به گفته لیستی که 404 Media به دست آورده، یک پیمانکار برای سازمان مهاجرت و گمرک ایالات متحده (ICE) و بسیاری از دیگر سازمانهای دولتی ایالات متحده، ابزاری را توسعه داده است که به تحلیلگران اجازه میدهد تا به راحتی دادههای در دسترس عموم یک فرد هدف را از طیف گستردهای از سایتها، شبکههای اجتماعی، برنامهها و خدمات در سراسر وب به طور همزمان جمعآوری کنند، از جمله Bluesky، OnlyFans و پلتفرمهای مختلف متا. در مجموع، این لیست بیش از 200 سایتی را نام میبرد که پیمانکار، به نام ShadowDragon، از آنها داده جمعآوری میکند و در اختیار مشتریان دولتی خود قرار میدهد، و به آنها اجازه میدهد تا فعالیت، حرکات و روابط یک فرد را ترسیم کنند.
این خبر پس از آن منتشر میشود که ICE، محمود خلیل، معترض برجسته دانشگاه کلمبیا و دارنده گرین کارت اقامت دائم قانونی ایالات متحده را روز شنبه با قصد اخراج او بازداشت کرد. همچنین همزمان است با گزارشها مبنی بر اینکه وزیر امور خارجه، مارکو روبیو، در حال راهاندازی یک تلاش "گرفتن و لغو" با سوخت هوش مصنوعی برای اسکن حسابهای رسانههای اجتماعی دهها هزار دارنده ویزای دانشجویی است تا به دنبال اتباع خارجی باشد که به نظر میرسد از حماس یا دیگر گروههای تروریستی تعیین شده حمایت میکنند.
هیچ نشانهای وجود ندارد که ShadowDragon به طور خاص، یا ابزار دادهای آن SocialNet، بخشی از آن برنامه باشد. اما ShadowDragon در مطالب بازاریابی میگوید که ابزارهای آن میتواند برای نظارت بر اعتراضات مورد استفاده قرار گیرد، و ادعا میکند که در جریان بازدید بنیامین نتانیاهو در سال 2023 اعتراضاتی را در اطراف ایستگاه Union در واشنگتن دی سی پیدا کرده است. دانیل کلمنس، مدیر عامل ShadowDragon، قبلاً در یک پادکست گفته بود که معترضان نباید "تعجب کنند وقتی افرادی قرار است شما را بررسی کنند زیرا شما زندگی آنها را دشوار کردهاید."
متعدد شرکتهای فناوری و وبسایتهایی که ShadowDragon دادههای عمومی آنها را جمعآوری میکند، به 404 Media میگویند که این پیمانکار ممکن است شرایط استفاده آنها در مورد خراشیدن را نقض کند.
جرامی اسکات، مشاور ارشد و مدیر پروژه نظارت بر نظارت مرکز اطلاعات حریم خصوصی الکترونیکی (EPIC)، در ایمیلی به 404 Media گفت: "لیست طولانی سایتها و سرویسهایی که ابزار SocialNet ShadowDragon به آنها دسترسی دارد، یادآوری این است که چه مقدار داده از ما و در مورد ما جمعآوری و در دسترس قرار میگیرد تا خدمات نظارتی را به دولت و دیگران ارائه دهد. SocialNet تنها یک نمونه از اکوسیستم نظارتی بررسی نشده است که فاقد هرگونه شفافیت، نظارت یا پاسخگویی معناداری است که به دولت اجازه میدهد تا از حمایتهای قانون اساسی و قانونی برای دسترسی به دادههای شخصی حساس دور بزند."
مطالب بازاریابی موجود آنلاین میگوید که SocialNet میتواند هویتها را ترسیم کند و ارتباطات بین آنها را پیدا کند؛ نقشهای از فعالیتهای مشکوک ایجاد کند و مسیر یک مظنون را دنبال کند، و "ردپای زندگی دیجیتالی هدف خود را دنبال کند و همبستگیهای پنهان را در تحقیقات خود بیابد." در یک ویدیوی تبلیغاتی، ShadowDragon میگوید که کاربران میتوانند "یک ایمیل، یک نام مستعار، یک نام، یک شماره تلفن، انواع مختلفی از چیزها را وارد کنند و بلافاصله اطلاعاتی در مورد هدف خود داشته باشند. ما میتوانیم علایق را ببینیم، میتوانیم ببینیم دوستان چه کسانی هستند، تصاویر، ویدیوها."
