Junija 2023 je novinarka in soustanoviteljica ruskega medija Meduza, Galina Timchenko, na svoj iPhone prejela opozorilo, je njen telefon morda tarča državno sponzoriranega hekerskega napada.

Meduza je ruski spletni medij, ki kritično poroča o Putinovemu režimu, še posebej pa so kritični do ruske invazije na Ukrajino. Novinarja Meduze Ivana Golunova je ruska policija aretirala že leta 2019, in sicer zaradi izmišljenih obtožb o posedovanju drog.

Kako vemo, da so bile obtožbe izmišljene? Ker je bil Golunov iz zapora izpuščen, vpleteni policisti pa nato zaradi nezakonite aretacije zaprti.

Leta 2021 je ruska vlada Meduzo označila za “tujega agenta, marca 2022 pa so v Rusiji blokirali njihovo spletno stran. Januarja 2023 pa Putinov režim Meduzo uradno prepovedal in jo označil za “nezaželeno organizacijo”.

In potem se je 22. junij 2023 zgodil na začetku omenjeni dogodek, ko je ruska soustanoviteljica tega medija, ki sicer živi v exilu v Latviji, na telefon prejela obvestilo o možni okužbi z vohunsko programsko opremo.

Seveda se je nemudoma obrnila na organizacijo Access Now, ta pa na kanadski Citizen Lab, ki je izvedel forenzično analizo njenega telefona. In odkril, da je bil telefon okrog 10. februarja 2023 (v tem času je bila Timchenkova v Berlinu) okužen z vohunsko programsko opremo Pegasus.

Nič posebnega, in povsem pričakovano, boste rekli. Vlade, še posebej tiste nedemokratične, pač želijo nadzorovati svoje kritike. A vseeno je tukaj zanimiva majhna podrobnost. Pegasus je namreč vohunska programska oprema za mobilne telefone, ki jo je razvilo in jo trži izraelsko podjetje NSO.

Orodje Pegasus namreč celo izraelska vlada sama opredeljuje kot orožje in za njegov izvoz mora proizvajalec (torej podjetje NSO) pridobiti tim. izvozno dovoljenje.

Pri čemer ni nepomemben podatek, da so izraelska podjetja, ki prodajajo vojaško in vohunsko tehnologijo, tesno povezana z državo. New York Times je recimo 23. marca 2022 zapisal, da “izraelska vlada že dolgo vidi Pegasus kot ključno orodje svoje zunanje politike”, podjetje NSO pa da obravnava de facto kot del države.

Incident s Pegasusom na kritičarki Putinovega režima je zanimiv zlasti zato, ker kaže, da se je do Pegasusa (končno) dokopala tudi Rusija. Ki je trenutno pod mednarodnimi sankcijami. Predvsem pa je to v luči geopolitičnih odnosov med ZDA in Izraelom… rahlo nenavadno.

Po drugi strani pa je zanimiv tudi podatek, da je ameriško ministrstvo za trgovino NSO Group novembra 2021 vključilo na seznam podjetij, ki delujejo proti ameriški nacionalni varnosti in zunanjepolitičnim interesom, kar v praksi pomeni prepoved poslovanja ameriških podjetij z NSO Group.

V sredini letošnjega leta pa so ZDA na svojo črno listo umestili tudi več podjetij, ki prodajajo vohunsko programsko opremo Predator. Predator je, podobno kot Pegasus, vohunsko orodje namenjeno prikritemu nadzoru mobilnih telefonov.

Predator je prodajalo več podjetij, med drugim tudi “makedonski” in “madžarski” Cytrox.

Zakaj v narekovajih? Ker so v ozadju obeh podjetij pravzaprav Izraelci, ki so Predator prodajali tudi v Grčijo. Kjer je grška tajna služba EYP s pomočjo tega orodja ilegalno prisluškovala več novinarjem, pa tudi politikom in drugim vplivnim osebnostim v Grčiji. In zaradi česar je potem Evropski parlament sprožil preiskavo o zlorabi orodij za vohunjenje za mobilnimi telefoni.

