I dati sensibili raccolti dai militari statunitensi erano in vendita su eBay. Come è successo?

Il Chaos Computer Club, un gruppo di hacker guidato in questa operazione di ricerca dal ricercatore tedesco che si occupa di sicurezza dei dati Matthias Marx, è riuscito a comprare su eBay alcuni dispositivi militari utilizzati dall’esercito statunitense per raccogliere dati biometrici come scansioni dell’iride, impronte digitali e foto del volto. Lo ha rivelato un rapporto del New York Times, che ha potuto vedere il materiale presente in uno di questi dispositivi. Questi dati presenti sui dispositivi acquistati dal gruppo non erano crittografati né protetti da password. In un post pubblicato sul blog ufficiale del gruppo, gli hacker hanno definito l’accesso ai dati sensibili «noioso» data la facilità con cui è stato possibile farlo.

LEGGI ANCHE > I criminali informatici possono impossessarsi dei dati biometrici anche grazie ai contenuti postati sui social

Il SEEK II e i dati biometrici di più di 2 mila persone in vendita su eBay per 68 dollari: come è successo?

In tutto, il Chaos Computer Club ha acquistato sei dispositivi che i militari hanno utilizzato circa un decennio fa per raccogliere informazioni biometriche ai posti di blocco e durante pattugliamenti e altre operazioni soprattutto in Iraq e Afghanistan. Due dei sei dispositivi acquistati sono chiamati SEEK II e si tratta di computer portatili che consentono di raccogliere dati biometrici come impronte digitali e foto dell’iride. Uno di questi conteneva nella scheda di memoria i nomi di 2632 persone e i loro dati biometrici, raccolti intorno al 2012. Secondo quanto riportato dal New York Times questo dispositivo sarebbe costato solo 68 dollari ai ricercatori del Chaos Computer Club e la società che lo ha venduto su eBay ha dichiarato di non essere a conoscenza del fatto che contenesse dati sensibili. La società ha detto anche di aver acquistato il dispositivo a un’asta, mentre altre società che hanno messo in vendita dispositivi simili non hanno voluto rivelare in che modo hanno ottenuto i dispositivi. Secondo le procedure e come sottolinea anche il New York Times, i dispositivi non più in uso avrebbero dovuto essere distrutti. I dati contenuti all’interno di questi dispositivi sono potenzialmente pericolosi perché potrebbero essere stati utilizzati, per esempio, dai talebani per identificare le persone che hanno aiutato le forze americane in Afghanistan. Molti dei dati biometrici sono di terroristi o persone ricercate. Marx ha iniziato a lavorare al progetto che ha portato all’acquisto di questi dispositivi anche perché pensava che sarebbero potuti finire nelle mani dei talebani.

Spesso le attrezzature militari dismesse vengono messe in vendita su Internet e finiscono in mani private. La cosa più sorprendente di questo caso è che questo tipo di dati sensibili non sono stati cancellati prima che i dispositivi fossero venduti su eBay, il che costituisce anche una violazione delle politiche della piattaforma sulla vendita di computer con informazioni di identificazione personale memorizzate. Quando il New York Times ha contattato il Dipartimento della Difesa per indagare sull’accaduto, il Dipartimento ha chiesto di spedire il dispositivo per posta. Anche il Chaos Computer Club avrebbe contattato il Dipartimento della Difesa che ha detto di mettersi in contatto con il produttore dei dispositivi SEEK, HID Global, per avere maggiori informazioni a riguardo. Gli hacker affermano di non aver ricevuto risposta e hanno comunicato che quando avranno terminato la propria indagine elimineranno i dati sensibili.

Matthias Marx and his @ccc partners bought six biometric capture devices on eBay. One of them, a SEEK II, had fingerprints and iris scans of 2,632 people from Afghanistan and Iraq. When Marx used it to capture his own biometric info, it asked to upload it to a @USSOCOM server. pic.twitter.com/9RSKOfdKaz

— Kashmir Hill (@kashhill) December 27, 2022