Когда немецкий исследователь в области безопасности Матиас Маркс обнаружил на аукционе eBay военное устройство Соединенных Штатов — инструмент, ранее использовавшийся для выявления разыскиваемых лиц и известных террористов во время войны в Афганистане, — Маркс немного рискнул и сделал небольшую ставку в 68 долларов.
Вероятно, он не рассчитывал на победу, так как предложил меньше половины запрашиваемой продавцами цены — 149,95 долларов. Но он выиграл, и после этого его ждал еще больший сюрприз, сообщает The New York Times. Когда прибыло устройство с картой памяти внутри, Маркс был потрясен, осознав, что он невольно купил имена, национальности, фотографии, отпечатки пальцев и сканирование радужной оболочки глаз 2632 человек, чьи биометрические данные были отсканированы американскими военными.
Устройство хранило не только личную информацию (PII) подозрительных лиц, но и военнослужащих США, людей в Афганистане, которые работали с правительством, и простых людей, временно задержанных на военных блокпостах. Большая часть данных поступила от жителей Афганистана и Ирака.
Все эти данные должны были быть уничтожены на месте, но, похоже, этого не произошло. Неспособность стереть данные с устройства согласуется со случайными неудачами американских вооруженных сил за последнее десятилетие, из-за которых люди, помогавшие американским военным и американским военным, подвергались риску быть идентифицированными и преследуемыми талибами, сообщает The Times.
В настоящее время никто не знает, сколько раз это устройство переходило из рук в руки с тех пор, как оно в последний раз использовалось в 2012 году недалеко от Кандагара, Афганистан.
Маркс проявил крайнюю осторожность в отношении данных, отказавшись предоставить The Times электронную базу данных. Вместо этого The Times отправила репортера из Германии к Марксу, чтобы тот ознакомился с данными, а затем связалась по крайней мере с одним американцем, который подтвердил, что данные, вероятно, принадлежали ему.
Пресс-секретарь Министерства обороны (DOD) бригадный генерал Патрик С. Райдер заявил The Times, что им необходимо будет просмотреть данные, прежде чем подтверждать их подлинность.
«Поскольку мы не проверяли информацию, содержащуюся на устройствах, департамент не может подтвердить подлинность предполагаемых данных или иным образом прокомментировать их», — сказал Райдер The Times. «Департамент требует, чтобы любые устройства, которые, как считается, содержат личную информацию, были возвращены для дальнейшего анализа».
Эксперты заявили The Times, что, если эти данные достоверны, это конкретное нарушение может иметь фатальные последствия. Они рекомендуют правительству США просмотреть данные, проинформировать всех, кого затронула утечка, а затем предоставить убежище всем, кто все еще находится в Афганистане.
Когда Маркс обнаружил данные, он сказал, что связался с Министерством обороны, но Маркс сказал Арсу, что был «встревожен», когда Министерство обороны якобы не провело расследование или не приняло мер для защиты тех, кто пострадал от утечки.
«Мы также предположили, что данные будут полезны для расследования того, как устройства оказались в сети, и для определения того, кто еще находится в потенциальной опасности», — сказал Маркс Ars.
Маркс сказал The Times, что он считает неспособность военных удалить эти крайне конфиденциальные данные «тревожной», утверждая, что «они даже не пытались защитить данные», и предположив, что это произошло потому, что «их не заботил риск, или они проигнорировали риск».
Маркс входит в европейскую ассоциацию хакеров Chaos Computer Club (CCC). Он сказал The Times, что CCC был встревожен сообщениями о захвате талибами американской военной техники после того, как США эвакуировались из Афганистана. В прошлом году The Intercept сообщил, что целью талибов было выявление афганцев, которые помогали силам противника.
Желая узнать больше об этих угрозах безопасности, CCC обратилась к eBay, где они приобрели шесть устройств, сообщает The Times. Из четырех комплектов безопасной электронной регистрации (SEEK II) и двух портативных устройств для межведомственного обнаружения личности (HIIDE), которые они купили, CCC обнаружила конфиденциальные данные на двух SEEK II. Последняя покупка CCC содержала данные о тысячах людей, в то время как другой SEEK II, последний раз использовавшийся в 2013 году, предположительно содержал «отпечатки пальцев и сканирование радужной оболочки глаза небольшой группы военнослужащих США».
The Times описала SEEK II как «остаток обширной системы сбора биометрических данных, созданной Пентагоном после терактов 11 сентября 2001 года». В одном правительственном документе, рекламирующем его передовую технологию для того времени, он описывается как «автономное портативное устройство для сбора биометрических данных со встроенной поверхностью для сбора отпечатков пальцев, сканером радужной оболочки глаза и камерой».
У устройства есть клавиатура, чтобы военнослужащие могли добавлять биографические данные. После того, как это устройство стало популярным инструментом, используемым в основном в специальных операциях, к 2012 году оно превратилось в предпочтительное устройство для сбора биометрических данных для армии и корпуса морской пехоты США, которое в военном справочнике 2011 года упоминается как помогающее военным идентифицировать разыскиваемых лиц в течение 15 минут после сканирования.
Представитель eBay заявил The Times, что продажа такого устройства противоречит политике компании. Один из продавцов eBay сообщил The Times, что последний SEEK II, проданный CCC, был куплен на государственном аукционе.
Любой продавец eBay, уличенный в нарушении политики eBay, рискует быть удаленным из списка продавцов и, возможно, безвозвратно быть заблокированным. Ars не смог сразу связаться с eBay, чтобы прокомментировать, будут ли они более внимательно следить за продажами таких устройств, как SEEK II, и Ars обнаружил по крайней мере один листинг SEEK II, описанный как излишек пограничного патруля с «не установленной операционной системой» — с текущей запрашиваемой ценой $299,98.
Маркс сказал Ars, что CCC в настоящее время имеет одну зашифрованную копию найденных ею баз данных SEEK II, но без прямого ответа от Министерства обороны США план его группы состоит в том, чтобы удалить данные. Как только данные будут удалены, риск будущих утечек с этого конкретного устройства снизится, но удаление данных также потенциально устранит любую возможность того, что Министерство обороны быстро отследит, кто мог перехватить данные до того, как это сделала CCC. По этой причине сохраняется риск будущих утечек, а также потенциальные риски для людей, чьи данные уже могли быть перехвачены талибами. Сюда входят некоторые люди, которые работали с правительством США и, возможно, уже скрываются, потому что, хотя имена могут меняться, отпечатки пальцев и сканирование радужной оболочки глаза — нет.
Министерство обороны не сразу ответило на запрос Ars, чтобы уточнить, есть ли какой-либо план напрямую связаться с Марксом, чтобы получить данные для анализа, прежде чем CCC удалит их. (Обновление: представитель Министерства обороны поделился адресом, по которому CCC может отправить устройство для анализа, который Ars предоставил Марксу. В ответ Маркс сказал Ars, что CCC не будет отправлять устройство на неподдающийся проверке адрес, и попросил, чтобы Министерство обороны напрямую связалось с CCC, чтобы получить устройство.)