In zakaj so ta podjetja umestili na tim. črno listo? Uradno zaradi “ogrožanja zasebnosti in varnosti posameznikov in organizacij po vsem svetu”, neuradno pa verjetno tudi zato, ker je bil s Predatorjem leta 2021 okužen tudi mobilni telefon Artemis Seaford, ki je bila na Meta (Facebook) zaposlena kot “trust and safety manager”. In je čisto slučajno tudi ameriško-grška državljanka. No, saj - “ogrožanje zasebnosti in varnosti posameznikov in organizacij po svetu”.

Kakorkoli. Citizen Lab sicer ni mogel z gotovostjo ugotoviti kdo stoji za hekerskim napadom na rusko novinarko Timchenkovo. A objavljena analiza prinaša prvi resnejši indic, da izraelsko vohunsko tehnologijo uporablja tudi Rusija.

Kljub sankcijam. In kljub temu, da je nadzor nad izvozom tim. “obrambnih tehnologij” iz Izraela izjemno temeljit.

Leta 2021 je Jeffrey Burrill, ameriški katoliški duhovnik in generalni sekretar ameriške škofovske konference, odstopil iz svoje funkcije v cerkvi. Razlog? Katoliški medij The Pillar je objavil informacijo, da je duhovnik prekršil zapoved celibata, saj naj bi na telefonu uporabljal gejevske aplikacije in obiskoval gejevske bare in kopališča. A kako je medij pravzaprav sploh dobil podatke s katerimi je duhovnika kompromitiral? No, tukaj se zgodba šele dobro začne.

Izkazalo se je namreč, da so bili duhovnikovi podatki pridobljeni iz komercialno dostopnih baz. Medij The Pillar je iz komercialno dostopnih baz pridobil njegove podatke o uporabi aplikacij za zmenke med geji, pa tudi lokacijske podatke njegovega mobilnega telefona in brskalne navade, s čimer so odkrili, da je obiskoval gejevske bare in gejevska kopališča.

Podatki so bili pridobljeni iz sistema RTB (Real-Time Bidding). Gre za, preprosto povedano, sistem oglaševanja na spletu, ki omogoča avtomatizirano nakupovanje in prodajo oglasnega prostora v realnem času. Pri čemer pa ta sistem omogoča predvsem natančno ciljanje oglaševalskih akcij. Oglaševalci namreč lahko oglase usmerijo na zelo natančno definirane skupine ljudi, glede na želeno demografijo, lokacijo, njihove vedenjske podatke, itd. Svoje RTB sisteme oglaševalcem ponujajo številna velika tehnološka podjetja, kot so Google, Facebook, Amazon, Microsoft, itd., kot oglaševalec pa jih lahko zakupi kdorkoli. A o tem nekoliko več kasneje.

Izkazalo se je, da ta dogodek sploh ni bil osamljen primer. V ozadju tovrstnega vohunjenja za katoliškimi duhovniki je bila namreč konzervativna katoliška organizacija Catholic Laity and Clergy for Renewal, ki je investirala kar 4 milijone dolarjev v preverjanje, ali se katoliški duhovniki držijo zapovedi celibata. In tiste, ki so jih dobili grešiti, so preko medijev javno pribili na križ. Za identifikacijo Jeffreya Burrilla so potrebovali za 52 tednov RTB podatkov, nakar je bila njegova usoda zapečatena.

Zbiranje oglaševalnih podatkov na spletu

RTB sistem posameznike kategorizira na podlagi različnih podatkov, v grobem pa gre za obsežno zbirko demografskih podatkov (ki vključujejo spol, starost, izobrazbo, poklic, pa tudi informacije o družinskem stanju, itd.), podatkov o vedenju uporabnikov na spletu (iskalna zgodovina, kliki,…), posameznikove nakupne navade, lokacijske podatke (telefone vedno nosimo s seboj), podatke o uporabnikovih napravah (znamka pametnega telefona, tablice ali računalnika, operacijski sistem in spletni brskalnik,…) in še marsikaj drugega.

Na podlagi zbranih podatkov se nato v ozadju izvede obsežna segmentacija uporabnikov. Uporabnike sistem razvrsti v različne kategorije, kot na primer “Zaposleni v letalski industriji”, “Družinski član zaposlenega v vojski”, “Javni uslužbenec - izvoljeni funkcionar”, pa seveda tudi “Televizijski novinar” ali “Duhovnik”. Vsako od teh kategorij pa je nato mogoče razdeliti še na podkategorije, pač glede na njihove interese, vedenjske vzorce, demografske podatke, itd.

