Das FBI führte bei den Ermittlungen zu einer Webseite mit kinderpornografischen Inhalten eine bisher beispiellose Hacking-Kampagne durch, deren gerichtliche Aufsicht sich auf ein Minimum beschränkte. Wie Joseph Cox vom VICE Online-Magazin Motherboard berichtet, geht aus Motherboard vorliegenden Gerichtsdokumenten hervor, dass das FBI mehr als tausend Computer gehackt hat, um gegen eine der größten Kinderpornografie-Seiten des Dark Web vorzugehen. Die US-Sicherheitsbehörde nutzte einen beschlagnahmten Server als Honeypot in ihren Ermittlungen. Anstatt ihn offline zu nehmen, betrieb das FBI den Server weiter und sammelte durch das Ausnutzen von Bugs im Tor Browser eine Fülle von Informationen über alle Nutzer_innen, die versuchten, sich dort einen Account einzurichten.

Die Webseite, „Playpen“, wurde im August 2014 gestartet. Laut den Gerichtsdokumenten lag ihr Hauptzweck in „der Anzeige und Verteilung von Kinderpornografie“. Im Februar 2015 beschlagnahmte das FBI den Server, auf dem Playpen lief, nahm ihn jedoch nicht außer Betrieb. Vom 20. Februar bis 4. März 2015 lieferte das FBI die Seite von ihren eigenen Servern aus und wendete eine „network investigative technique“ (NIT) an – eine Hacking-Maßnahme, wie sie etwa bei der „Operation Torpedo“ angewendet wurde. Genaue Angaben zu den in diesem Fall genutzten Hacking-Tools sind nicht bekannt, sie fingen jedoch eine Reihe Geräte-spezifischer Daten ab, etwa das benutzte Betriebssystem, die IP-Adresse, den Host-Namen, Usernames, die MAC-Adresse und ob der jeweilige Computer zuvor bereits mit einem Hacking-Tool des FBI infiziert worden war.

Insgesamt sammelte das FBI so Informationen von mehr als 1.300 Playpen-Nutzer_innen. Problematisch ist dabei, dass die richterliche Anordnung quasi einen Überwachungs-Blankoscheck darstellte. Die Richterin, Theresa Buchanan, antwortete nicht auf Fragen danach, ob sie das Ausmaß der von ihr genehmigten Maßnahmen überblicke oder zuvor Expert_innen konsultiert hatte. Aus ihrem Büro habe es geheißen, „man solle keine Antwort erwarten“.

Laut Chris Soghoian von der NGO American Civil Liberties Union (ACLU) seien NIT-Genehmigungen oftmals sehr vage formuliert und verschleiern so die angewendeten Maßnahmen sowie die Reichweite der Überwachung.

Time and time again, we have seen the Department of Justice is very vague in the application they’re filing. They don’t make it clear to judges what they’re actually seeking to do. They don’t talk about exploiting browser flaws, they don’t use the word ‚hack.’ […] And even if judges know what they’re authorizing, there remain serious questions about whether judges can lawfully approve hacking at such scale.

Der Pflichtverteidiger Colin Fieman, der bereits mehrere Fälle in Verbindung mit Playpen behandelt, bezeichnet die richterliche Anordnung als einen Blankoscheck, welcher „eine unbestimmte Anzahl von Durchsuchungen genehmigt, gegen unbekannte Ziele, überall in der Welt“. Soghoian nennt es eine „neue Grenze der Überwachung“, die einer öffentlichen Debatte bedarf.