لیست لو رفته از سایتها و سرویسهای هدف شامل مواردی از شرکتهای بزرگ فناوری مانند Apple، Amazon، Meta، Microsoft و TikTok است. همچنین شامل ابزارهای ارتباطی مانند Discord و WhatsApp؛ سایتهای متمرکز بر فعالیت یا سرگرمی مانند AllTrails، BookCrossing، Chess.com و سایت بررسی سیگار Cigar Dojo؛ خدمات پرداخت مانند Cash App، BuyMeACoffee و PayPal؛ سایتهای کارگران جنسی OnlyFans و JustForFans؛ و شبکههای اجتماعی Bluesky و Telegram است. حتی شبکههای اجتماعی نسبتاً مبهمی مانند BeReal نیز در این لیست گنجانده شدهاند.
ShadowDragon همچنین دادهها را از برخی سایتهایی که به سمت جمعیتشناسی خاص و علایق شخصی بالا گرایش دارند، مانند شبکه اجتماعی برای سیاهپوستان به نام Black Planet یا سایت فتیش FetLife، که 404 Media قبلاً گزارش داده بود، جمعآوری میکند.
این لیست همچنین شامل Roblox است. در یک ویدیوی اخیر در کانال YouTube ShadowDragon، کارمندان در مورد چگونگی فریب کودکان در Roblox و دیگر پلتفرمها یا برنامههایی که به سمت کودکان گرایش دارند، بحث کردند.
نوع دادهای که هنگام پرس و جوی یک مشتری ShadowDragon از یکی از این سایتها برگردانده میشود، به هر سرویس منفرد بستگی دارد، به طوری که برخی احتمالاً بسیار بیشتر از سایرین برمیگردانند.
404 Media این لیست را در اینجا بارگذاری کرده است.
بر اساس پایگاههای داده تدارکات دولت ایالات متحده، مشتریان ShadowDragon شامل وزارت امور خارجه، ارتش، سازمان شیلات و حیات وحش، DEA و به ویژه ICE هستند. ICE قرارداد خود را با ShadowDragon تا همین اواخر، 24 فوریه، تمدید کرد، و رکورد تدارکات میگوید که این قرارداد شامل دسترسی به SocialNet است.
بیانیه کار ICE که EPIC از طریق قانون آزادی اطلاعات به دست آورده است، توضیح میدهد که چرا ICE، و به طور خاص تحقیقات امنیت داخلی (HSI)، در یک مورد به دنبال SocialNet بود.
در این سند آمده است: "تحلیلگران ICE تحقیقاتی را در مورد اطلاعات منبع باز دامنه عمومی به آسانی در دسترس انجام میدهند که فراتر از وبسایتهای دامنه ایالات متحده است و ICE را ملزم میکند تا به طور مؤثر عناصر و مکانهای جنایی شناخته شده را ردیابی و بررسی کند تا جریان کالاها و پرسنل غیرقانونی به مرزها و سرزمینهای ایالات متحده را کاهش دهد. دادههای SocialNet یک سرویس اشتراک داده است که ارتباطات رسانههای اجتماعی را برای کشف نامهای مستعار، شرکا و جمعآوری استنباطهایی از سبک زندگی و موقعیت فیزیکی تهدیدها ترسیم میکند. SocialNet جستجوهای فدرالیزه را انجام میدهد و ارتباطات رسانههای اجتماعی را تجسم میکند تا به سرعت هویتها، همبستگیها، شبکههای شرکا را کشف کند."
در ادامه آمده است: "HSI INTEL باید در پیگیری ابزارهای جدید و بهبود یافته برای مبارزه با چالشهایی که مجریان قانون و تحلیلگران اطلاعات ما برای شناسایی، ردیابی، بررسی و دستگیری نهادهای جنایی با آن روبرو هستند، کوشا باشد. دادههای SocialNet با استفاده از قابلیتهایی با نتایج اثبات شده برای تحقیقات جنایی سایبری یا فیزیکی و پزشکی قانونی رسانههای اجتماعی، به توانایی HSI INTEL برای دستیابی موفقیتآمیز به آن اهداف ماموریت و مسئولیت عمومی خود میافزاید." در این مورد، این سند نشان میدهد که HSI به دنبال استفاده از SocialNet از طریق Maltego، یک نرم افزار اطلاعات منبع باز است که معمولاً مورد استفاده قرار میگیرد.
404 Media قبلاً گزارش داده بود که برخی از ICE به SocialNet منتقل شدند زیرا استفاده از ابزار دیگری به نام Babel X را متوقف میکرد.
