|
| Matthias Marx, nhà nghiên cứu bảo mật tại CCC, sử dụng SEEK II để quét dấu vân tay ở Hamburg, Đức, ngày 21/12 /2022. Ảnh Andreas Meichsner /The New York Times |
Khi một nhà nghiên cứu bảo mật Đức, Matthias Marx, tìm thấy một thiết bị quân sự Mỹ được rao bán trên eBay, một công cụ được sử dụng để xác định những kẻ bị truy nã và phần tử khủng bố trong Chiến tranh ở Afghanistan, Marx đã thử vận may và đặt giá mua thấp là 68 USD.
Marx không mong đợi sẽ thắng, vì ra giá thấp hơn một nửa so với giá người bán là 149,95 USD. Nhưng ông đã mua được và nhận một bất ngờ lớn, The New York Times cho biết. Khi nhận được thiết bị với thẻ nhớ bên trong, Marx đã sốc khi phát hiện vô tình có được tên, quốc tịch, ảnh, dấu vân tay và quét mống mắt của 2.632 người có dữ liệu sinh trắc học, do quân đội Mỹ quét và thu thập
Thiết bị không chỉ lưu trữ thông tin nhận dạng cá nhân (PII) của những người bị nghi ngờ mà còn của các thành viên quân đội Mỹ, những người làm việc cho chính phủ ở Afghanistan và những người dân thường bị tạm giữ tại các trạm kiểm soát quân sự. Hầu hết các dữ liệu đến từ người dân Afghanistan và Iraq.
 |
Lính Mỹ lấy dấu sinh trắc học của người dân địa phương ở Afghanistan. Ảnh Ars. |
Theo The Times, tất cả dữ liệu này theo quy định phải bị hủy tại chỗ, nhưng dường như điều đó không bao giờ xảy ra. Việc không xóa dữ liệu thiết bị khiến những người cộng tác với quân đội Mỹ, các thành viên quân đội Mỹ có nguy cơ bị Taliban và các tổ chức khủng bố xác định và nhắm mục tiêu.
Hiện không chắc thiết bị này đã được trao tay bao nhiêu lần kể từ lần cuối được sử dụng vào năm 2012 gần Kandahar, Afghanistan. Marx đã hết sức thận trọng với dữ liệu, từ chối chia sẻ cơ sở dữ liệu điện tử với The Times. Thay vào đó, The Times đã cử một phóng viên ở Đức đến gặp Marx để xem dữ liệu, sau đó liên lạc với ít nhất một người Mỹ, người này xác nhận rằng dữ liệu đó là của anh ta.
Thư ký báo chí Bộ Quốc phòng (DOD), chuẩn tướng Patrick S. Ryder trả lời phỏng vấn The Times nói sẽ cần xem xét dữ liệu trước khi xác nhận tính xác thực.
Tướng Ryder trả lời The Times: “Vì chúng tôi chưa xem xét thông tin chứa trên các thiết bị nên không thể xác nhận tính xác thực của dữ liệu bị cáo buộc hoặc bình luận về nó. Bộ yêu cầu trả lại bất kỳ thiết bị nào được cho là chứa thông tin nhận dạng cá nhân để phân tích thêm.”
Các chuyên gia nói với The Times, nếu dữ liệu là xác thực, vi phạm này có thể gây ra hậu quả nghiêm trọng và khuyến nghị chính phủ Mỹ xem xét dữ liệu, thông báo cho những người bị ảnh hưởng và cung cấp quy chế tị nạn cho bất kỳ ai vẫn ở Afghanistan.
Marx nói với The Times, ông thấy việc quân đội không xóa dữ liệu nhạy cảm cao này là “đáng lo ngại”, cáo buộc quân đội Mỹ “thậm chí không cố gắng bảo vệ dữ liệu do không quan tâm đến rủi ro, hoặc bỏ qua rủi ro của những người đã liên quan.”
Mua thiết bị quân sự trên eBay
Marx thuộc về một hiệp hội hacker châu Âu có tên là Chaos Computer Club (CCC). Trong cuộc nói chuyện với The Times, ông nhận xét, CCC rất lo lắng trước những thông tin cho biết, Taliban thu giữ các thiết bị quân sự của Mỹ sau khi người Mỹ rút khỏi Afghanistan. Năm 2021, The Intercept cho biết, mục tiêu của Taliban là xác định những người Afghanistan đã làm việc và hỗ trợ lực lượng kẻ thù.
