美国警察如何利用国会大厦暴乱的数字记录

2021 年 1 月 5 日晚上聚集在巴尔的摩郊区的这群衣冠楚楚的年轻人看起来一点也不像极端分子。但第二天，检察官声称，他们将在致命的叛乱期间全部攻破美国国会大厦：几个人会抢劫和破坏媒体设备，一个人会袭击一名警察。

抗议的人并不陌生，这些人是“美国第一”运动的成员，他们熟练地戴上面具遮住他们的脸。没有人在社交媒体上吹嘘自己的功绩，他们的朋友或家人也不会站出来谴责他们。

但是在 1 月 5 日，他们犯了一个人人都会犯的错误：他们分享了一份披萨。

根据收费文件，当晚 10 点 57 分，注册到 Gmail 地址的 PayPal 账户向位于马里兰州阿布图斯的 Domino's Pizza 支付了 84.72 美元。

几分钟后，该电子邮件账户收到了来自名为 Thomas Carey、Gabe Chase 和乔恩·利扎克。另一封 Venmo 电子邮件显示了一笔来自“Broseph Broseph”的付款，“Broseph Broseph”是另一位朋友 Joseph Brody 的昵称。

第二天的恐怖事件发生后，联邦调查局迅速采取行动。它为手机服务和科技公司提供地理围栏权证：搜索权证要求在特定地理区域内活动的每台设备和应用程序的详细信息。

其中一份搜查令在谷歌上送达并覆盖国会大厦内部，显示与相关 Gmail 账户相关的设备于 1 月 6 日下午 2 点 18 分进入参议院侧翼大门。

将该 Gmail 帐户连接到一个电话号码，然后连接到它的所有者，马里兰州黑勒索普的保罗洛夫利，只是在执法数据库上敲几下键盘的问题。

剩下的就是一名联邦调查局特工在一天晚上观察洛夫利倒垃圾，并将他的照片与骚乱期间参议院监控摄像头捕捉到的一个人物相匹配。

2022 年 9 月，洛夫利和他的四名同胞被指控犯有一系列联邦罪行。

这场骚乱是对美国民主的前所未有的攻击，成千上万的公民（其中大多数以前不为联邦调查人员所知）猛烈冲击政府所在地。

由此产生的调查是美国历史上规模最大的调查，提供了执法性质快速演变的快照，以及它现在有多么依赖嫌疑人自己有意或无意提供的数据。

虽然国会大厦骚乱调查似乎代表了最先进的数字取证，但这些监控技术每天都在全美范围内用于甚至是轻微的低级别刑事案件，联邦调查局没有使用任何新东西。他们只是在更大范围内使用它。

国会大厦袭击事件的数百起刑事诉讼和其他法律文件表明，以了解袭击的范围和规模，并考虑政府有权深入其公民数字生活的法律和社会后果。

当应用于意图推翻总统选举的暴民时，这种权力似乎令人放心，但当应用于抗议侵犯人权等行为的人们时，可能就不那么令人放心了。

社交媒体为数字取证提供线索

警察工作总是涉及点的连接，无论是照片、电话、证词还是物证。1 月 6 日的调查显示了寻找这些点之间的数字连接的力量。

在过去两年中，美国司法部和乔治华盛顿大学极端主义项目已经提供了数千份关于因 1 月 6 日骚乱而被指控的人的法律文件。分析了所有包含如何识别和调查被指控的肇事者的详细信息的信息：到 12 月中旬，共有 884 人。

许多是使用历史悠久的技术识别出来的：通缉海报仍然是一个强大的工具，如今通过新闻机构、联邦调查局的网站和社交媒体接触到全球观众。

在所有这些人中，近三分之二的人最初是通过目击者、朋友、家人和其他人提供的线索被确认身份的。FBI 最终收到了超过 30万条此类提示。

但这些消息来源发现被指控的肇事者的方式发生了巨大变化。1 月 6 日，只有一小部分消息来源在华盛顿特区。尽管一些嫌疑人在电视报道或新闻报道中被认出，但大多数人是在社交媒体上被发现的。

在近三分之二的案例中，证据来自一个或多个社交媒体平台。Facebook 出现在几乎一半的案例中，被引用 388 次，其次是 Instagram 和 Twitter，总共被提及 188 次。

