В марте 2020 года компания NSO Group представила систему «Fleming» для отслеживания возможных контактов заболевших ковидом. Спустя пару месяцев была обнаружена незащищенная база данных о перемещениях более 30 000 людей в нескольких странах (например, Руанде, Израиле, Арабских Эмиратах). Компания уверяла, что найденные маршруты являются демонстрационными, тестовыми и сгенерированы искусственно, а не представляют собой персональные данные реальных людей.
Исследователи из группы Forensic Architecture не поверили объяснениям компании и изучили датасет. Для этого они использовали собственную разработку «TimeMap», которая позволяет визуализировать географические паттерны во времени. Оказалось, что данные точно распределены по странам, где технология использовалась, и сконцентрированы в крупных городах. Изучение передвижений отдельных объектов показало, что представленные маршруты адекватны.
На визуализации показаны маршруты одного человека (карта убрана для защиты анонимности). Точки — это географические места, откуда был получен сигнал; красные линии — реалистичные маршруты (судя по расстоянию и времени); белый пунктир — маршруты, которые вызывают сомнения. Эксперты указывают, что такие маршруты могли быть вызваны сбоями в связи со спутником, а полученных данных, если они настоящие, хватит, чтобы идентифицировать отдельных людей. Для этого нужно достаточное количество информации о перемещениях с координатами и временем. К тому же, возможно, дыры в безопасности есть и в базах с более чувствительными данными.
