Немецкий исследователь в области безопасности Маттиас Маркс нашёл на eBay выставленное на продажу военное устройство армии США. Биометрический гаджет прежде использовали для идентификации разыскиваемых и террористов во время войны в Афганистане.
При торге Маркс рискнул и сделал низкую ставку в 68 $. Он не ожидал победы, поскольку предложил менее половины запрашиваемой продавцом цены, а тот хотел 149,95 $. Но Маттиас Маркс победил. И после этого его ждал ещё больший сюрприз. Устройство прибыло с картой памяти. И покупатель был потрясён, осознав, что невольно приобрёл данные: имена, информация о национальности, фотографии, отпечатки пальцев и снимки радужки глаз 2632 человек. И сделал вывод, что их биометрические данные были отсканированы американскими военными.
Предположительно, устройство содержало личную идентификационную информацию подозрительных лиц, а также военнослужащих США, а ещё афганцев, которые сотрудничали с правительством, да и просто обычных людей, временно задержанных на военных контрольно-пропускных пунктах. Большая часть данных относилась к жителям Афганистана и Ирака.
Все эти данные должны были уничтожить, потому что люди, которые помогали американским военным, рискуют быть идентифицированными и стать мишенью, например, талибов. И теперь никто не уверен, сколько раз гаджет переходил из рук в руки с момента его последнего использования в 2012 году недалеко от Кандагара, города в южном Афганистане.
Маркс проявил большую осторожность с данными, отказавшись делиться базой данных с газетчиками. И тогда газета New York Times отправила репортёра в Германию к Марксу, чтобы увидеть данные. А затем нашла американца, который подтвердил, что данные, скорее всего, прежде были у него.
Пресс-секретарь Минобороны, бригадный генерал Патрик С. Райдер сказал Times, что им нужно будет просмотреть данные, прежде чем подтвердить их подлинность. А эксперты сообщили Times, что, если данные подлинные, то такая утечка может иметь фатальные последствия. Они рекомендуют правительству США просмотреть данные, проинформировать всех, на кого повлияло нарушение, а затем предоставить убежище всем, кто все ещё находится в Афганистане.
Сам Маркс сказал Ars Technica, что встревожен: Минобороны США якобы не провело расследование и не приняло мер для защиты тех, кто пострадал от утечки.
К сожалению, никто, похоже, не берёт на себя никакой ответственности, не говоря уже о том, чтобы приложить какие-либо усилия для защиты пострадавших. Поэтому мы удалим данные в ближайшее время
— Маттиас Маркс, немецкий исследователь в области безопасности.
Маркс принадлежит к европейской хакерской ассоциации под названием Chaos Computer Club (CCC). Он сказал Times, что CCC был встревожен сообщениями о захвате талибами военных устройств после эвакуации США из Афганистана. Известно, что целью талибов было выявить афганцев, которые помогали американцам.
Желая узнать больше об этих рисках безопасности, CCC обратилась к eBay, где они приобрели шесть устройств. Из четырёх купленных ими устройств Secure Electronic Enrollment Kit (SEEK II) и двух портативных межведомственных устройств идентификации личности (HIIDE) CCC обнаружила конфиденциальные данные на двух из SEEK II. Самая последняя покупка CCC содержала данные о тысячах людей. А другой SEEK II, который последний раз использовался в 2013 году, предположительно содержал «отпечатки пальцев и снимки радужной оболочки небольшой группы военнослужащих США».
У гаджетов есть клавиатура, чтобы военнослужащие могли добавлять биографическую информацию. В военном справочнике 2011 года указано, что устройство помогает военным идентифицировать разыскиваемых в течение 15 минут после сканирования.
