На eBay за копейки и с международной доставкой проданы отпечатки пальцев террористов и секретных агентов США
На eBay продаются американские приборы для сбора биометрии, в памяти которых хранятся отпечатки пальцев тысяч людей – военных, правительственных агентов, в том числе засекреченных, и даже террористов. Купить их можно очень дешево – менее чем за 5000 руб. и они будут отправлены из США в любую точку мира, например, в центр Европы.
Персональные данные оптом со скидкой
Армия США допустила утечку персональных данных людей, признанных террористами, и секретных правительственных агентов. Как пишет New York Times, в продаже на eBay оказалось устройство для сканирования биометрии Secure Electronic Enrollment Kit или SEEK II, в памяти которого была информация о более чем 2500 личностях со всех стран мира.
Небольших размеров специализированный гаджет продавался всего за $150 (10,7 тыс. руб. по курсу ЦБ на 28 декабря 2022 г.), но покупателям удалось заполучить его более чем вдвое дешевле. Устройство обошлось им лишь в $68 (4850 руб.).
Прибор, даже по внешнему виду которого понятно, что это устройство явно не гражданского назначения, попал в руки немецкому исследователю безопасности Маттиасу Марксу (Matthias Marx), который и купил его на eBay. По его словам, заплатив столь небольшие деньги, он получил даже больше, чем было заявлено в объявлении о продаже. Онлайн-сделка состоялась в августе 2022 г., и Маркс даже был немного удивлен, когда посылку действительно доставили ему домой в Гамбурге (Германия). Она была отправлена из США.
SEEK II – это небольшое устройство с крошечным экраном, миниатюрной физической клавиатурой и комично маленьким ковриком для мыши. Считыватель отпечатков пальцев защищен откидной пластиковой крышкой в нижней части устройства. Корпус устройства может открываться, подобно древней камере Polaroid, обнажая сканер радужной оболочки глаза и фотокамеру.
Неожиданный бонус
Продавец, отправивший Марксу SEEK II, негде не указал, что в комплекте будет карта памяти. На ней оказалась внушительных размеров база данных с персональными данными 2632 человек.
В базе содержались сведения об именах и национальностях этих людей. Также имелись их отпечатки пальцев и сканы радужной оболочки глаза. По информации издания, многие из них – это выходцы из Ирака и Афганистана, а также известные террористы.
Многие из тех, чьи персональные данные оказались на флешке, находились в розыске, но были также и те, работал на правительство США или просто по тем или иным причинам был остановлен на различных контрольно-пропускных пунктах.
Маттиас Маркс планировать использовать SEEK II на себе. Но когда он выключил его, появилось сообщение с просьбой подключиться к серверу Командования специальных операций США, чтобы загрузить новые «собранные биометрические данные».
Сомнительная актуальность
Маттиас Маркс смог выудить из оказавшегося в его руках прибора SEEK II еще и различные метаданные. Как оказалось, прибор очень давно не был в эксплуатации – в последний раз он использовался летом 2022 г. недалеко от Кандагара (Афганистан).
Таким образом, нельзя сказать, что информация на флешке до сих пор является актуальной. За минувшие 10 лет многие из людей, чьи данные находятся в этой картотеке, могли умереть. Но и полностью устаревшими эти сведения считать тоже нельзя.
Как пишет New York Times, прибор SEEK II – реликт обширной системы сбора биометрических данных, созданной Пентагоном после терактов 11 сентября 2001 г.
Как именно устройство попало с полей сражений на сайт онлайн-аукциона, остается загадкой. Однако если бы флешка попала не в те руки, сведений в ее памяти могло бы быть более чем достаточно, чтобы поставить под угрозу жизнь людей, чьи связи с правительством и вооруженными силами США были засекречены.
По этой причине Маркс не размещал информацию с накопителя в интернете. В наличии информации на накопителе лично убедился немецкий корреспондент New York Times.
Проблема массовая
За последний год Маркс и небольшая группа исследователей из европейской ассоциации хакеров Chaos Computer Club, купили на eBay шесть устройств для сбора биометрических данных, большинство из которых менее чем за 200 евро (15,4 тыс. руб.). Их целью был анализ устройств на предмет наличия недостатков аппаратной конструкции или программных уязвимостей.
На eBay исследователи купили шесть таких устройств. Четыре из них – это SEEK II, оставшиеся два – это HIIDE, портативные приборы для идентификации личности. Два из четырех SEEK II таили в себе конфиденциальную информацию – персональные данные людей.
Второй прибор SEEK II, способный скомпрометировать всех, кто есть в его памяти, содержал отпечатки пальцев и сканы радужной оболочки глаза небольшой группы военнослужащих США. Согласно метаданным, в последний раз он использовался в Иордании в 2013 г.
New York Times удалось связаться с одним американцем, чьи данные были обнаружены в SEEK II. На условиях анонимности он подтвердил их подлинность, добавив, что ранее служил служил специалистом по разведке в морской пехоте США. По его словам, его персональные данные, а также информация о других солдатах из памяти SEEK II была собрана, вероятнее всего, во время курса военной подготовки.
Неведение приводит к неприятностям
По данным Министерства материально-технического снабжения Министерства обороны США, которое ежегодно занимается утилизацией избыточной техники Пентагона на миллионы долларов, устройства наподобие SEEK II и HIIDE никогда не должны были попасть на открытый рынок, а уж тем более на сайты онлайн-аукционов вроде eBay. Согласно действующему протоколу, гаджеты для сбора биометрии должны физически уничтожаться сразу после того, как надобность в них пропадет.
Как продавцы на eBay получили эти устройства, неясно. В случае с SEEK II с 2632 профилями продавцом выступила компания Rhino Trade из Техаса (США), Казначей компании Дэвид Мендес (David Mendez) заявил, что SEEK II был куплен на аукционе правительственного оборудования. С его слов, он не знал, что на списанном военном устройстве могут быть конфиденциальные данные. «Надеюсь, мы не сделали ничего плохого», – добавил он.
SEEK II с информацией американских войск поступил от компании Tech-Mar из Огайо (США). Владелец компании Айман Арафа (Ayman Arafa) отказался сообщить, как он приобрел его и два других устройства, которые он тоже продал немецким исследователям.
Представитель eBay заявил, что политика компании запрещает внесение в список электронных устройств, содержащих личную информацию. «Объявления, нарушающие эту политику, будут удалены, а к пользователям могут быть применены санкции вплоть до постоянной блокировки их учетной записи», – сказал он.
Маттиас Маркс предупредил о незащищенных данных Министерство обороны, а также производителя устройства, компанию HID Global. Он планировал озвучить свое мнение о произошедшем на мероприятии для хакеров в Берлине 27 декабря 2022 г. По завершении исследования он и его коллеги намерены удалить все случайно приобретенные ими персональные данные.