Bi želeli prikazati oglas zaposlenim v občinski upravi na območju Slovenije, ki so ženskega spola, stare med 20 in 30 let ter obiskujejo spletne strani z zdravo prehrano? Ni problema. Z nekaj kliki, bo vaš ciljani oglas dosegel točno to skupino uporabnic. Kaj pa če bi želeli vaš oglas prikazati duhovnikom iz Francije, ki obiskujejo gejevske spletne strani in so mlajši od 40 let? Kot smo videli, tudi to ni kakšen večji problem.

Seveda ni dvoma, da so RTB podatki zelo koristni za oglaševalce. Po drugi strani pa je jasno, da vsebujejo zelo občutljive informacije o posameznikih, vključno z lokacijskimi podatki, kaj na spletu berejo, gledajo ali poslušajo, kakšni so njihovi seksualni interesi, iz zbranih podatkov pa se da sklepati tudi na njihove osebne težave.

Kaj pa anonimnost?

Ob tem se seveda takoj zastavi vprašanje, koliko so ti podatki pravzaprav anonimni. Oglaševalci seveda trdijo da še kar, saj da so podatki anonimizirani in je zato z njimi praktično nemogoče identificirati konkretne posameznike.

Resnica pa je precej bolj preprosta. Raziskovalci iz University of Washington so namreč že leta 2017 pokazali, da je za samo 1000 ameriških dolarjev s pomočjo oglaševalskih podatkov mogoče spremljati fizično gibanje konkretnega posameznika ter uporabo občutljivih mobilnih aplikacij (na primer tistih, ki kažejo na religijo ali spolno usmerjenost posameznika). Raziskovalci Paul Vines, Franziska Roesner in Tadayoshi Kohno so si namreč v članku Exploring ADINT: Using Ad Targeting for Surveillance on a Budget — or — How Alice Can Buy Ads to Track Bob zastavili raziskovalno vprašanje: “Ali lahko tretja stran s pomočjo kupovanja spletnih oglasov pridobi zasebne informacije o konkretnih posameznikih?”. In prišli do nedvoumnega odgovora: da, to je vsekakor mogoče. In niti ne preveč zapleteno.

Pri tem pa ni nepomemben podatek, da je RTB tehnologija aktivna na praktično vseh spletnih straneh in mobilnih aplikacijah, kjer zbira dobesedno ogromne količine osebnih podatkov o uporabnikih. Trenutno je največji Googlov RTB sistem, ki je aktiven na 15,6 milijona spletnih straneh in na milijone mobilnih aplikacijah, podatke o tem kaj uporabniki počnejo na spletnih straneh in kako uporabljajo mobilne aplikacije pa prenaša 42 milijardokrat(!) na dan. In to vsak dan. Pri čemer je Google “odgovoren” za samo 21% RTB prenosov v EU. Konkretno ti podatki pomenijo, da bodo RTB omrežja o povprečnemu nemškemu uporabniku zbrala podatke enkrat na minuto, spletne aktivnosti in lokacije povprečnega uporabnika v Franciji pa bodo v RTB omrežja posredovana 340-krat na dan. Podatki za Slovenijo kažejo, da je teh posredovanj za povprečnega slovenskega uporabnika 233 na dan.

AdInt

Zgodba pa se tukaj ne konča, ampak pravzaprav šele dobro začne.

Septembra letos je izraelski medij Haaretz objavil članek, v katerem so razkrili, da so izraelska podjetja, ki razvijajo in tržijo tehnologije za kibernetsko vohunjenje, razvila tehnologijo, ki s pomočjo zlorabe globalnega oglaševalskega sistema omogoča vohunjenje za praktično komerkoli na svetu. Izraelska podjetja naj bi razvila tehnologijo vohunjenja s pomočjo oglasov, tim. AdInt (angl. advertising-based intelligence), ki naj bi omogočala ne samo spremljanje posameznikov, pač pa tudi vdore v njihove telefone in računalnike. Po trditvah Haaretza naj proti temu ne bi obstajala nikakršna obramba, tehnologijo pa naj bi v času objave članka vsaj eno izmed identificiranih podjetij (z imenom Insanet) že prodalo v eno izmed nedemokratičnih držav. Denar pač ne pozna meja.

