Немецкий хакер купил на eBay военную базу данных отпечатков пальцев и радужной оболочки глаза. Об этом рассказали журналисты издания The New York Times. Специально для своих читателей «ПолитРоссия» представляет эксклюзивный пересказ материала.
Устройство в форме обувной коробки, предназначенное для снятия отпечатков пальцев и сканирования радужной оболочки глаза, было выставлено на продажу на eBay за 149,95 долларов. Маттиас Маркс — исследователь безопасности в Chaos Computer Club, европейской ассоциации хакеров — попросил продавца о скидке и в итоге приобрел аппарат за 68 долларов. Однако когда агрегат был доставлен в Гамбург, Маркса ждал сюрприз: машина содержала больше, чем было обещано в объявлении.
«Карта памяти устройства содержала имена, национальности, фотографии, отпечатки пальцев и сканы радужной оболочки глаза 2632 человек», — рассказывают журналисты.
Большинство людей, сведения о которых хранил прибор, были выходцами из Афганистана и Ирака. Многие из них были террористами и находились в розыске, но также были конфиденциальные данные и о людях, работавших с правительством США, или о тех, кто просто был остановлен на контрольно-пропускных пунктах.
Удалось установить, что устройство, которое немецкий хакер приобрел на eBay, называется Secure Electronic Enrollment Kit или SEEK II. Оно имеет крошечный экран, миниатюрную физическую клавиатуру и комично маленький коврик для мыши. Считыватель отпечатков пальцев защищен откидной пластиковой крышкой в нижней части устройства. Подобно древней камере Polaroid, машина разворачивается, позволяя сканировать радужную оболочку и делать фотографии. Маркс протестировал SEEK II на себе. Когда он выключил его, появилось сообщение с просьбой подключиться к серверу Командования специальных операций США, чтобы загрузить новые собранные биометрические данные.
Этот аппарат является частью системы сбора биометрических данных, которая была создана Пентагоном после терактов 11 сентября 2001 года. Конкретно тот аппарат, что немец купил на интернет-аукционе, в последний раз использовался летом 2012 года недалеко от Кандагара (Афганистан). Как именно SEEK II попал с полей сражений на площадку для онлайн-торговли, остается неясным. Однако очевидно, что Соединенные Штаты ненадлежащим образом подошли к хранению столь важной и секретной информации.
Журналисты The New York Times опасаются, что американские союзники могут оказаться в опасности, если такая важная информация попадет в чужие руки. Подробного описания людей вместе с их фотографиями и биометрическими данными о них может быть достаточно, чтобы они стали мишенями для тех, кто недоволен их сотрудничеством с вооруженными силами США. По этим причинам Маттиас Маркс не стал размещать конкретные данные в Интернете, но он рассказал о ситуации журналистам. Те, в свою очередь, обратились за комментарием в Пентагон, и пресс-секретарь министерства обороны генерал Патрик С. Райдер заявил следующее:
«Поскольку мы не проверяли информацию, содержащуюся на устройствах, ведомство не может подтвердить достоверность предполагаемых данных или иным образом прокомментировать их. Департамент требует, чтобы любые устройства, которые, как считается, содержат личную информацию, были возвращены министерству обороны для дальнейшего анализа».
Также представитель Пентагона дал адрес руководителя военной программы биометрии в форте Бельвуар в Вирджинии, куда можно отправить устройство. Однако журналисты и немецкий исследователь безопасности остались недовольны таким положением дел. Ведь купленное на аукционе устройство — наверняка не единственное. Специалистов беспокоит, что талибы (представители организации «Талибан»✱, деятельность которой запрещена в РФ) захватили такие аппараты после спешной эвакуации военных США из Афганистана. Вероятно, талибы могли получить биометрические данные людей, которые помогали Соединенным Штатам.
Это весьма иронично, учитывая, что именно для борьбы с «Талибаном» (деятельность организации запрещена в РФ) внедрялась программа сбора биометрических данных. Военные США надеялись, что таким образом они смогут выявить любых возможных агентов «Талибана». Данные собирались в местах содержания под стражей, во время патрулирования и во время проверок местных сотрудников. Как отметил Маркс, обнаружение такого большого количества незашифрованной и легкодоступной информации шокировало его.
