1 poin oleh GN⁺ 2024-01-31 | 1 komentar | Bagikan ke WhatsApp
  • Dokumen yang dipublikasikan Senator Ron Wyden mengungkap pembelian riwayat internet oleh NSA, dan catatan ini dapat memperlihatkan situs web yang dikunjungi pengguna serta aplikasi yang mereka gunakan
  • Wyden menuntut agar badan intelijen menghentikan praktik membeli data pribadi warga Amerika dari broker data, dan hanya mengizinkan penjualan data yang legal serta memenuhi standar FTC
  • NSA membantah membeli atau menggunakan data lokasi yang dikumpulkan dari ponsel di dalam AS, tetapi mengakui membeli dan menggunakan data netflow non-konten komersial untuk komunikasi internet domestik dan komunikasi luar negeri yang mencakup IP AS
  • Perlu waktu hampir 3 tahun hingga informasi ini dipublikasikan, dan persetujuan baru diberikan setelah Wyden menahan pencalonan Direktur NSA
  • Pembelian data pribadi oleh pemerintah melalui broker data dapat melewati pengadilan dan persyaratan surat perintah, sehingga melemahkan privasi warga Amerika dan kontrol atas pengawasan domestik

Konfirmasi pembelian riwayat internet oleh NSA

  • Dokumen yang dipublikasikan Senator Ron Wyden mengonfirmasi bahwa NSA membeli riwayat internet warga Amerika
  • Riwayat internet ini dapat mengungkap situs web apa yang dikunjungi pengguna dan aplikasi apa yang mereka gunakan
  • Dalam suratnya kepada Direktur Intelijen Nasional Avril Haines, Wyden meminta agar diadopsi kebijakan yang melarang badan intelijen membeli data pribadi warga Amerika yang diperoleh secara ilegal dari broker data
  • Wyden menyatakan, “Pemerintah AS tidak boleh mendanai dan melegitimasi industri gelap yang secara terang-terangan melanggar privasi warga Amerika”

Jalur untuk menghindari surat perintah yang diciptakan broker data

  • Pemerintah membeli data domestik dari broker data sudah berulang kali terjadi
  • Lembaga federal dan aparat penegak hukum lokal telah membeli data domestik yang disediakan perusahaan swasta, dan ini dapat berfungsi sebagai cara untuk menghindari pembatasan yang ditetapkan Mahkamah Agung
  • Pemerintah menganggap prinsip pihak ketiga (Third Party Doctrine) dapat diterapkan, tetapi banyak aplikasi dan layanan mengumpulkan data ketika pengguna tidak benar-benar menyadarinya
    • Bahkan game mobile yang terlihat sederhana pun dapat memeriksa lokasi ponsel dan mengaitkannya dengan ID perangkat tertentu
    • Pengumpulan seperti ini bisa tersembunyi jauh di dalam syarat dan ketentuan layanan

Proses pengungkapan dan tuntutan Wyden

  • Wyden mengatakan butuh hampir 3 tahun untuk mendapatkan persetujuan pengungkapan informasi tentang pembelian metadata internet domestik oleh NSA
  • Pada Maret 2021, Departemen Pertahanan memberikan informasi sebagai tanggapan atas permintaan pihak Wyden untuk mengidentifikasi komponen Departemen Pertahanan yang membeli data pribadi warga Amerika
  • Setelah itu, pada Mei 2021 Wyden meminta persetujuan untuk mempublikasikan informasi tidak rahasia tersebut, tetapi Departemen Pertahanan menolaknya
  • Informasi itu baru disetujui untuk dipublikasikan setelah Wyden menahan pencalonan Direktur NSA
  • Dalam suratnya, Wyden meminta setiap komponen komunitas intelijen (IC) untuk melakukan hal berikut
    • Memulai penyelidikan atas pembelian data dari broker data
    • Penyelidikan FTC atas praktik bisnis broker data
    • Menyediakan daftar data pribadi yang dibeli dari broker data