Haaretz o tem v mesecu septembru ni objavil kaj dosti tehničnih podrobnosti, njihov članek pa je šel mimo javnosti razmeroma neopazno. Varnostni strokovnjaki s(m)o že takrat sklepali, da Izraelci oglaševalska omrežja uporabljajo tako kot sistem za identifikacijo tarč, ter kot dostavni sistem za dostavo zlonamerne programske opreme na telefone. Ko na telefon uspejo preko ozko ciljanega oglaševanja namestiti vohunsko opremo tipa Pegasus ali Predator, pa o tarči lahko izvejo praktično vse. Od tega kje točno se oseba giblje, s kom in kaj se pogovarja, kakšna elektronska sporočila piše, kakšna gesla ima, ter seveda pridobi kopije fotografij in dokumentov iz njenega telefona. Ali pa računalnika.

Patternz

Potem pa je septembra letos Irish Council for Civil Liberties objavil poročilo Europe’s hidden security crisis v katerem je razkril še dodatne razsežnosti tovrstnega nadzora.

V poročilu so razkrili kako zasebna podjetja, ki prodajajo storitve kibernetskega nadzora in vohunjenja uporabljajo (oziroma pravilneje: zlorabljajo) RTB podatke. Dostop do RTB podatkov ima namreč praktično kdorkoli. RTB podatki se brez ovir iznašajo v države kot so Kitajska in Rusija. Seveda ne neposredno vladnim agencijam, jih pa dobivajo zasebna podjetja iz teh držav, kaj potem ta podjetja počnejo s kupljenimi podatki pa si lahko le mislimo. Kot navaja Irish Council for Civil Liberties, ruska podjetja od Googla kupujejo med drugim tudi profile ruskih uporabnikov interneta, ki obiskujejo spletne strani ruske opozicije v tujini.

Dostop do podatkov imajo tudi zasebna podjetja, ki se ukvarjajo z nadzorom in obveščevalno dejavnostjo. Poročilo tako navaja primere dveh takšnih podjetij, ki sta se registrirali kot tim. oglaševalec (oziroma oglaševalska platforma na strani povpraševanja - Demand Side Platform ali DSP), kar jima omogoča neposredno pridobivanje oglaševalskih podatkov s strani ponudnikov. Podjetje Rayzone tako trži “množično zbiranje podatkov o vseh uporabnikih interneta v državi”, podjetje Near Intelligence pa se hvali s profilnimi podatki o 152 milijonih Evropejcev, vključno z identificirano lokacijo njihovega doma, delovnega mesta in krajev, ki jih pogosto obiskujejo.

Poseben biser pa je zasebno podjetje ISA, Israeli Security Academy & technologies. Podjetje je razvilo orodje Patternz, ki uporablja RTB podatke za profiliranje 5 milijard posameznikov, pri čemer se usmerjajo tudi na otroke svojih tarč. Orodje omogoča pregled nad trenutno in preteklimi lokacijami targetiranega posameznika, podatke o tem s kom se je oseba pogosto srečala, samodejno pa zna identificirati tudi njegove otroke, partnerja, sodelavce in kje se oseba običajno giblje.

In pa seveda - Patternz se je v svojem promocijskem gradivu hvalil, da omogoča tudi ciljane napade na posameznike, in sicer s pomočjo pošiljanja “usmerjenih sporočil, oglasov ali zlonamerne programske opreme neposredno skozi oglasno omrežje”. Poslovno pa je Patternz tesno povezan z izraelskim oglaševalskim podjetjem NUVIAD, ki je registrirano tudi kot DSP in je v letu 2020 pridobivalo RTB podatke od podjetij Google, MobPub (Twitter), AOL/Yahoo, Smaato, OpenX, Amobee, Pulsepoint, Rubicon, Inneractive/Fyber (Digital Turbine), Opera Mediaworks, itd…

