Säkerhet
Biometridata insamlade av USA:s militär såldes på Ebay
Tyska hackare har hittat känsliga data från Afghanistan på militär utrustning från USA. Enheterna köptes på nätet – och innehöll okrypterad information om civila, terrorister och militärens egna personal.
Publicerad
I augusti kom den tyske hackaren och säkerhetsforskaren Matthias Marx över ett antal så kallade biometriska identifikationsenheter som tidigare använts av USA:s militär och Nato i bland annat Afghanistan.
Köptes för 68 dolllar
Det rörde sig bland annat om flera Secure Electronic Enrollment Kit-enheter (SEEK II), som är en portabel maskin byggd för att registrera fingeravtryck och inskanning av iris.
Matthias Marx, som är medlem i datorgruppen Chaos Computer Club (CCC), hittade utrustningen på sajten Ebay, och ska enligt uppgift ha betalat 68 dollar för en av SEEK II-enheterna.
Hittade oskyddat data
CCC, erkänt duktiga hackare och it-forensiker, började undersöka utrustningen – och upptäckte kort därefter att enheternas minneskort fortfarande innehöll känsliga data om tusentals personer från Afghanistan eller Irak.
Namn, nationalitet, fotografier och detaljerade personuppgifter om sammanlagt 2632 personer – allt fanns lagrat på enheterna. Okrypterat dessutom, anmärkningsvärt nog. CCC hittade dessutom fullt läsbara biometriska data från finger- och irisskanningar, skriver New York Times.
Majoriteten av uppgifterna gäller personer som är tidigare kända terrorister eller eftersökta individer, skriver tidningen, som har tagit del av databasen i sin helhet.
”Chockerande fynd”
Men man har också hittat känsliga data om personer som varit allierade med USA samt civila medborgare, som kan ha registrerats efter att ha stoppats i en vägspärr.
– Det allvarliga är att de (USA:s militär, reds anm) inte ens har försökt att skydda alla data. De brydde sig inte om eller ignorerade riskerna, säger Matthias Marx till New York Times, och tillägger att det var ”chockerande” att hitta så stora mängder okrypterade data på enheterna.
Uppgifter om militär personal
På en annan av SEEK II-enheterna påträffades fingeravtryck och irisinskanningar från en mindre grupp anställda inom USA:s militär. Metadata visar att maskinen användes senast i Jordan 2013.
En tidigare militär underrättelsespecialist bekräftar för New York Times att det sannolikt är hans biometriska data som hittats. Data från honom och hans kollegor ska samlats in under en kurs som hållits av USA:s militär.
Exakt hur utrustning hamnat på Ebay är oklart. SEEK II-maskinerna såldes på sajten av Rhino Trade, ett Texasbolag som bland annat köper in militärt överskott. Enligt bolagets representant David Mendez kommer enheterna ursprungligen från en statlig auktion. Vid köpet var man inte medvetna om att utrustningen innehöll känsliga data.
– Jag hoppas verkligen inte att vi har gjort något fel, säger David Mendez till New York Times.
CCC: Alla data ska raderas
USA:s försvarsdepartement vill inte kommentera uppgifterna, men säger till tidningen att enheterna i fråga bör återlämnas till militären.
Matthias Marx och hans kollegor på den tyska datorgruppen CCC har dock andra planer. Enligt New York Times kommer gruppen att radera alla persondata efter att analysarbetet är färdigt.