Apa yang dibantah dan diakui NSA

  • Dalam surat yang dikirim kepada Wyden pada 2023, NSA menyatakan tidak membeli atau menggunakan data lokasi yang dikumpulkan dari ponsel yang diketahui digunakan di dalam AS, baik dengan maupun tanpa perintah pengadilan
  • Bantahan ini terbatas pada data lokasi, dan bukan bantahan atas keseluruhan pembelian riwayat internet yang dikhawatirkan Wyden
  • Dalam surat yang sama, NSA mengakui membeli dan menggunakan data netflow non-konten yang tersedia secara komersial
    • Data yang sepenuhnya terkait dengan komunikasi internet domestik
    • Data terkait komunikasi internet di mana salah satu pihak menggunakan alamat protokol internet AS dan pihak lainnya berada di luar negeri
  • Pengakuan ini menunjukkan bahwa cakupan pengawasan domestik NSA dapat meluas melalui pasar broker data

Section 702 dan kekhawatiran pengawasan domestik

  • NSA sudah dikenal sebagai lembaga yang dapat “secara tidak sengaja” menyapu data dan komunikasi warga Amerika melalui pengumpulan berdasarkan Section 702
  • Konteks bahwa FBI berulang kali menyalahgunakan Section 702 untuk pengawasan domestik juga turut disebutkan
  • Dalam situasi seperti ini, muncul pertanyaan apakah NSA masih perlu membeli data tambahan dari broker data
  • Fokus kritiknya adalah bahwa NSA tampaknya mengumpulkan lebih banyak data bukan karena kebutuhan keamanan nasional yang terbukti, tetapi karena tersedia jalur untuk melakukannya
  • Jika pembelian data warga Amerika melalui broker data menjadi praktik rutin pemerintah, kontrol nyata atas kewenangan pengawasan akan menjadi semakin sulit

1 komentar

 
GN⁺ 2024-01-31
Komentar Hacker News
  • Pemerintah mengakses informasi warga tanpa alasan yang memadai, bahkan jika melalui pembelian, tampaknya bertentangan setidaknya dengan semangat Amandemen Keempat meski mungkin tidak sampai pada bunyi harfiahnya Di zaman modern, informasi yang sangat luas tentang seseorang bisa dikumpulkan bahkan tanpa “penggeledahan dan penyitaan”, jadi tampaknya diperlukan amendemen konstitusi yang memperbarui Amandemen Keempat agar sesuai dengan zaman sekarang. Pengumpulan data adalah salah satu isu terbesar saat ini, tetapi setidaknya kebanyakan orang mungkin setuju bahwa pemerintah tidak boleh secara sah mengakali hak kita dengan uang pajak atau utang kita sendiri