A prepletenost oglaševalskega in vohunskega sektorja se tukaj ne konča. Podjetje NUVIAD je povezano tudi z drugimi podjetji, ki se ukvarjajo s kibernetskim vohunjenjem. Leta 2017 se je tako direktor NUVIAD-a pridružil upravnemu odboru izraelskega podjetja Ability, ki je specializirano za ponujanje storitev prestrezanja telefonskih komunikacij. Rešitev Patternz pa trži tudi singapursko podjetje Sovereign Systems. To podjetje je pozornost javnosti pritegnilo leta 2021, ko so mediji razkrili, da je prodalo prisluškovalno opremo Bangladešu, državi, ki nima diplomatskih vezi z Izraelom in ki svojim državljanom celo prepoveduje potovanje v Izrael in poslovanje z izraelskimi podjetji. In kje je podjetje Sovereign Systems dobilo opremo, ki so jo prodali Bangladešu? Seveda v Izraelu, kar je prostodušno priznal kar direktor Sovereign Systems James Moloney, ki je za medije izjavil, da je njegovo podjetje zgolj fasadno podjetje za izraelski PicSix. Izobraževanje bangladeških obveščevalcev so nato leta 2018 izvedli kar izraelski obveščevalni strokovnjaki, in sicer na Madžarskem, pri tem pa so svojim slušateljem demonstrirali prisluškovanje v živo. Seveda brez kakršnekoli pravne podlage in kar na naključno izbranih tarčah na Madžarskem. Ko sta v igri denar in »višji interesi«, človekove pravice pač niso pomembne.

Kompromat

Vprašanje, ki se zastavlja kar samo po sebi pa je, kdo so pravzaprav glavne tarče teh orodij? Kot kaže analiza Irish Council for Civil Liberties, so ena izmed pomembnih tarč evropski politični odločevalci in zaposleni na občutljivih delovnih mestih. To je namreč jasno razvidno iz RTB profilov, ki so na primer: “Osebe zaposlene v obveščevalni dejavnosti in na področju protiterorizma”, “Zaposleni v obrambnem sektorju”, “Osebe odgovorne za javna naročila v letalstvu in obrambi”, “Pripadniki vojske”, “Sodniki” in “Politiki” v Franciji in Nemčiji. Pa “Zaposleni na področju jedrske energije”. In “Odločevalci v političnih organizacijah”. Seveda, v vsaki evropski državi posebej. In tako dalje, in tako naprej. Vse do “Partnerji pripadnikov vojske in člani njihovih družin”.

Pri čemer profiliranje ni samo enodimenzionalno, pač pa se nad zbranimi podatki izvaja tudi tim. psihološko profiliranje. Analitična orodja skušajo identificirati osebe s finančnimi težavami, težavami ali ranljivostmi v duševnem zdravju, spolne preference teh oseb in celo ali so te osebe kdaj v preteklosti doživele spolno zlorabo.

Na tem mestu je čas, da odpremo slovar in v njem poiščemo besedo “kompromat”. Kompromat je okrajšava za “kompromitirajoč material”, torej škodljiva informacija o nekom, ki se lahko uporablja za ustvarjanje negativne publicitete ali za izsiljevanje. Beseda izvira iz ruskega jezika, v javno rabo je prišla v sovjetskih časih, njen točen izvor pa je iz žargona sovjetske tajne policije iz 1930-tih let. Wikipedija podaja precej izčrpno definicijo besede: “zaničevalne informacije, ki jih je mogoče zbirati, shranjevati, z njimi trgovati ali jih strateško uporabljati na vseh področjih: političnem, volilnem, pravnem, strokovnem, sodnem, medijskem in poslovnem”. Ter dodaja, da gre pri tem predvsem za zbiranje informacij na zalogo, za primer, ko bi bile lahko koristne kdaj kasneje.

Če je tudi vam sistem globalnega oglaševanja zadišal po sovjetskih časih, niste edini. In če ste se ob tem spomnili na Stalina, njegovo tajno policijo, čistke in gulage, tudi niste edini.

RTB podatki, ki jih kot kaže sistematično zbirajo določene zasebne organizacije, ki se ukvarjajo s kibernetskim nadzorom in vohunjenjem, lahko najbolj natančno opišemo ravno z besedo kompromat. Še posebej, ker gre za sistematično zbiranje podatkov o finančnem stanju, mentalnem ter fizičnem zdravju, in najbolj intimnih skrivnostih o evropskih voditeljih in zaposlenih v evropski kritični infrastrukturi. To evropske institucije in industrijo izpostavlja hekerskim vdorom, izsiljevanju in kompromitiranju, posledično pa to spodkopava skupno evropsko varnost.