«Беспокойно, что они (американские военные — прим. ред.) даже не попытались защитить данные. Их не заботил риск, или они игнорировали риск», — возмущен немецкий хакер.
Аналогичное мнение высказал Стюарт Бейкер, юрист из Вашингтона и бывший сотрудник службы национальной безопасности. Он сказал, что биометрическое сканирование было ценным инструментом в зонах боевых действий, но собранные данные необходимо держать под контролем. Он также опасается, что утечка данных заставит чувствовать себя некомфортно многих людей, которые помогали США и все еще находятся в Афганистане.
«Этого не должно было случиться. Это катастрофа для людей, чьи данные раскрываются. В худшем случае последствия могут быть фатальными», — сказал Бейкер.
Однако это еще не все. Партнеры Маркса по организации Chaos Computer Club решили продолжить эксперимент и приобрели в Интернете еще пять аналогичных устройств. Таким образом, в руки исследователей попало шесть машин: четыре SEEK и два HIIDE. Выяснилось, что два устройства SEEK II содержали конфиденциальные данные. Первое было тем, что попало в руки Маркса из Афганистана, а второе использовалось в Иордании в 2013 году, оно содержало данные о самих военнослужащих США, которые были собраны, вероятно, во время курса военной подготовки.
«По данным Министерства материально-технического снабжения Министерства обороны США, которое ежегодно занимается утилизацией избыточной техники Пентагона на миллионы долларов, такие устройства, как SEEK II и HIIDE, никогда не должны были попадать на открытый рынок, а уж тем более на сайты онлайн-аукционов вроде eBay. Вместо этого предполагается, что все оборудование для сбора биометрических данных должно быть уничтожено на месте, когда военнослужащие больше не будут в нем нуждаться, как и другие электронные устройства, которые когда-то содержали конфиденциальную оперативную информацию», — пишут журналисты.
Как продавцы eBay получили эти устройства, неясно. Устройство с 2632 профилями было продано Rhino Trade, компанией по производству излишков оборудования в Техасе. Казначей компании Дэвид Мендес заявил, что SEEK II был куплен на аукционе правительственного оборудования, и он не знал, что на списанном военном устройстве могут быть конфиденциальные данные.
«Надеюсь, мы не сделали ничего плохого», — сказал он.
SEEK II с информацией об американских войсках поступил от Tech-Mart, продавца eBay в Огайо. Владелец Tech-Mart Айман Арафа отказался сообщить, как он приобрел его или два других устройства, которые он продал исследователям. Тем временем представитель eBay заявил, что политика компании запрещает внесение в список электронных устройств, содержащих личную информацию.
«Объявления, нарушающие эту политику, будут удалены, а к пользователям могут быть применены меры вплоть до постоянной приостановки действия их учетной записи», — сказал представитель компании.
Конфиденциальные данные на устройствах хранились на картах памяти. Если бы карты были удалены и уничтожены, эти данные не были бы раскрыты.
«Безответственное обращение с такой высокорисковой технологией просто невероятно. Нам непонятно, что производителя и бывших военных пользователей не волнует, что бывшие в употреблении устройства с конфиденциальными данными продаются в Интернете», — подытожил Маркс.
Элла Якубовска, политический советник по биометрической информации в European Digital Rights, группе по защите конфиденциальности, сказала, что военные должны информировать всех людей, чьи данные были раскрыты.
«Неважно, что это было десятилетие назад. Один из ключевых моментов, который мы всегда пытаемся поднять в отношении биометрических данных и почему они настолько чувствительны, заключается в том, что они помогут идентифицировать вас всегда» — отметила Якубовска.
Специалисты по безопасности и защите прав человека считают, что людям, которые работали с правительством США и пострадали от взлома, должна быть предоставлена возможность покинуть Афганистан и подать заявление о предоставлении убежища.
Что касается дальнейшей судьбы купленных устройств, то Маркс планирует представить свои выводы на мероприятии для хакеров в Берлине. После этого он и его коллеги намерены удалить данные, позволяющие установить чью-либо личность.
Ранее «ПолитРоссия» писала о том, что предсказание Путина насчет американского Patriot может сбыться.
- ✱ - запрещенная в РФ террористическая организация
