Wojskowa baza danych na eBayu. Kupili ją za bezcen

Niemiecki badacz bezpieczeństwa, Matthias Marx, kupił na eBayu urządzenie zaprojektowane do pobierania odcisków palców i wykonywania skanów tęczówki. Zapłacił za nie 68 dol., a kiedy w końcu trafiło w jego ręce, okazało się, że zawiera więcej poufnych informacji, niż zaznaczono w ofercie.

Badacze z grupy Chaos Computer Club kierowanej przez wspomnianego wcześniej Matthiasa Marxa znaleźli na eBayu ofertę dotyczącą urządzenia w kształcie pudełka po butach do pobierania danych biometrycznych, które zostało wystawione za 149,95 dol. Udało im się zbić cenę do zaledwie 68 dol. (ok. 300 zł), a gdy sprzęt w sierpniu bieżącego roku trafił w ich ręce, okazało się, że na jego kartach pamięci znajdują się wrażliwe dane wojskowe Stanów Zjednoczonych – donosi The New York Times.

Karty pamięci zawierały odciski palców, skany tęczówki, zdjęcia, nazwiska, narodowości i opisy 2632 osób, pochodzących głównie z Iraku i Afganistanu. Według raportu wiele z nich współpracowało z armią amerykańską i mogłyby stać się celem ataku, gdyby urządzenia wpadły w niepowołane ręce.

"To nie powinno było się zdarzyć" – powiedział w rozmowie z The New York Times Stewart Baker, prawnik z Waszyngtonu i były urzędnik bezpieczeństwa narodowego. "To katastrofa dla ludzi, których dane zostały narażone. W najgorszych przypadkach konsekwencje mogą być śmiertelne" – podkreślił.

Dalsza część artykułu pod materiałem wideo

Metadane urządzenia, zwanego Secure Electronic Enrollment Kit, lub po prostu SEEK II, ujawniły, że było ono ostatnio używane latem 2012 roku w pobliżu Kandaharu w Afganistanie. Większość osób widniejących w bazie danych pochodziła z Afganistanu i Iraku. Wielu z nich to znani terroryści i osoby poszukiwane, ale inni okazali się ludźmi, którzy pracowali z rządem USA lub po prostu zostali zatrzymani w punktach kontrolnych.

Pewien Amerykanin, którego skan biometryczny został znaleziony na urządzeniu, potwierdził, że dane prawdopodobnie należą do niego. Wcześniej służył jako specjalista wywiadu piechoty morskiej i powiedział, że jego dane oraz dane każdego innego Amerykanina znalezionego na tych urządzeniach zostały najprawdopodobniej zebrane podczas szkolenia wojskowego. Mężczyzna, który udzielił głosu pod warunkiem zachowania anonimowości, ponieważ nadal pracuje w wywiadzie i nie był upoważniony do wypowiadania się publicznie, poprosił o usunięcie jego danych biometrycznych.

Urządzenie – relikt rozległego systemu zbierania danych biometrycznych, który Pentagon zbudował w latach po atakach z 11 września 2001 roku – jest fizycznym przypomnieniem, że chociaż Stany Zjednoczone odeszły od wojen w Afganistanie i Iraku, narzędzia zbudowane do walki z nimi i przechowywane w nich informacje żyją nadal w sposób niezamierzony przez ich twórców.

Nie wiadomo dokładnie, jak urządzenie trafiło z pól bitewnych w Azji na internetowy serwis aukcyjny. Natomiast dane wojskowe zawierające szczegółowe opisy konkretnych nie powinny być dostępne dla zwykłych cywili. Z tego względu Marx nie umieścił tych informacji w internecie ani nie udostępnił ich w formacie elektronicznym. Zespół Chaos Computer Club planuje usunąć wszelkie dane osobowe znalezione na urządzeniach.