Kaj pa lahko storite vi?

Če se ob tem še vedno tolažite, da ste itak preveč nepomembni, da bi bili lahko tarča takšnega nadzora, in da tako ali tako nimate nič za skrivat, pa se spomnite, da ni potrebno, da bi bili v kategoriji političnih odločevalcev ali zaposlenih v kritični infrastrukturi. Dovolj je, da je ena izmed “oseb interesa” vaš sodelavec, prijatelj ali sosed. Ali pa njegov sin obiskuje isti vrtec kot vaša hčerka. In sploh ni nujno, da je ta oseba visok politični funkcionar, sodnik ali direktor kakšnega strateškega podjetja. Lahko je zgolj zadolžen za javna naročila, ali pa ima zaradi svoje funkcije dostop do kakšne zanimive informacije.

Morda ste sedaj pomislili, da bi bilo vseeno pametno pobrisati zgodovino svojega spletnega brskalnika? Naj vam razkrijemo skrivnost. Za to je že zdavnaj prepozno. Oglaševalska omrežja so si bolj od vas zapomnila zgodovino vašega brskanja, katere aplikacije uporabljate in kje ste se fizično gibali v preteklosti. Na to, ali bodo vaši podatki našli pot do obveščevalnih podjetij ali tajnih služb, pa tudi ne morete vplivati. Duh je že ušel iz steklenice. Upate lahko samo da se vam ne bo zgodilo podobno kot tistemu nesrečnemu duhovniku iz začetka tega članka.

English version of this text is also available.

In 2021, Jeffrey Burrill, an American Catholic priest and general secretary of the American Bishops’ Conference, resigned from his position in the church. Reason? Catholic media outlet The Pillar published information that the priest violated the commandment of celibacy, as he allegedly used gay apps on his phone and visited gay bars and bathhouses. But how did the media actually get the information with which it compromised the priest? Well, this is where the story just begins.

The priest’s data has been obtained from commercially available databases. The Pillar obtained commercially available data on his use of gay dating apps, as well as his cell phone location data and browsing habits, revealing that he visited gay bars and gay baths.

The data has been obtained from the RTB (Real-Time Bidding) system. This is, simply put, an online advertising system that enables the automated buying and selling of advertising space in real time. However, this system primarily enables precise targeting of advertising campaigns. Namely, advertisers can direct ads to very precisely defined groups of people, according to the desired demographics, location, their behavioural data, etc. Many big tech companies like Google, Facebook, Amazon, Microsoft, etc. offer their RTB systems to advertisers, and anyone can buy the access to these data as an advertiser. But more on that a little bit later.

It turned out that this incident was not an isolated case at all. Behind this kind of spying on Catholic priests has been the conservative Catholic organization Catholic Laity and Clergy for Renewal, which invested as much as 4 million dollars in checking whether Catholic priests adhere to the commandment of celibacy. And those who were found to have sinned, were publicly nailed to the cross through the media. It took 52 weeks of RTB data to identify Jeffrey Burrill, and his fate has been sealed.

Collection of online advertising data

The RTB system categorizes individuals on the basis of various data, but roughly speaking, it is an extensive collection of demographic data (which includes gender, age, education, occupation, as well as information about family status, etc.), data about user behavior online (search history, clicks,…), individual purchasing habits, location data (we always carry our phones with us!), data about the user’s devices (smartphone, tablet or computer brand, operating system and web browser,…) and much more.

Extensive user segmentation is then carried out in the background based on the collected data. The system classifies users into various categories, such as “Industry - Manufacturing - Aerospace and Defense”, “Family member of an employee in the military”, “Civil servant - elected official”, and of course also “Television journalist” or “Cleric”. Each of these categories can then be further divided into subcategories based on their interests, behavioural patterns, demographic data, etc.

Would you like to show an ad to all municipal administration employees in Slovenia who are female, between 20 and 30 years old and frequently visit websites about healthy food? No problem. With a few clicks, your targeted ad will reach exactly this group of users. What if you wanted to show your ad to priests from France who visit gay websites and are under the age of 40? As we have seen, this is not a problem either.