    • Ini berakar pada doktrin pihak ketiga Begitu data diserahkan kepada pihak ketiga, diasumsikan tidak lagi ada “ekspektasi privasi yang wajar”, sehingga itu bukan penggeledahan. Ini mirip dengan preseden bahwa tempat sampah yang masih berada di samping rumah Anda tetap berada dalam kendali Anda sehingga masih ada hak, tetapi begitu diletakkan di pinggir jalan agar diambil truk sampah, Anda dianggap telah melepaskan hak itu. Bukan berarti ini baik; saya justru tidak menyukainya, tetapi begitulah cara kerjanya dalam preseden hukum AS saat ini. Untuk mengubahnya, Kongres harus membuat undang-undang baru atau mengamendemen konstitusi, dan gagasan tentang “bagaimana seharusnya” tidak banyak berarti jika tidak didukung oleh hukum
    • Saya menganggap sebagian besar pengumpulan dan penggunaan data ini pada dasarnya termasuk penggeledahan dan penyitaan Hanya saja bedanya pelakunya adalah perusahaan swasta, bukan pemerintah, dan secara pribadi saya justru menganggap itu lebih buruk daripada jika hanya dilakukan pemerintah
    • Sayangnya, Amandemen Keempat ditafsirkan cukup sempit Akan bagus jika ada pasal tambahan yang secara lebih spesifik menyatakan hak atas privasi. Mencegah penggeledahan “ilegal” pada akhirnya berarti harus dibawa ke pengadilan setelah kejadian, jadi nyaris tidak berarti. Rasanya Amandemen Keempat hanya punya sekitar 10% dari kekuatan yang seharusnya dimilikinya
    • Sejak dulu, orang lain secara sukarela memberikan informasi tentang Anda kepada polisi adalah hal yang legal, terlepas dari apakah orang itu menjalankan bisnis atau tidak Saya bisa menelepon polisi sekarang juga dan memberi tahu bahwa lumb63 memposting komentar di HN pada 2024-01-30T14:14:13, dan kalau saya tahu detail lebih lanjut saya juga bisa mengatakannya. Polisi boleh mendengarkannya secara legal. Saya bisa mengatakan apa pun tentang seseorang yang saya kenal, dan saya tidak mengerti mengapa itu harus ilegal. Situasi ini tidak berkaitan dengan Amandemen Keempat; Amandemen Keempat adalah pasal yang mencegah pemerintah mengambil informasi secara paksa
    • Bahkan “hak” yang tertulis dalam Bill of Rights pun diinjak-injak setiap hari Coba saja membawa senjata api tersembunyi melintasi perbatasan negara bagian, atau bilang kepada polisi K-9 bahwa mereka tidak boleh menggeledah mobil Anda setelah anjing pelacak memberi sinyal, atau sebarkan ucapan yang dianggap kasar dengan mengatasnamakan kebebasan berbicara. Tidak ada yang namanya “hak”; yang ada hanya apa yang bisa dipertahankan individu pada tempat dan waktu tertentu
  • Saya kurang paham mengapa lembaga membeli data yang tersedia secara komersial dianggap jauh lebih kontroversial Bukankah masalah yang lebih besar justru kenyataan bahwa data itu sejak awal dikumpulkan dan disediakan kepada siapa saja yang mau membayar?

    • Bisa dibayangkan beberapa kemungkinan Pertama, dari sudut pandang orang biasa, fakta bahwa perusahaan memiliki informasi seperti ini sendiri pada dasarnya sudah tidak bisa diterima. Kedua, lembaga membelinya dengan uang pembayar pajak, jadi kita ikut membesarkan pasar yang mungkin tidak kita setujui. Ketiga, lembaga pemerintah punya aturan, dan jika mereka mengakali aturan atau mencari celah, itu merusak kepercayaan terhadap lembaga tersebut. Keempat, dan mungkin yang paling penting, lembaga pemerintah memiliki wewenang dan kekuatan untuk melakukan hal-hal yang tidak bisa dilakukan perusahaan swasta. Mereka bisa memulai penyelidikan, mendapat nasihat hukum dari jaksa, melakukan penuntutan, menerbitkan surat perintah, memanggil orang, menangkap, dan menahan, yang semuanya bersifat intrusif, mahal, dan bisa berujung pada banyak konsekuensi buruk mulai dari biaya pengacara sampai hukuman penjara
    • Pemerintah memiliki monopoli atas kekerasan, jadi harus mengikuti aturan yang lebih berbeda dan lebih ketat Saya tidak tahu bagaimana persisnya dari sisi hukum jika NSA membeli data swasta, tetapi rasanya itu bertentangan dengan semangat hukum yang melarang pengawasan terhadap warga negaranya sendiri
    • Alasan pemerintah bersifat istimewa adalah karena kekuasaannya yang luas untuk membuat hukum yang memengaruhi semua orang Misalnya, kalimat Amandemen Pertama bahwa “Kongres tidak boleh membuat undang-undang yang membatasi kebebasan berbicara” berlaku pada pemerintah, tetapi tidak berlaku pada aturan larangan berkata kasar di kelas tiga sekolah dasar. Larangan atas ekspresi tertentu oleh kelompok swasta bisa saja masuk akal karena jika tidak suka Anda bisa pergi ke tempat lain, tetapi dalam ranah hukum dan tindakan pemerintah, kehati-hatian yang jauh lebih besar diperlukan. Pemerintah adalah satu-satunya entitas dalam masyarakat yang memonopoli penggunaan kekuatan, dan kekuasaan besar harus diikuti tanggung jawab besar
    • Pemerintah dapat menggunakan informasi untuk menuntut orang, sedangkan perusahaan tidak bisa Selain itu, pemerintah juga jauh kurang bertanggung jawab daripada perusahaan atas tindakan jahat karena adanya sovereign immunity dan official immunity
    • Perusahaan swasta tidak bisa memasukkan Anda ke penjara atau merampas kebebasan dasar Anda tanpa restu pemerintah, tetapi pemerintah bisa Bill of Rights dan konstitusi pada umumnya dimaksudkan untuk melindungi Anda dari tindakan berlebihan pemerintah, bukan dari warga sipil, sedangkan masalah antarwarga pada umumnya ditangani oleh hukum umum di tingkat negara bagian dan lokal. Di AS, pembedaan hukum seperti itu memang selalu ada
  • Artikel itu berkata tentang NSA, “jika mereka cukup mampu melakukan pengawasan domestik dan memang sering melakukannya, mengapa mereka repot-repot membeli sesuatu yang bisa mereka peroleh dengan lebih sah dari jaringan pengumpulan massal mereka sendiri sambil menanggung risiko terbukanya sebagian teknik pengumpulan mereka,” tetapi saya rasa NSA tidak perlu khawatir musuh akan mempelajari teknik pertukaran uang dengan informasi Meretas broker data justru lebih mungkin membocorkan teknik mereka yang benar-benar khas