但几乎所有主要的社交媒体应用程序都至少在一个案例中被提及：LinkedIn、MeWe、Parler、Signal、Snapchat、Telegram、TikTok，甚至还有约会应用程序 Bumble 和专注于购物的 Pinterest。

调查人员立即利用了暴徒对 Facebook 的使用。在袭击当天，FBI 要求 Facebook 识别 “任何在 2021 年 1 月 6 日期间从美国国会大厦内实际播放和/或上传到 Facebook 的直播视频的用户，暴徒冲进并占领了国会大厦。” 

符合这一要求是可能的，因为 Facebook 默认记录每张上传的照片和视频的纬度和经度。

Facebook 在同一天做出回应，并在接下来的几周内再次做出回应，并提供了数量未知的用户 ID；分配给 Facebook 和 Instagram（Facebook 的母公司 Meta 也拥有）上的帐户的唯一标识符。

法律文件表明，大约有 35 名骚乱者是通过这种方式确认身份的，而没有首先由证人点名。在许多情况下，FBI 随后会要求 Facebook 向其发送相关图片和视频以及其他账户数据。

调查人员从许多小时的专业新闻镜头，以及来自数十个固定安全摄像机的 14,000 小时高分辨率视频和警方应对骚乱时操作的随身摄像机的 2,000 小时视频中收集了更多线索。

63% 的司法部案件提到了监控摄像头，41% 的案件提到了开源视频和社交媒体图像，大约 20% 的案件中提到了随身摄像机和新闻镜头。

处理这些文件需要大量的人力。仅人体摄像机镜头就需要一个 60 人的团队，他们费力地完成了一份 752 页的电子表格，详细说明了相关剪辑。

1 月 6 日骚乱发生后不久，Spectrum报道了如何使用自动图像识别系统来处理这波视听信息洪流。FBI 指派其面部识别服务部门将嫌疑人的面部与州和联邦面部识别系统中的图像进行比较。

然而，根据法律文件，似乎只有 25 名骚乱者是通过这种自动图像搜索首先被识别出来的，主要是在与州驾照照片和护照申请进行比较之后。

Clearview AI 的首席执行官称，法庭文件不一定反映这种技术的使用频率， Clearview AI是一个人脸识别搜索引擎，可以索引来自开放互联网的 300 亿张图像。执法部门不必总是披露他们通过面部识别找到了某个人的信息。

Clearview 的算法尚未在法庭上被接受，它从开源图像中做出的任何识别都需要进一步的审查和确认。他没有提供具体细节，只是暗示 FBI 使用了 Clearview 的系统。

作为一家公司，我们很高兴能在帮助逮捕造成破坏和冲进国会大厦的人方面发挥小作用，国会大厦的骚乱并不是第一次以这种方式应用这种技术。据报道，在 2020 年纽约市的 Black Lives Matter 活动以及美国各地的类似抗议活动中，面部识别被用于识别抗议者。

计算机通常更擅长识别字母和数字，而不是人脸；DOJ 案件中有 20 起引用了自动车牌阅读器 (ALPR) 技术。仅在美国，收费站、桥梁交叉口和其他地方可能就有数万个固定和移动 ALPR 系统，每月捕获数亿次汽车行程。

数字数据如何使连接点变得更容易

单一的数据流可能会有一点帮助，但许多这样的数据流的集成可以创造奇迹。以威廉·沃格尔为例。他的名字最初是由一位线人透露的，这位线人向 FBI 发送了一段 Snapchat 视频，该视频由国会大厦内的某人拍摄，未拍照。

果然，与 Snapchat 帐户关联的 Facebook 帐户将 Vogel 列为其所有者，并包含一个手机号码。

但也许有人偷了 Vogel 的手机和他的 Snapchat 登录帐户来拍摄和上传视频。Vogel 的电话号码指向纽约州 Pawling 的一个地址，以及一辆登记在 Vogel 名下的汽车。

FBI 随后登录了多个州的 ALPR 系统，显示 Vogel 的车辆于 1 月 6 日早上 6 点 06 分从布朗克斯区经亨利哈德逊大桥进入曼哈顿，于 7 点 54 分进入新泽西州，并于九点十五分。汽车在当天下午晚些时候返程，最终在午夜前一分钟返回纽约。