Vì muốn tìm hiểu thêm về những rủi ro bảo mật này, CCC đã chuyển sang eBay, và mua 6 thiết bị, The Times cho biết. Trong 4 Bộ công cụ đăng ký điện tử an toàn (SEEK II) và 2 Thiết bị phát hiện danh tính liên cơ quan cầm tay (HIIDE) đã được mua, CCC phát hiện dữ liệu nhạy cảm trên 2 trong số các SEEK II. Giao dịch mua gần đây nhất của CCC chứa dữ liệu về hàng nghìn người, một SEEK II khác, được sử dụng lần cuối vào năm 2013 chứa “dấu vân tay và quét mống mắt của một nhóm nhỏ các thành viên quân đội Mỹ”.
 |
Thiết bị thu thập và kiểm tra sinh trắc học của quân đội Mỹ SEEK II, được bán trên eBay. Ảnh Ars |
The Times cho biết, SEEK II là "di sản của hệ thống thu thập sinh trắc học rộng lớn mà Lầu Năm Góc đã xây dựng trong những năm sau vụ tấn công ngày 11/9/ 2001." Một tài liệu của chính phủ, giới thiệu công nghệ tiên tiến của hệ thống vào thời điểm đó mô tả SEEK II là một "thiết bị thu thập sinh trắc học cầm tay độc lập, với bề mặt giao diện thu thập dấu vân tay, máy quét mống mắt và máy ảnh tích hợp."
Thiết bị có một bàn phím để các nhân viên an ninh quân đội có thể thêm thông tin tiểu sử của các cá nhân. Thiết bị trở thành công cụ phổ biến, được sử dụng trong các hoạt động đặc biệt, phát triển thành thiết bị thu thập sinh trắc học cho Quân đội và Lính thủy Đánh bộ Mỹ vào năm 2012, được ghi nhận trong sổ tay quân sự năm 2011, có chức năng giúp quân đội xác định các cá nhân bị truy nã trong vòng 15 phút sau khi quét.
Người phát ngôn của eBay, trả lời phỏng vấn The Times nói, bán các thiết bị chứa PII là trái với chính sách của công ty. Một người bán eBay, trả lời phỏng vấn của The Times cho biết, SEEK II được bán cho CCC đã được mua tại một cuộc đấu giá trang thiết bị của chính phủ. Một người bán khác từ chối cung cấp nguồn thiết bị SEEK II, được bán cho CCC.
Bất kỳ người bán eBay nào, nếu bị phát hiện vi phạm chính sách đều bị xóa danh sách và đình chỉ tài khoản vĩnh viễn. Điều thú vị là Ars tìm thấy ít nhất một danh sách SEEK II, được mô tả là thiết bị thừa đã thanh lý của Lực lượng Tuần tra Biên giới, “không cài đặt hệ điều hành nào” với giá chào bán hiện nay là 299,98 USD.
Marx, trong cuộc nói chuyện với Ars cho biết, CCC hiện có một bản sao được mã hóa cơ sở dữ liệu SEEK II đã tìm thấy, nhưng không có phản hồi trực tiếp từ Bộ Quốc phòng Mỹ (DOD), kế hoạch của nhóm là xóa dữ liệu. Khi dữ liệu bị xóa sẽ giảm nguy cơ rò rỉ trong tương lai từ thiết bị cụ thể này, nhưng việc xóa dữ liệu cũng có khả năng loại bỏ mọi khả năng DOD nhanh chóng tìm ra những người, có thể bị đe dọa vì rò rỉ dữ liệu trước đó và lọt vào tay Taliban hoặc các nhóm khủng bố. Nguy cơ này đe dọa những người đã làm việc với chính phủ Mỹ và có thể đang ẩn nấp, do tên tuổi, khuôn mặt có thể thay đổi, nhưng dấu vân tay và quét mống mắt thì không.
“Đáng buồn thay, dường như không ai chịu bất kỳ trách nhiệm nào, chứ đừng nói đến nỗ lực bảo vệ những người bị ảnh hưởng,” Marx nói với Ars. “Do đó, chúng tôi sẽ xóa dữ liệu, vốn đã an toàn hơn trước đây trong thời gian ngắn tiếp theo.”
Theo Arstechnica
