Έγινε διαρροή Mugshots πελατών των ΗΠΑ και της βάσης δεδομένων Border Protection στον σκοτεινό ιστό

Έγινε διαρροή Mugshots πελατών των ΗΠΑ και της βάσης δεδομένων Border Protection στον σκοτεινό ιστό


Τον περασμένο Ιούνιο, μια παραβίαση από έναν υπεργολάβο Τελωνείων και Προστασίας των Συνόρων των ΗΠΑ (CBP) αποκάλυψε περισσότερες από 184.000 φωτογραφίες ανθρώπων που συλλέχθηκαν ως μέρος του Vehicle Deal with Method, ένα πρόγραμμα αναγνώρισης προσώπου σε μεγάλα λιμάνια εισόδου για την επαλήθευση της ασφάλειας. ταυτότητα των ταξιδιωτών όταν εισέρχονται και εξέρχονται από τις ΗΠΑ Ενώ η CBP αρχικά αρνήθηκε να πει εάν κάποιο από αυτά τα δεδομένα είχε εισέλθει στον σκοτεινό ιστό, ένας νέος γενικός επιθεωρητής σχέση από το Υπουργείο Εσωτερικής Ασφάλειας των ΗΠΑ διαπίστωσε ότι τουλάχιστον 19 εικόνες δημοσιεύτηκαν στο διαδίκτυο λόγω σφαλμάτων στα πρωτόκολλα ασφαλείας της Perceptics, το τρίτο μέρος που είναι υπεύθυνο για την προστασία των εικόνων.

Τα αποτελέσματα της έκθεσης, αν και κάπως αναμενόμενα από αυτά της Motherboard αναφορά πέρυσι, επισημαίνουν τους κινδύνους των συστημάτων αναγνώρισης προσώπου επιβολής του νόμου. Οι κεντρικές βάσεις δεδομένων, ειδικά εκείνες που διαχειρίζονται πολλά μέρη, είναι ευάλωτες σε απόπειρες πειρατείας και ransomware.

Το Auto Encounter System, που κυκλοφόρησε το 2018 στη συνοριακή διάβαση Nogales στην Αριζόνα και το Anzalduas στο Τέξας, επιτρέπει στην CBP πρόσβαση σε βάσεις δεδομένων αναγνώρισης προσώπου που περιλαμβάνουν φωτογραφίες από επιθεωρήσεις εισόδου, βίζες στις ΗΠΑ και άλλους πόρους του Υπουργείου Εσωτερικής Ασφάλειας των Ηνωμένων Πολιτειών. (Το όχημα Deal with System είναι μέρος του ευρύτερου βιομετρικού προγράμματος εισόδου-εξόδου της CBP, το οποίο συνεργάζεται με αεροπορικές εταιρείες σε 27 διεθνή αεροδρόμια σε ολόκληρη τη χώρα για την αναγνώριση προσώπου στους επιβάτες.) Περίπτερα κάμερας σε διασταυρώσεις Το Frontier αναπτύχθηκε με τη βοήθεια του Oak Ridge National Τα εργαστήρια του Tennessee τραβούν φωτογραφίες οδηγών μέσω παρμπρίζ και συγκρίνουν τα με φωτογραφίες στη βάση δεδομένων, προσπαθώντας αλγοριθμικά να αναγνωρίσουν αγώνες.

Σύμφωνα με τη συνολική έκθεση του επιθεωρητή, η CBP παραβίασε τους δικούς της κανόνες, χωρίς να προστατεύει επαρκώς τα δεδομένα αναγνώρισης προσώπου σε μια μη κρυπτογραφημένη συσκευή που χρησιμοποιείται κατά τη διάρκεια των πιλότων του συστήματος προσώπου οχήματος. Αυτό επέτρεψε στην Perceptics να μεταφέρει αντίγραφα δεδομένων, συμπεριλαμβανομένων εικόνων ταξιδιωτών, στο μη ασφαλές δίκτυό της μεταξύ Αυγούστου 2018 και Ιανουαρίου 2019 χωρίς «άδεια ή γνώση» της CBP.

Η Perceptics – που είχε εργαστεί στο παρελθόν για την CBP ως υπεργολάβος που παρέχει αναγνώστες πινακίδων κυκλοφορίας σε σημεία ελέγχου περιπολίας των ΗΠΑ – προσλήφθηκε από την Unisys. Η CBP ανέθεσε στην Unisys να σχεδιάσει, να αναπτύξει και να εγκαταστήσει το Vehicle Deal with Method, βάσει εικόνων που τραβήχτηκαν από τη διαμόρφωση Perceptics για δοκιμή και ανάλυση.

Σύμφωνα με την έκθεση, κατά τη διάρκεια του πιλότου του Anzalduas, η Perceptics απέκτησε πρόσβαση σε εικόνες του οδηγού και του επιβάτη του οχήματος μέσω ενός υπολογιστή συνδεδεμένου με κάμερες στο χώρο δοκιμών. Η Perceptics είχε στείλει παραγγελίες εργασίας συντήρησης, οι οποίες είχαν εγκριθεί από την CBP και την Unisys, αλλά κανένα από τα εισιτήρια δεν επέτρεπε στην εταιρεία να κατεβάσει τίποτα.