  • Saya berharap AS juga punya perlindungan privasi seperti di EU Sistem EU memang tidak sempurna, tetapi saya tetap berharap ada. Sepemahaman saya, Senator Chuck Schumer seorang diri menghambat rancangan undang-undang privasi yang berarti di komite. Dia tampak seperti bola penghancur privasi seorang diri. Saya pernah membaca entah di mana bahwa dua putrinya punya pekerjaan bergaji tinggi di perusahaan seperti Meta dan Microsoft. Intinya, jika perlindungan privasi lebih kuat, maka informasi yang bisa dijual perusahaan juga akan lebih sedikit

    • Saya tidak mengerti apa hubungan putri-putrinya dengan poin itu
  • Bahkan jika itu merusak hak sipil, lembaga tidak bisa dibiarkan sama sekali tidak mengawasi broker data komersial Setidaknya mereka harus bisa memperkirakan dan mencegah risiko aktivitas kriminal di dalam negeri

    • Itu malah lebih mirip fungsi sebenarnya Kekuatan lobi terbesar adalah bank dan organisasi yang menggunakan broker data seperti itu. Pemerintah membiarkan mereka begitu saja sehingga pemerintah juga bisa memakainya, dan itu menjadi cara untuk mengakali hukum
  • Masalahnya adalah ini dilakukan oleh NSA NSA seharusnya bukan lembaga yang menyelidiki warga negara AS, melainkan menangani intelijen sinyal luar negeri. Jika FBI atau CIA yang melakukan ini, itu masih cukup bisa diperkirakan, dan saya juga tidak yakin apakah itu salah. Setidaknya, sulit mengatakan itu lebih salah daripada pihak lain yang membeli data untuk tujuan periklanan

    • Itu tidak sepenuhnya benar CIA adalah lembaga yang dibentuk untuk mengumpulkan intelijen di luar AS, jadi justru paling sedikit alasannya untuk mengakses data ini. FBI adalah lembaga penegak hukum, jadi tanpa surat perintah mereka tidak bisa menyentuh atau melihat data itu, dan jika mereka melakukannya, pengumpulan data dalam banyak kasus yang sedang berjalan bisa menjadi tidak sah. NSA memang ditugaskan untuk mengumpulkan data komunikasi yang masuk dan keluar dari AS. Beberapa dekade lalu pembedaan ini sepenuhnya jelas, tetapi sekarang tidak lagi begitu jelas. Pengumpulan data tentang warga AS belum tentu ilegal, tergantung data itu digunakan untuk apa. Hal yang paling terungkap dari bocoran Snowden adalah bahwa ancaman dari dalam menyalahgunakan data NSA yang dikumpulkan tentang warga AS untuk kepentingan pribadi
    • Saya tidak tahu sebenarnya apa arti luar negeri di internet Bukan seperti ada garis yang jelas di antara potongan-potongan daratan, dan semuanya ada di mana-mana
    • Fakta bahwa NSA melakukan pengawasan massal terhadap warga AS sudah dibongkar oleh Snowden pada 2013 Tidak ada alasan untuk berpura-pura terkejut pada 2024
  • Sulit dibayangkan marah hanya pada hal ini, dan bukan pada fakta bahwa sejak awal broker data bisa menjual semua informasi ini