但是，也许有人借了 Vogel 的车？不是根据 ALPR 早上 8 点 44 分在马里兰州农村拍摄的照片。它在汽车仪表盘上显示了一顶与众不同的红色大帽子，就像 Vogel 在外面的新闻广播中拍摄的那样。当天晚些时候，国会大厦，并在 Facebook 自拍中。

“因为我在 Snapchat 上的故事，他们试图向 FBI和国安局举报我，并以国内恐怖主义罪名将我关押 10 年，”沃格尔后来通过 Facebook Messenger 抱怨道，此前他向一位朋友承认他实际上枪击了国会大厦，指控文件称。沃格尔的案件将于 2023 年 2 月开庭审理，届时他将面临暴力进入国会大厦和行为不检的指控。

调查人员还通过查看手机数据来锁定人们。FBI 在至少 2000 台数字设备上搜索了图像、数据和消息。FBI 的蜂窝分析调查小组致力于根据手机接入的基站定位手机。

尽管联邦调查局通过这种方式获得了大约五分之一的国会大厦骚乱被告的大致位置，但它太不准确，无法可靠地表明是否有人真的破坏了国会大厦本身或留在大楼外。

谷歌地图和其他应用程序在安卓和苹果设备上收集的地理定位数据要准确得多。通过使用来自附近 Wi-Fi 路由器和蓝牙信标的信息来支持手机信号塔数据，这些应用程序可以将目标定位到大约 10 米以内（在城市地区更好，在乡村更差）。他们甚至可以在处于飞行模式的手机上工作。

在 1 月 6 日的攻击事件之前，谷歌上的地理围栏搜索令（例如，调查银行抢劫案的特工）可能只会产生十几个可疑设备。Capitol 漏洞导致了 5723个，这是迄今为止最大的此类生产。

直到 2021 年 5 月上旬，谷歌才将数据移交给 FBI；当它这样做时，结果是全面的。该数据包括每个设备的纬度和经度，精确到小数点后七位，以及它在国会大厦内的时间。

在将结果缩小到仅那些最有可能破坏国会大厦的人之后，谷歌最终提供了与这些账户相关的姓名、电话号码和电子邮件：调查人员需要的一切来识别和追踪当天国会大厦内的人。

并跟踪他们所做的。法律文件表明，与其他任何技术相比，谷歌地理围栏保证产生了更多的初始身份证明：50 个人，并且在总共 128 个案例中引用了它们。

调查人员能够将嫌疑人劳尔·贾林的室内监控录像与他在同一时刻用三星手机拍摄的照片进行比对。他们后来根据单独的授权从谷歌获得了这张照片。贾林于 2022 年 3 月被捕。

除了谷歌数据，FBI 还为来自 10 家数据聚合公司的匿名位置数据提供了地理围栏搜索授权。但这些公司都没有在刑事诉讼中被提及，也没有进一步的细节。

将地理围栏授权的巨大范围和功能视为错误，而不是功能。我们认为地理围栏搜查令是违宪的，因为它们不是从嫌疑人开始的，他们不依赖个人化的怀疑，这是[美国宪法]第四修正案的要求。在 1 月 6 日的背景下，很可能有很多记者的数据被提供给了警方。

地理围栏搜查令还用于调查 2020 年在西雅图抗议警察暴行期间可能发生的纵火案。尽管火灾是在已知时间在已知地点纵火的，搜查令仍在寻找所有设备的位置数据在 Black Lives Matter 抗议活动中，在 75 分钟的时间里，整个城市街区。

同意 [抗议] 是受宪法保护的第一修正案活动，这些信息永远不应该掌握在执法部门手中，因为它会让人们不敢公开反对美国政府。

谷歌称，它会仔细检查所有地理围栏权证的法律有效性和宪法问题。它表示，它经常会拒绝过于宽泛的要求，在某些情况下甚至拒绝提供任何信息。

地理围栏针对的是地点，而不是人，这是个问题

当然，划出特定区域进行审查的想法已经过时了。看看停在榆树街上的每一辆车，几乎在任何程序中都是如此。新功能是能够立即、轻松地通过范围广泛的数据库调查任何区域：每通电话、每一次停车、每一个雇员、进行的信用卡交易和售出的比萨饼。

事实上，围绕国会大厦漏洞的高科技调查远远超出了嫌疑人的手机范围，包括优步乘车、用户搜索历史、苹果 iCloud 和亚马逊。

美国联邦调查局指出，一名嫌疑人 Speed 是一名分配给美国国家侦察办公室的美国海军预备役军官，他在亚马逊上购买了黑色面罩和黑色背包，有人看到他在国会大厦时都戴着这两种东西1 月 6 日的闭路电视画面。Speed 于 2022 年 6 月被捕。

