеччині (8), Гонконзі (8) та Великій Британії (7). Потенційна інфраструктура виявлена також у низці країн Африки, Азії та Європи, що свідчить про глобальний масштаб екосистеми стеження.
Ризики для приватності, прав людини та правове поле
Основна загроза систем на кшталт Webloc — можливість масового геолокаційного стеження без судового ордера та ефективного нагляду. Citizen Lab, а також попередні розслідування 404 Media, Forbes і Texas Observer показують, що деякі правоохоронні органи застосовували Webloc, спираючись виключно на рекламні дані, оминаючи класичні механізми на кшталт запитів до мобільних операторів.
Додаткову тривогу викликає історія взаємодії Cobwebs з великими платформами. У 2021 році компанія Meta видалила близько 200 акаунтів, пов’язаних із Cobwebs та ще шістьма «кібернайманцями», за приховане спостереження, збір даних про цілі та спроби соціальної інженерії. Серед об’єктів стеження, за даними Meta, були не лише правопорушники, а й активісти, опозиційні політики та державні службовці — зокрема в Гонконзі та Мексиці.
Penlink у відповіді на доповідь Citizen Lab заявляє, що її висновки базуються на «неточній інформації або неправильному розумінні», а компанія припинила деякі практики Cobwebs після угоди 2023 року та діє відповідно до законів про приватність у США. Водночас, за відсутності технічної прозорості, незалежних аудитів і чітких механізмів контролю такі твердження складно перевірити.
Як користувачам зменшити ризики рекламного трекінгу
Ситуація з Webloc демонструє, як швидко звичайна рекламна аналітика може стати інструментом глибокої цифрової розвідки. Попри те, що кінцеві користувачі не можуть повністю заблокувати подібні системи, існують кроки, які суттєво знижують ризики:
- обмеження відстеження рекламних ID (IDFA/GAID) у налаштуваннях мобільної ОС;
- відмова від дозволів на доступ до геолокації для зайвих застосунків;
- мінімізація використання безкоштовних додатків із агресивною рекламою;
- використання VPN, браузерів і розширень з фокусом на приватність;
- регулярний аудит встановлених застосунків і видалення непотрібних.
Для держав і регуляторів ключовим завданням стає жорстке врегулювання ринку data brokers та прозорі правила доступу державних структур до комерційних рекламних даних. Без таких обмежень рекламна екосистема ризикує перетворитися на де-факто глобальну систему тотального стеження, що підриває довіру до цифрових сервісів і створює системні загрози для прав людини. Саме тому бізнесу, органам влади й користувачам варто вже зараз переглянути підходи до захисту даних і внутрішніх політик приватності, аби зменшити залежність від надмірно інвазивних моделей монетизації даних.