Τελικά, η Perceptics παραδέχτηκε στην Unisys ότι κατέβασαν τις εικόνες χρησιμοποιώντας μια μη κρυπτογραφημένη μονάδα δίσκου που μεταφέρθηκε στα γραφεία της στο Knoxville του Tennessee. Από εκεί, η Perceptics ανέβασε εικόνες CBP σε έναν εταιρικό διακομιστή για να βελτιώσει τους αλγόριθμους αναγνώρισης προσώπου.

Όπως αναφέρθηκε προηγουμένως, το δίκτυο του υπεργολάβου υποβλήθηκε στη συνέχεια σε κακόβουλη επίθεση στον κυβερνοχώρο που έθεσε σε κίνδυνο περίπου 105.000 εικόνες πινακίδας κυκλοφορίας και 184.000 εικόνες ταξιδιωτών, εκ των οποίων περίπου 84.000 είναι διπλές. Ένας χάκερ γνωστός ως Boris Bullet-Dodger ζήτησε 20 Bitcoins εντός 72 ωρών και απείλησε να ανεβάσει κλεμμένα δεδομένα στον σκοτεινό ιστό εάν δεν ικανοποιηθούν τα αιτήματα.

Μετά την παραβίαση, την οποία η Perceptics εντόπισε τον Μάιο του 2019, η εταιρεία ενημέρωσε την Unisys, η οποία με τη σειρά της ενημέρωσε την CBP μετά από περίπου μια εβδομάδα. Τον επόμενο μήνα, η CBP ανέστειλε προσωρινά το Perceptics από μελλοντικές συμβάσεις, υπεργολαβίες, επιχορηγήσεις, δάνεια και άλλα ομοσπονδιακά προγράμματα βοήθειας. Ωστόσο, η αναστολή καταργήθηκε τον Σεπτέμβριο του 2019, αφήνοντας την Perceptics επιλέξιμη να συμμετάσχει ως εργολάβος σε μελλοντικές ομοσπονδιακές συμβάσεις.

Αλλού, η CBP απενεργοποίησε τις δυνατότητες USB του βιομετρικού εξοπλισμού επεξεργασίας και πραγματοποίησε ενημερώσεις λογισμικού για την υποστήριξη της κρυπτογράφησης. Επιθεώρησε επίσης κάμερες και βιομετρικές τεχνολογίες για να διασφαλίσει ότι τα δεδομένα δεν αποθηκεύτηκαν σε άλλες συσκευές τελικού σημείου. Όμως, από τις 8 Νοεμβρίου 2019, η CBP αναφέρει ότι έχει ολοκληρώσει αξιολογήσεις σε μόλις πέντε τοποθεσίες, συμπεριλαμβανομένων τεσσάρων αεροδρομίων που συμμετέχουν στο πρόγραμμα Biometric Air-Exit και μιας δοκιμαστικής μονάδας στο Sterling της Βιρτζίνια.

“Αυτή η παραβίαση δεδομένων μπορεί να βλάψει την εμπιστοσύνη του κοινού στη χρήση βιομετρικών στοιχείων από την κυβέρνηση”, καταλήγει η έκθεση του Γενικού Επιθεωρητή. “Αυτή η παραβίαση δεδομένων και η επακόλουθη επίθεση ransomware στο Perceptics έγιναν αντικείμενο διεθνούς κάλυψης ειδήσεων … [And] Αυτή η ανησυχία θα μπορούσε να δημιουργήσει απροθυμία στο κοινό να επιτρέψει στο DHS να χρησιμοποιεί τις φωτογραφίες στο μέλλον. “

Η έκθεση έρχεται μετά από αμερικανικό κυβερνητικό γραφείο λογοδοσίας (GAO) αρχειοθέτηση Νωρίτερα αυτό το μήνα, προέκυψε ότι η CBP δεν ήταν στο ίδιο επίπεδο σε τομείς όπως ο έλεγχος των συνεργατών και ο έλεγχος απόδοσης σε σύγκριση με το βιομετρικό πρόγραμμα εισόδου-εξόδου. Η GAO είπε ότι οι πόροι που εντόπισε σχετικά με το πρόγραμμα CBP στα λιμάνια εισόδου, σε απευθείας σύνδεση και τηλεφωνικά κέντρα παρείχαν περιορισμένες πληροφορίες και δεν ήταν πάντα πλήρεις, σημειώνοντας ότι η τεχνολογία αναγνώρισης προσώπου της CBP συνεχίζει να αποδίδει χαμηλά από τις γραμμές βάση πρακτορείου.



[via]

Απάντηση

Αυτός ο ιστότοπος χρησιμοποιεί το Akismet για να μειώσει τα ανεπιθύμητα σχόλια. Μάθετε πώς υφίστανται επεξεργασία τα δεδομένα των σχολίων σας.