ABD ordusunun birden fazla şubesi, Augury adlı bir araç aracılığıyla Amerikan vatandaşlarının özel internet kullanım verilerinin "petabaytları" na erişim satın alarak, bir bireyin e-posta iletişimleri, tarama geçmişi ve diğer bilgiler dahil olmak üzere neredeyse her şeyi bilen bir dizi veri noktasına erişim sağladı. Senatör Ron Wyden (D-Oregon), Çarşamba günü Başmüfettişlik Ofisine yazdığı bir mektupta, talep üzerine ve bir emir olmaksızın, davranışsal olarak tanımlayıcı bilgiler olduğunu iddia etti.
Senatör, Ofisinin bir askeri ihbarcıdan, Deniz Kuvvetleri Suç Soruşturma Servisi (NCIS) verilerinden netflow verilerini satın alıp kullanmasıyla ilgili olarak aldığı bir rapora atıfta bulunarak, OIG'den İç Güvenlik Bakanlığı ve Adalet Bakanlığı'nın bu tür kayıtları satın alıp kullanmasını araştırmasını istedi. komisyoncu Takım Cymru. Netflow verileri, normalde yalnızca internet servis sağlayıcılarının erişebildiği özel bilgileri içerir ve büyük olasılıkla, bırakın yargı yetkisi bir yana, bu sağlayıcıların bilgilendirilmiş rızası olmadan da sağlanmaktadır.
Wyden'ın ihbarcının iddiasıyla ilgili kendi soruşturması, ABD Siber Komutanlığı, Ordu, FBI ve Gizli Servis'in de şirketin veri setlerini satın aldığını ortaya çıkardı. Anakart tarafından yapılan bir araştırma, Team Cymru'nun internet trafiğinin %93'üne erişebildiği iddia edilen Augury aracını kullanmak için toplam 3,5 milyon dolar ödediklerini buldu. Paket yakalama verileri (PCAP) adı verilen ve bir siber güvenlik teknolojisi uzmanının "her şey... elektriğin kokusu dışında yakalanacak başka bir şey yok" olarak adlandırdığı bir teknoloji kullanır.
Donanma Bilgi Ofisi'nden bir sözcü, Anakarta'ya, "NCIS tarafından net akış verilerinin kullanılması için bir izin gerektirmiyor" dedi. Augury'yi satın aldığı bildirilen diğer ajanslar, çıkışın yorum talebine yanıt vermedi.
Team Cymru, aracının “belirli kullanıcıları veya kullanıcı etkinliğini hedeflemek için tasarlanmadığı konusunda” ısrar etti. Platform, özellikle kayıtları herhangi bir kullanıcıya bağlamak için gerekli abone bilgilerine sahip değildir.” Bununla birlikte, önceki çalışmalar, bir veritabanındaki bireylerin anonimliğini kaldırmak için nispeten az sayıda veri noktasına ihtiyaç duyulduğunu göstermiştir; bu, izin verdiği “mevcut verilerin sınırlı örneklenmesinin ” bile bir bireyin maskesini kaldırmak ve erişim elde etmek için yeterli olabileceği anlamına gelir.
