Máy quét sinh trắc học của quân đội Mỹ được bán trên mạng với giá 68 USD

28/12/2022 08:10 GMT+7

Các nhà nghiên cứu bảo mật người Đức chuyên nghiên cứu các thiết bị quét sinh trắc học mà quân đội Mỹ sử dụng đã nhận được nhiều hơn họ mong đợi khi mua một thiết bị với giá 68 USD trên trang bán hàng trực tuyến eBay.

Bộ thiết bị quét sinh trắc học mà nhà nghiên cứu Matthias Marx mua với giá 68 USD trên eBay.

chụp màn hình the new york times

Lượng dữ liệu khổng lồ

Một thiết bị có hình dáng như hộp đựng giày, được thiết kế để ghi lại dấu vân tay và quét mống mắt đã được rao bán trên eBay với giá 149,95 USD. Nhà nghiên cứu bảo mật người Đức Matthias Marx đã thành công mua nó với mức giá 68 USD. Khi chiếc máy được gửi đến nhà ông Marx ở Hamburg (Đức) vào tháng 8, nó mang theo lượng thông tin gây bất ngờ.

Bên trong chiếc máy là thẻ nhớ chứa tên, quốc tịch, ảnh, dấu vân tay và quét mống mắt của 2.632 người.

The New York Times đưa tin hầu hết những người trong cơ sở dữ liệu đều đến từ Afghanistan Iraq. Nhiều người trong số đó là những kẻ khủng bố và người bị truy nã. Tuy nhiên, những người khác dường như là người từng làm việc với chính phủ Mỹ hoặc chỉ đơn giản là bị chặn lại tại các trạm kiểm soát. Siêu dữ liệu trên thiết bị, được gọi là Bộ công cụ đăng ký điện tử an toàn (SEEK II) cho thấy nó đã được sử dụng lần cuối vào mùa hè năm 2012 gần Kandahar, Afghanistan.

Thiết bị này là tàn dư của hệ thống thu thập sinh trắc học rộng lớn mà Lầu Năm Góc đã xây dựng trong những năm sau vụ tấn công ngày 11.9.2001. Đây là một lời nhắc nhở rằng mặc dù Mỹ đã rút khỏi các cuộc chiến ở Afghanistan và Iraq, các công cụ được chế tạo và thông tin mà chúng nắm giữ vẫn tồn tại theo những cách mà người tạo ra chúng không mong muốn.

Vẫn chưa rõ thiết bị này đi từ chiến trường ở châu Á đến một trang đấu giá trực tuyến như thế nào. Tuy nhiên, dữ liệu nó chứa, vốn cung cấp mô tả chi tiết về các cá nhân, ảnh và dữ liệu sinh trắc học của họ, có thể đủ dùng để nhắm vào những người trước đây chưa từng làm việc với quân đội Mỹ nếu thông tin rơi vào tay kẻ xấu.

“Vì chúng tôi chưa xem thông tin chứa trên các thiết bị nên không thể xác nhận tính xác thực của dữ liệu hoặc bình luận về nó. Bộ Quốc phòng yêu cầu trả lại bất kỳ thiết bị nào được cho là chứa thông tin nhận dạng cá nhân để phân tích thêm”, chuẩn tướng Patrick S. Ryder, thư ký báo chí của Bộ Quốc phòng Mỹ, cho biết trong một tuyên bố.

Dữ liệu sinh trắc học trên SEEK II được thu thập tại các cơ sở giam giữ, trong các cuộc tuần tra, trong quá trình sàng lọc những người được thuê tại địa phương và sau một vụ nổ bom. Vào khoảng thời gian thiết bị được sử dụng lần cuối ở Afghanistan, sự hiện diện của Mỹ ở đó đang giảm dần. Osama bin Laden đã bị tiêu diệt ở Pakistan một năm trước đó - danh tính của ông ta được xác nhận bằng công nghệ nhận dạng khuôn mặt.

Vào thời điểm đó, một trong những lo ngại của các nhà lãnh đạo quân sự là hàng loạt vụ xả súng mà trong đó binh lính và cảnh sát Afghanistan chĩa súng vào quân đội Mỹ. Họ hy vọng rằng chương trình đăng ký sinh trắc học sẽ giúp xác định bất kỳ tay súng Taliban nào trà trộn vào căn cứ của chính họ.

"Vô trách nhiệm"

Trong năm qua, ông Marx và một nhóm nhỏ các nhà nghiên cứu tại Chaos Computer Club, một hiệp hội tin tặc châu Âu, đã mua 6 thiết bị quét sinh trắc học trên eBay. Hầu hết chúng có giá dưới 213 USD.

Họ dự định phân tích các thiết bị này để tìm ra các lỗ hổng hoặc lỗi trong thiết kế. Hoạt động được thực hiện sau khi xuất hiện những lo ngại vào năm ngoái rằng Taliban đã thu giữ các thiết bị này sau khi Mỹ rời khỏi Afghanistan. Các nhà nghiên cứu muốn xem liệu Taliban có thể lấy dữ liệu sinh trắc học về những người đã hỗ trợ Mỹ từ các thiết bị trên, từ đó khiến họ gặp rủi ro hay không.

Việc tìm thấy quá nhiều thông tin không được mã hóa và dễ dàng truy cập đã khiến các nhà nghiên cứu bị sốc.