There is no doubt that RTB data is very useful for advertisers. But on the other hand, it is clear that they contain very sensitive information about individuals, including location data, what they read, watch or listen to online, what their sexual interests are, etc. And from the collected data it is also possible to infer their personal problems.

What about anonymity?

The next question is, of course, how anonymous this data actually are? Advertisers claim that they are, since the data is anonymized, so it is practically impossible to identify specific individuals with them.

But the truth is much simpler. Researchers from the University of Washington in 2017 has shown, that for just US$1,000 they can monitor the physical movements of a specific individual and the use of sensitive mobile applications (for example, those that indicate an individual’s religion or sexual orientation) with these advertising data. In the article Exploring ADINT: Using Ad Targeting for Surveillance on a Budget - or - How Alice Can Buy Ads to Track Bob, researchers Paul Vines, Franziska Roesner and Tadayoshi Kohno asked themselves a simple research question: “Can a third party obtain private information about specific individuals by buying online ads?”. And they came to unanimous answer: yes, it is definitely possible. And not too complicated either.

But what is important to know is, that RTB technology is active on practically all websites and mobile applications, where it collects literally huge amounts of personal data about users. Google’s RTB system, which is currently the largest, is active on 15.6 million websites and millions of mobile applications. And it transfers data about what users do on websites and how they use mobile applications 42 billion times (!) a day. Every day. And Google is “responsible” for only 21% of RTB downloads in the EU. To be more precise, this means that the RTB networks will collect data about the average German user once per a minute, while the online activities and locations of the average user in France will be transmitted to the RTB networks 340 times a day. Data for Slovenia show that for the average Slovenian user there are 233 such broadcasts per day.

AdInt

Unfortunately, the story does not end here, but actually just begins.

In September of this year, the Israeli media outlet Haaretz published an article in which they revealed that Israeli companies that develop and market cyber-espionage technologies have developed technology that allows spying on virtually anyone in the world by abusing the global advertising system. Israeli companies are said to have developed ad-spying technology, so called AdInt (advertising-based intelligence), which can not only monitor activities of individuals, but can also hack into their phones and computers. According to Haaretz, there is no defense against this, and at the time of publication of the article, at least one of the identified companies (named Insanet) had already sold the technology to one of the non-democratic countries. Money knows no borders, of course.

Haaretz did not publish many technical details about this in September, and their article went relatively unnoticed by the public. However, security experts at that time suspected, that the Israelis were using advertising networks both as a system for identifying targets and as a delivery system for delivering malicious software to phones. And when they manage to install Pegasus or Predator spyware on the victim’s phone through very targeted advertising, they can learn practically everything about the target. Where exactly the person is moving, with who they talk and about what, what e-mails do they write, what passwords they have, and, of course, obtain copies of all photos and documents from their phone. Or a computer.

Patternz

An then, in September of this year, the Irish Council for Civil Liberties published the report titled Europe’s hidden security crisis, in which it revealed additional dimensions of this type of surveillance.

The report revealed how private companies that sell cyber surveillance and espionage services use (or rather: abuse) RTB data. Virtually anyone can get an access to RTB data. RTB data is exported without any limits to countries such as China and Russia. Of course, not directly to government agencies, but private companies from these countries can get them, and we can only imagine what these companies then do with the purchased data. According to the Irish Council for Civil Liberties, Russian companies are, among other things, buying from Google the profiles of Russian Internet users who visit Russian opposition websites abroad. Probably for marketing purposes only.

But the access to the data also have private companies that are directly involved in surveillance and intelligence. The report cites examples of two such companies registering as an advertiser (actually they are called Demand Side Platforms or DSP’s), which enables them to obtain advertising data directly from providers. The company Rayzone is offering »mass collection of all internet users in a country« while the company Near Intelligence claims to have profile data on 152 million Europeans, including the identified location of their home, workplace and places they visit frequent.

