На eBay продали військовий пристрій США з біометричною базою даних тисяч людей

Олександр Гайдамашко

Джерело:

ArsTechnica

Військовий пристрій США, проданий на аукціоні, містив не видалені дані двох тисяч осіб

SEEK II / Andreas Meichsner для The New York Times

Німецький дослідник безпеки Матіас Маркс знайшов на eBay військовий пристрій США. Цей інструмент раніше використовувався для ідентифікації розшукуваних осіб і відомих терористів під час війни в Афганістані. Продали його за 68 доларів.

Продаж відбувався в форматі аукціону. Початкова ціна була 149,95 долара, але дослідник вирішив ризикнути й запропонував менше половини цієї суми. Неочікувано він переміг і забрав девайс Secure Electronic Enrollment Kit (SEEK II). Однак справжній сюрприз на нього чекав пізніше.

Цікаво Підсумки року: головні ґаджети та технології, які запам'ятає світ у 2022-му

База даних

Пристрій прибув із картою пам’яті, яка все ще була всередині. Маркс був шокований, побачивши, що він мимоволі придбав імена, національність, фотографії, відбитки пальців і сканування райдужної оболонки ока 2632 людей, чиї біометричні дані, ймовірно, були проскановані американськими військовими.

Дослідник стверджує, що пристрій зберігав не лише особисту інформацію (PII) підозрілих осіб, а й військовослужбовців США, людей в Афганістані, які працювали з урядом, і звичайних людей, тимчасово затриманих на військових блокпостах. Найбільше даних надійшло від жителів Афганістану та Іраку. Усі ці дані мали бути знищені на місці, але цього не сталося.

Наразі невідомо, скільки людей володіли пристроєм з моменту останнього використання в 2012 році поблизу Кандагара, Афганістан. Маркс не поділився даними з пристрою, тому The Times відправила репортера в Німеччину, щоб особисто переглянути архів. Пізніше видання зв'язалося принаймні з одним американцем, який підтвердив, що дані належать йому.

Що кажуть військові

Коли Маркс виявив ці дані, він сказав, що зв’язався з Міністерством оборони, але там йому заявили, що не можуть розслідувати або вжити заходів для захисту тих, хто постраждав від витоку. Тоді за справу взялося видання The Times. Залученість відомих журналістів дещо змінила ситуацію. Прессекретар Міністерства оборони сказав, що військовим потрібно переглянути дані, перш ніж підтвердити їх достовірність.

Оскільки ми не перевіряли інформацію, що міститься на пристроях, департамент не може підтвердити автентичність імовірних даних або іншим чином прокоментувати їх. Департамент просить повернути всі пристрої, які, як вважають, містять особисту інформацію, для подальшого аналізу,
— каже бригадний генерал Патрік С. Райдер.

Експерти повідомили The Times, що якщо дані достовірні, цей витік може мати фатальні наслідки. Вони рекомендують уряду США переглянути дані, повідомити всіх, хто постраждав через порушення, а потім надати притулок усім, хто все ще перебуває в Афганістані.

Він не один

Матіас Маркс належить до європейської асоціації хакерів під назвою Chaos Computer Club (CCC). Стурбований повідомленнями про діяльність Талібану, спрямовану на виявлення людей, які співпрацювали з американською владою, він купив загалом 6 пристроїв – три SEEK II і два Handheld Interagency Identity Detection Equipment (HIIDE). Якщо не рахувати вже згаданий апарат з даними 2632 людей, ще один такий же містив відбитки пальців і сканування райдужної оболонки ока невеликої групи військовослужбовців США.