判事は、FISA(外国情報監視法)に基づき、Apple、Google、ISPなどのテクノロジー大手から取得したデータをトロールするFBIの権限を制限した。
これとは別に、Apple の IT サービス プロバイダーの 1 つで Cloudflare のプライバシー上の欠陥が確認されており、修正される前に数百万の Web およびアプリ ユーザーの大まかな位置が暴露されていた可能性があります。
判事がFBIのFISAデータ使用権限を制限
米国政府機関に与えられた監視権限の中で最も物議を醸しているものの一つが、 セクション 702 外国情報監視法(FISA)の規定。
NSAやFBIなどの機関が申請する FISA裁判所 テクノロジー企業からのデータへのアクセス許可を得るために。これらの法廷審理は非公開で行われるため、メディアや国民は下された決定を精査することができない。 Apple のような企業が FISA 令状に基づいてユーザー データへのアクセスを許可するよう要求された場合、アクセスを許可したと発言することは許可されません。
諜報機関は外国団体を監視する目的でのみ FISA 令状を申請できる。しかし、データが引き渡されると、その後はさらなる令状なしに、米国国民の個人情報を検索することができた。
有線 裁判官がこの行為を違法と判断したとの報道。
FBIは外国人と連絡をとった米国国民や居住者の情報を求めて「裏口捜査」を行うことができ、それも令状を取得せずに行った。ディアーシー・ホール判事は、これらの捜索には令状が必要であると判断した。 「そうでなければ、法執行機関が第702条に基づく通信のリポジトリ(米国人の通信も含む)を事実上蓄積することになり、後で制限なく要求に応じて検索できるようになる」と判事は書いた。
Cloudflareのプライバシー上の欠陥
多くの Web サイトにアクセスしたり、多くのアプリを使用したりすると、リクエストはまずコンテンツ配信ネットワーク (CDN) に送信されます。 Cloudflare は最大の CDN の 1 つであり、すべての Web サイトとアプリサーバーの約 19% のトラフィックを処理します。
Cloudflareは2つの機能を実行します。まず、リクエストをチェックして、そのリクエストが本物の Web またはアプリ ユーザー、あるいはボットからのものであるように見えるかどうかを確認します。これにより同社は、攻撃者がサーバーをオフラインにする一般的な方法、つまりサーバーをクラッシュさせるほど多くの同時リクエストを攻撃する方法を検出してブロックできるようになりました。これは DDoS (分散型サービス拒否) 攻撃として知られています。
第二に、Cloudflareはサーバーデータのキャッシュされたコピーを世界中の何百もの異なる都市に保存しています。最も近いキャッシュからデータを提供することで、メイン サーバーへのトラフィックを削減できます。
Apple は Cloudflare の顧客の 1 つであり、iCloud Private Relay に同社のサービスを使用しています。
セキュリティ研究者は、どの CDN サーバーがリクエストを処理したかを特定し、ユーザーの位置の大まかな情報を取得する方法を発見しました。
ダニエルと呼ばれるセキュリティ研究者は、ターゲットにイメージを送信し、URL を収集し、カスタム構築ツールを使用して Cloudflare にクエリを実行して、どのデータセンターがイメージを配信したか、つまり州や可能性のあるデータを配信したかを調べる方法を発見しました。ターゲットがいる都市。
彼はこの問題を Cloudflare に報告し、現在は修正されています。
写真: FBI
FTC: 当社は収入を得る自動アフィリエイト リンクを使用しています。 もっと。
