Kupił na eBay tajemnicze pudełko. Zawierało dane osobowe ponad 2 tysięcy osób

Matthias Marx – niemiecki badacz bezpieczeństwa – znalazł na eBay nietypowe urządzenie w kształcie pudełka po butach. Wystawiony za niespełna 150 dolarów przyrząd służyć miał do wykonywania skanów tęczówki i pobierania odcisków palców. Wszystko wskazywało na to, że to po prostu zwykły eksponat kolekcjonerski, będący pozostałością po amerykańskiej technologii sprzed lat. Nic bardziej mylnego. Urządzenie wciąż zawierało ponad 2600 rekordów z wrażliwymi danymi osobowymi.

68 dolarów za nazwiska terrorystów

Marx wziął udział w aukcji i zaproponował za tajemniczy sprzęt 68 dolarów. Gdy pudełko dotarło do jego mieszkania, okazało się, że karta pamięci zawiera nazwiska, zdjęcia, odciski palców i skany tęczówki 2632 osób, w tym wielu terrorystów i poszukiwanych przestępców. Ponadto dziesiątki danych bliskich współpracowników rządu USA oraz przypadkowych osób, zatrzymanych w punktach kontrolnych.

Polecamy na Geekweek: Teleskop Webba wymiatał w 2022 roku. Pokazał kosmos, jakiego nie znaliśmy

Niemiecki badacz wszedł w posiadanie Secure Electronic Enrollment Kit (SEEK II), używanego po raz ostatni w 2012 roku, niedaleko Kandaharu w Afganistanie. Jest to pozostałość po rozległym systemie zbierania danych biometrycznych, który Pentagon wdrożył po niesławnych atakach z 11 września. Informacje są niezwykle szczegółowe i mogą pozwolić na szybkie zlokalizowanie osób, a dodatkowo ujawnić partnerów pracujących dla rządu USA, którzy do tej pory pozostawali w ukryciu. Jakim więc cudem tak ważne urządzenie znalazło się na portalu akcyjnym?

Czytaj dalej poniżej

Nieklikanie w podejrzane linki nie wystarczy na cyberprzestępców Grzegorz Ułan

Nowość w Gmailu. Od teraz bezpieczeństwo ponad wszystko Jakub Szczęsny

Niewiarygodna nieodpowiedzialność

Matthias w rozmowie z The Times przekazał, że wraz z grupą kilku innych badaczy zakupił w przeciągu ostatniego roku 6 różnych urządzeń biometrycznych w celu wyszukiwania luk i analizowania sprzętu pod kątem naukowym. Część z nich zawierała dane osobowe, jednak żaden nie był aż tak potężną skarbnicą wrażliwych treści, bo… nigdy nie powinien trafić do sprzedaży.

Urządzenie wystawiła na aukcję firma Rhino Trade, po wcześniejszym wykupieniu go na licytacji sprzętów rządowych w Teksasie. Przedstawiciel firmy zarzeka się, że nie zdawał sobie sprawy z zawartości, bo był przekonany, że takie sprzęty są dokładnie czyszczone po wycofaniu z użytku. Według Agencji Logistyki Obronnej, zajmującej się wyprzedawaniem nadwyżek materiałów z magazynów Pentagonu, sprzęty takie jak SEEK II nigdy nie powinny trafić na rynek, a tym bardziej na popularne serwisy aukcyjne, takie jak eBay. Procedury nakazują bowiem natychmiastowe zniszczenie sprzętu po okresie przydatności.

Nie jest to więc jasne, jak urządzenia trafiły z Afganistanu do serwisu zakupowego i kto zezwolił na taką procedurę, ale badacze nie mają wątpliwości, że amerykańskie służby działały w sposób skrajnie nieodpowiedzialny.

„Nieodpowiedzialne obchodzenie się z tą technologią wysokiego ryzyka jest niewiarygodne. To dla nas niezrozumiałe, że producent i byli użytkownicy wojskowi, nie przejmują się tym, że używane urządzenia z wrażliwymi danymi są sprzedawane online” – Matthias Marx

A co w tej sprawie ma do powiedzenia rząd USA? Patrick S. Ryder, sekretarz prasowy Departamentu Obrony poinformował, że nie może potwierdzić autentyczności danych, ponieważ do podania konkretnych informacji konieczny jest przegląd treści zapisanych na urządzeniu. Z tego powodu Departament prosi o zwrot wszystkich urządzeń, które mogą potencjalnie zawierać wrażliwe dane osobowe. Rzecznik eBay przekazał natomiast, że regulamin serwisu zabrania sprzedaży takich urządzeń, a handlarze mogą liczyć się z konsekwencjami w postaci usunięcia konta.

Stock image from Depositphotos