毫不奇怪，在致命的骚乱之后，一些在场的人删除了他们的社交媒体帖子、图片和帐户。一名嫌疑人将手机扔进了大西洋。

据称，来自宾夕法尼亚州斯沃耶斯维尔的安妮·豪厄尔发布了她在国会大厦内与执法部门发生冲突的视频。根据她的指控文件，2021 年 1 月 26 日，Howell 将她的 Apple iPhone 恢复出厂设置，但没有从她的在线 iCloud 帐户删除数据。

在 Facebook 上通过她的电脑与她父亲交谈时，他告诉她：远离！他们就是这样欺负我们的。

法律文件称，还有大约 150 人也试图删除数据和帐户。对于许多人来说，为时已晚。

FBI 非常擅长查找已删除的信息，因为正如你所知，如果你删除手机上的文本或应用程序，它并没有真正被删除，一名 FBI 特工在 1 月 6 日的审讯中告诉一名嫌疑人。

调查人员确实能够从许多设备和帐户中恢复聊天、社交媒体帖子、通话记录、照片、视频和位置数据，怀疑他们认为这些设备和帐户已永久委托给数字垃圾桶。

FBI 甚至利用此类努力来识别嫌疑人：它要求谷歌在地理围栏搜查令中挑出那些用户在围攻后的几天内试图删除其位置历史记录的设备。这个过程又增加了 37 人。2022 年 3 月，豪厄尔被判入狱 60 天。

大声疾呼：数字化

也许 1 月 6 日调查中最大的创新不是执法本身所做的任何事情，而是公众的反应。使用Bellingcat等开源调查组织开创的工具和流程，Jan6attack.com和Sedition Hunters等网站为美国和世界各地的普通民众提供了一个论坛。

用于分析和推测（有时是正确的，有时是错误的）暴徒的身份。FBI 在 63 份法律文件中引用了这些。

非营利调查新闻编辑室 ProPublica 参与其中，因为有消息来源提供了 30 TB 的视频（超过一百万个视频剪辑），这些视频是从社交媒体网络中删除的。真正有用的一件事是当文件被泄露时，所有这些元数据仍然附加在文件上。我们有地理信息，他们使用的是什么手机，时间戳，以及一堆其他数据。

通过地理位置和其他元数据过滤视频，但很快意识到并非所有数据都是准确的。因此，成员们手动浏览了视频，以检查那些看似是在国会大厦内拍摄的视频是否确实如此。

ProPublica 最终获得了 2500 个视频，它可以在 1 月 6 日最终将这些视频放入参议院大楼。

它很快在网上发布了 500 个这样的视频。滚动浏览视频就像快进过那混乱的一天。其中一个设计思路是，我们可以构建一个‘悲伤的 TikTok’。它有一个类似于 TikTok 或 Instagram 的界面，你可以在其中看到通常按时间顺序发生的事情。美国司法部至少在 24 起案件中引用了 ProPublica 的视频。

从 1 月 6 日开始拍摄的剩余 2,000 段 Parler 视频现在在 ProPublica 的服务器上被搁置，几乎肯定可以帮助识别更多的骚乱者。在过滤过程中被丢弃的数十万个视频很可能包含进一步犯罪和轻罪的证据，当天前往华盛顿的其他人的数千个未被搜索的智能手机和未被删除的社交媒体账户也是如此。

但在某些时候，我们应该问问我们真正为之奋斗的是什么。当然，如果我们让警察进入每个人的房子，我们可以解决更多的犯罪问题。但这不是我们国家的建立方式，如果我们想维持民主，就必须限制监视技术。技术进步的速度快于法律跟不上的速度。

实际上，这意味着一些联邦法院已经认定地理围栏搜查令违宪，而其他法院则继续允许其使用。同样，一些司法管辖区正在限制执法机构保留 ALPR 数据和警察使用面部识别技术。

但与此同时，私营公司正在挖掘越来越多的开源图像和位置信息以获取利润。

在安全和隐私之间的永恒斗争中，数字权利活动家所能期望的最好的结果就是密切关注调查人员，就像他们关注我们一样。