404 Media با شرکتهای متعددی که در لیست لو رفته از سرویسهایی که ShadowDragon دادهها را از آنها جمعآوری میکند، نام برده شدهاند، تماس گرفت. Pinterest به شرایط خدمات خود اشاره کرد، که میگوید کاربران نباید "دادهها یا محتوا را از Pinterest به روشهای غیرمجاز خراشیده، جمعآوری، جستجو، کپی یا در غیر این صورت دسترسی پیدا کنند." Cash App همچنین به شرایط خدمات خود اشاره کرد که نظارت بر هر گونه مطالب در هر سیستم Cash App، هم به صورت دستی و هم با وسایل خودکار را ممنوع میکند.
متا در پاسخ به گنجاندن Facebook، Instagram و Threads در لیست، در بیانیهای گفت: "خراشیدن غیرمجاز مغایر با شرایط ما است، و ما به طور معمول تحقیق میکنیم و برای اجرای شرایط خود علیه خراشدهندههای غیرمجاز، زمانی که متوجه میشویم که سیاستهای ما را نقض کردهاند، اقدام میکنیم."
Snap گفت که هر گونه خراشیدن شرایط خدمات آن را نقض میکند.
LinkedIn در بیانیهای گفت: "ما دائماً در حال آزمایش راههای جدیدی هستیم تا اطمینان حاصل کنیم که کنترل دادههای اعضا در دست اعضای ما باقی میماند. خراشیدن غیرمجاز مجاز نیست، و تیمهای ما در LinkedIn در فناوری سرمایهگذاری میکنند و در صورت لزوم برای شناسایی و جلوگیری از خراشیده شدن و استفاده از اطلاعات اعضای ما بدون رضایت آنها، اقدامات قانونی انجام میدهند."
Chess.com در بیانیهای گفت: "ما قبلاً از خراشیدن دادهها از Chess.com توسط ShadowDragon آگاه نبودیم. برای روشن شدن موضع ما، ما اجازه استفاده از اطلاعات شخصی کاربران خود را بدون یک مبنای قانونی معتبر و رعایت قوانین قابل اجرا، حتی اگر چنین اطلاعاتی به طور عمومی در دسترس باشد، نمیدهیم."
این بیانیه افزود: "اگر فعالیتهای ShadowDragon به طور قانونی، با یک مبنای قانونی مشروع - مانند پاسخ به یک دستور دولتی یا به عنوان بخشی از یک تحقیق قانونی مجاز - انجام شود، ما اعتراضی نخواهیم داشت. با این حال، اگر دادههای جمعآوری شده شامل اطلاعات شخصی باشد و بدون مجوز قانونی مناسب استفاده شود، این با سیاستهای ما همسو نخواهد بود."
سندی مککی، معاون عملیات تجاری در ShadowDragon، وقتی پرسیده شد که آیا فعالیت ShadowDragon خراشیدن را تشکیل میدهد و لیست سایتها در اختیار او قرار گرفت، در ایمیلی به 404 Media گفت که "ShadowDragon سوالات مشتریان یا دادههای حاصل را ثبت نمیکند، بنابراین ما نمیتوانیم اطلاعاتی را ارائه دهیم که تنظیمات حریم خصوصی صاحبان حسابهای منفرد با استفاده از این پلتفرمها، از جمله دادههایی که حذف کردهاند، را نقض کند." به عبارت دیگر، جستجوها به صورت زنده در سایتها زمانی که کاربر ShadowDragon آن را درخواست میکند، انجام میشود. با این حال، این ممکن است همچنان برخی از شرایط استفاده شرکتها را نقض کند.
در پادکست ShadowDragon که در آن کلمنس نظرات خود را در مورد معترضان بیان کرد، او افزود که معترضان "احتمالاً اصلاً سوزن را حرکت نمیدهند." او افزود: "توصیه من به هر کسی که احساس میکند به جمع خشم روز دعوت شده است، این است که هی، از رسانههای اجتماعی خارج شوید. یک خانه دریاچهای بخرید، یک خانه ساحلی بگیرید. کاری انجام دهید. بدهکار شوید و از رسانههای اجتماعی خارج شوید. به تمام این خشم دعوت نشوید."
وقتی 404 Media قبلاً این نظرات را گزارش داد، کلمنس در ایمیلی گفت "نظرات من از پادکست به همه گروهها، صرف نظر از وابستگی یا دلیل، اشاره دارد. این یادآوری به همه بود که هر کاری که ما در انظار عمومی انجام میدهیم، از جمله پستهای رسانههای اجتماعی، اغلب فاقد انتظار قانونی از حریم خصوصی است، دقیقاً مانند توصیههای EFF برای معترضان."
ICE به درخواست برای اظهار نظر پاسخ نداد.