    • Sulit juga membayangkan tidak marah pada keduanya sekaligus Hanya saja, yang satu adalah hasil akumulasi puluhan ribu pelanggaran persetujuan kecil yang dibuat oleh ratusan atau ribuan pihak yang tidak bermoral dan sebagian besar anonim. Yang satu lagi adalah pelanggaran konstitusi besar-besaran dan terang-terangan yang dilakukan organisasi pemerintah yang didanai warga untuk melindungi dan melayani mereka. Keduanya layak menerima hukuman paling berat
  • Saya kurang paham bagaimana data bisa dihubungkan ke manusia tertentu di dunia nyata Ambil contoh mobil saya: mobil itu milik saya, tetapi jika Anda mengendarainya dan ngebut, Andalah yang kena tilang. Data juga sama; mungkin benar bahwa tulisan ini dikirim dari perangkat dunia nyata yang terdaftar atas nama saya, tetapi itu tidak berarti sayalah di dunia nyata yang benar-benar menggunakannya

    • Coba pikirkan alamat IP publik Estimasi lokasi dapat mengaitkan alamat IP ke rentang yang tidak akurat seperti negara sampai wilayah yang lebih presisi seperti kota. Lokasi perkiraan yang digabungkan dengan beberapa data lain bisa sangat mempersempit kandidat dunia nyata yang cocok dengan akun tertentu [1]. Menurut satu studi besar, hanya dengan tiga karakteristik, 87% populasi AS dapat diidentifikasi secara unik, dan studi lain mengatakan 63% populasi AS dapat diidentifikasi secara unik hanya dengan tiga fakta tersebut. Jika aktivitas online Anda banyak, cara pengguna lain menyapa Anda di situs tertentu saja bisa mengungkap jenis kelamin atau usia Anda. Jika suatu situs mengumpulkan jenis kelamin atau tanggal lahir, informasi itu juga bisa dibagikan atau dijual ke broker data. Jika polisi bisa mempersempit lokasi perilaku online yang bermasalah ke satu rumah tangga, mereka dapat datang dengan surat perintah dan menanyakan siapa yang menggunakan komputer mana di rumah pada saat itu. [1] https://www.eff.org/deeplinks/2023/11/debunking-myth-anonymo...
    • Caranya adalah dengan menangkap korelasi lintas banyak sinyal, dan dijelaskan di sini https://restoreprivacy[.]com/rtb-data-leveraged-for-user-sur...
  • Facebook juga melakukan hal seperti ini Mereka membeli semua data situs web yang bisa dibeli, dan karena tahu data itu bisa dipakai untuk penayangan iklan, mereka membuat pembelian data menjadi sesuatu yang menguntungkan. Jika pemerintah AS atau badan intelijennya melakukan hal yang sama, saya ragu apakah ini bisa disebut “ilegal” atau salah. Jika mereka melakukannya dengan pengerahan besar kewenangan pemerintah, itu akan melanggar hukum, tetapi di sini mereka hanya membeli sesuatu yang memang sudah tersedia

  • Ironisnya, yang melakukan ini bukan Tiongkok atau Rusia Saya tidak paham mengapa ketika lembaga negaranya sendiri yang melakukannya, kemarahannya tampak jauh lebih kecil atau hampir tidak ada

    • Karena pajak Anda tidak masuk ke aparatus pengawasan Tiongkok Sudah sewajarnya mereka mengawasi Anda; memang itu pekerjaan mereka. Negara kita setidaknya, secara lahiriah, selalu mengatakan bahwa kita berbeda dari mereka karena tidak memperlakukan warga sebagai musuh, meskipun tentu hanya sampai batas tertentu