“Thật đáng lo ngại khi quân đội Mỹ thậm chí còn không cố gắng bảo vệ dữ liệu. Họ không quan tâm đến rủi ro, hoặc họ phớt lờ rủi ro”, ông Marx nói.

Ông Marx dùng thiết bị SEEK II để quét vân tay của mình

chụp màn hình the new york times

Ông Stewart Baker, một luật sư ở Washington và là cựu quan chức an ninh quốc gia, nói rằng quét sinh trắc học là một công cụ có giá trị trong các vùng chiến sự nhưng dữ liệu thu thập được cần phải được kiểm soát. Ông suy đoán rằng việc rò rỉ dữ liệu sẽ “khiến nhiều người đã giúp đỡ Mỹ và vẫn đang ở Afghanistan thực sự khó chịu”.

“Điều này không nên xảy ra. Đây là thảm họa đối với những người có dữ liệu bị lộ. Trong trường hợp xấu nhất, hậu quả có thể mang đến cái chết”, ông Baker nói.

Trong số 6 thiết bị mà các nhà nghiên cứu đã mua trên eBay - 4 SEEK và 2 HIIDE (hay Thiết bị Phát hiện Danh tính Liên ngành Cầm tay) - 2 thiết bị SEEK II mang dữ liệu nhạy cảm. Thiết bị SEEK II thứ hai, với siêu dữ liệu vị trí cho thấy nó được sử dụng lần cuối ở Jordan vào năm 2013, dường như chứa dấu vân tay và quét mống mắt của một nhóm nhỏ các thành viên quân đội Mỹ.

Các quan chức quân sự cho biết lý do duy nhất khiến các thiết bị này có dữ liệu về người Mỹ là do chúng được sử dụng trong các buổi huấn luyện, một thông lệ phổ biến để chuẩn bị cho việc sử dụng chúng trên thực địa.

Theo Cơ quan Hậu cần Quốc phòng, nơi phụ trách việc xử lý hàng triệu USD thiết bị dư thừa của Lầu Năm Góc mỗi năm, các thiết bị như SEEK II và HIIDE lẽ ra không bao giờ được đưa ra thị trường và càng không nên xuất hiện trên một trang đấu giá trực tuyến như eBay. Thay vào đó, tất cả các thiết bị thu thập sinh trắc học phải được tiêu hủy tại chỗ khi quân nhân không còn cần đến, cũng như các thiết bị điện tử khác từng chứa thông tin hoạt động nhạy cảm.

Một phát ngôn viên của eBay cho biết chính sách của công ty cấm rao bán các thiết bị điện tử có chứa thông tin nhận dạng cá nhân. Người phát ngôn cho biết: “Các sản phẩm vi phạm chính sách này sẽ bị xóa và người dùng có thể phải đối mặt với các hành động lên tới và bao gồm cả việc đình chỉ vĩnh viễn tài khoản của họ”.

Dữ liệu nhạy cảm trên thiết bị được lưu trữ trên thẻ nhớ. Nếu các thẻ này bị xóa và hủy, dữ liệu trên sẽ không bị lộ.

“Không thể tin được họ lại xử lý vô trách nhiệm công nghệ có rủi ro cao này. Chúng tôi không thể hiểu nổi việc nhà sản xuất và những người dùng quân sự trước đây không quan tâm đến việc các thiết bị đã qua sử dụng chứa dữ liệu nhạy cảm đang bị rao bán trên mạng”, ông Marx cho biết.

The New York Times đã xem tài liệu và hướng dẫn sử dụng trực tuyến cho các thiết bị HIIDE, SEEK II và nhận thấy rằng chúng được tạo ra để tìm kiếm các thông tin sinh trắc học được lưu trữ trên máy chủ của chính phủ. Tuy nhiên, chúng có thể lưu trữ hàng ngàn bản ghi sinh trắc học để sử dụng trong môi trường có kết nối internet hạn chế. Điều này có thể giúp giải thích tại sao những thông tin sinh trắc học trên vẫn còn trên các thiết bị này.

Ông Marx đã cảnh báo Bộ Quốc phòng và nhà sản xuất thiết bị, HID Global, về dữ liệu không được bảo vệ. Khi được yêu cầu bình luận, HID Global cho biết trong một tuyên bố rằng họ không “chia sẻ thông tin chi tiết về khách hàng của chúng tôi hoặc việc triển khai sản phẩm cụ thể”.

“Việc cấu hình, quản lý, bảo vệ, lưu trữ và xóa dữ liệu thường xuyên là trách nhiệm của tổ chức sử dụng các thiết bị do HID sản xuất”, công ty cho biết.

Bà Belkis Wille, một nhà nghiên cứu tại Tổ chức Theo dõi Nhân quyền, người đã viết về việc sử dụng sinh trắc học ở Afghanistan, phát biểu trên đài truyền hình công cộng Đức Bayerischer Rundfunk rằng những người đã làm việc với chính phủ Mỹ và bị ảnh hưởng bởi vụ rò rỉ thông tin trên nên có cơ hội rời khỏi Afghanistan và xin tị nạn.

Ông Marx đã trình bày những phát hiện của mình tại một sự kiện dành cho tin tặc ở Berlin vào ngày 27.12. Sau khi quá trình phân tích các thiết bị sinh trắc học hoàn tất, ông và đồng nghiệp sẽ xóa dữ liệu nhận dạng cá nhân trong máy.

Top

Bạn không thể gửi bình luận liên tục. Xin hãy đợi
60 giây nữa.