But one of the most interesting is a private company ISA, Israeli Security Academy & technologies. The company developed Patternz, a tool that uses RTB data to profile 5 billion individuals, also targeting children of their targets. The tool enables an overview of the current and past locations of the targeted individual, information about whom the person has often met, and can automatically identify his children, spouses, colleagues and where the person usually moves. And of course - Patternz also claimed in its promotional material that they can conduct targeted attacks on individuals by sending “targeted messages, ads or malware directly through an ad network”. Patternz is closely associated with the Israeli advertising company NUVIAD, which is also registered as a DSP and in 2020 it has been receiving RTB data from Google, MobPub (Twitter), AOL/Yahoo, Smaato, OpenX, Amobee, Pulsepoint, Rubicon, Inneractive /Fyber (Digital Turbine), Opera Mediaworks, etc…

But the intertwining of the advertising and espionage sectors does not end here. NUVIAD is also associated with other cyber espionage companies. In 2017, the director of NUVIAD joined the board of directors of the Israeli company Ability, which is specialized in offering services for the interception of telephone communications.

The Patternz solution is also sold by the Singaporean company called Sovereign Systems. This company gained public attention in 2021 when media revealed that it had sold wiretapping equipment to Bangladesh, a country that has no diplomatic ties with Israel and even bans its citizens from travelling to Israel and doing business with Israeli companies. And where did Sovereign Systems get the equipment they sold to Bangladesh? Of course, in Israel. This has been openly admitted by the director of Sovereign Systems, James Moloney, who stated to the media that his company is just a front company for the Israeli’s PicSix. In 2018, the training of Bangladeshi intelligence officers was carried out by Israeli intelligence experts in Hungary, where they demonstrated live eavesdropping. Of course, without any legal basis and on randomly selected targets in Hungary. When money and “higher interests” are at stake, human rights are not important.

Kompromat

The question that naturally arises now is, who are the main targets of these tools? As analysis by the Irish Council for Civil Liberties shows, that one of the important targets are European political decision-makers and employees in sensitive jobs. This is clearly evident from the RTB profiles, which are, for example: “Government - Intelligence And Couterterrorism”, “Government - National Security and International”, “Person being in procurement Aerospace and Defence sector”, “People who work in the military”, “People working in judiciary” and “Decision makers for the Government” in France and Germany. And “Employees in the field of nuclear energy”. And “Decision makers in political organizations”. Of course, in each European country separately. And so on, and so on. All the way to “Military spouses and family”.

And this profiling is not only one-dimensional, but is also includes psychological profiling. Analytics tools are used to identify people with financial problems, people with mental health problems or vulnerabilities, their sexual preferences, and even whether they have ever experienced sexual abuse in the past.

At this point, it is time to open the dictionary and look for the word “kompromat”. Kompromat is short for “compromising material”, that is, harmful information about someone that can be used to create negative publicity or for blackmail. The word originates from the Russian language, came into public use in Soviet times, and its exact origin is from the jargon of the Soviet secret police from the 1930’s. Wikipedia gives a rather comprehensive definition of the word: “disparaging information that can be collected, stored, traded, or used strategically across all domains: political, electoral, legal, professional, judicial, media, and business”. And it adds that Kompromat does not necessarily target individuals or groups, but rather collects information that could be useful at a later time.

If the global advertising system smells like Soviet times to you, you are not the only one. And if you now remembered Stalin, his secret police, purges and gulags, you are also not the only one.

RTB data, which seems to be systematically collected by certain private organizations engaged in cyber surveillance and espionage, can most accurately be described with the word kompromat. Especially since it involves the systematic collection of data on financial status, mental and physical health, and the most intimate secrets of European leaders and employees of European critical infrastructure. This exposes European institutions and industry to hacking, extortion and compromise, which in fact undermines European security.

And you?

If you still believe that you are too insignificant to be the target of such surveillance, and that you have nothing to hide anyway, remember that you do not need to be in the category of political decision-makers or employees of critical infrastructure. It is enough that one of the “persons of interest” is your colleague, friend or neighbour. Or his son attends the same kindergarten as your daughter. And it is not necessary that this person is a high-ranking political official, a judge or a director of a strategic company. She may only be in charge of public procurement, or he may have access to some interesting information due to his function.

Perhaps you have now thought that it would be a good idea to delete your browser history. Let us tell you a secret. It has long been too late for that. Ad networks have remembered more of your browsing history than you or your browser. They remember which apps you use, and where you have physically been in the past. You also have no control over whether your data will be sent to intelligence companies or secret services. The genie is already out of the bottle. You can only hope that you will not suffer the same fate as that unfortunate priest from the beginning of this article.

Article has been published in Sobotna priloga. Full text in Slovenian language is also available.