Dati sensibili raccolti in Iraq e Afghanistan erano in vendita su eBay
Erano contenuti in un dispositivo per il riconoscimento usato dall'esercito americano e comprato da un ricercatore per 68 dollari
Lo scorso agosto un ricercatore tedesco che si occupa di sicurezza dei dati aveva comprato su eBay, il sito di e-commerce per prodotti nuovi e usati, uno strumento di riconoscimento facciale, il SEEK II, molto utilizzato dall’esercito americano. È un piccolo computer portatile, delle dimensioni di una scatola di scarpe, che può realizzare fotografie, prendere impronte digitali ed effettuare scansioni dell’iride, in modo da garantire un riconoscimento sicuro dell’identità: il SEEK II può contenere fino a 60.000 schede personali all’interno della sua memoria.
Nel caso specifico all’interno della scheda di memoria del SEEK acquistato dal ricercatore Matthias Marx, con un’offerta di 68 dollari, erano presenti i dati di 2632 persone, la maggior parte provenienti da Iraq e Afghanistan: alcuni erano terroristi e ricercati, altri con ogni probabilità collaboratori dell’esercito americano o semplici cittadini fermati in posti di blocco. I dati contenuti all’interno dello strumento indicavano che questo era stato utilizzato l’ultima volta nell’estate del 2012 vicino a Kandahar, in Afghanistan. In ognuno dei 2632 profili erano presenti nome, nazionalità, fotografia, impronte digitali e scansione dell’iride.
Non è chiaro come gli strumenti siano arrivati sul sito di e-commerce e perché, soprattutto, i dati contenuti non fossero stati cancellati o nemmeno criptati.
Marx, insieme ad alcuni altri ricercatori della Chaos Computer Club, un’associazione europea di hacker, aveva cominciato ad acquistare questi dispositivi di rilevazione biometrica su eBay dopo aver capito che molti di questi sarebbero potuti finire nelle mani dei talebani in seguito alla partenza delle truppe americane dall’Afghanistan. Il gruppo voleva capire se i talebani avessero potuto avere accesso a dati sensibili, ma la quantità di informazioni non criptate e facilmente accessibili presenti sullo strumento è stata sorprendente.
Il gruppo ha comprato sei dispositivi di riconoscimento, quasi tutti per una cifra inferiore a 200 euro, di cui quattro SEEK (Secure Electronic Enrollment Kit) e due HIIDE (Handheld Interagency Identity Detection Equipment): due dei SEEK contenevano dati sensibili, il secondo era stato utilizzato in Giordania nel 2013 e conteneva impronte digitali e scansioni dell’iride di un gruppo di cittadini americani che probabilmente stavano sostenendo un addestramento.
Gli strumenti sono stati molto utilizzati dall’esercito americano negli ultimi vent’anni, soprattutto nelle missioni all’estero. Sia in Iraq che in Afghanistan il riconoscimento biometrico era considerato fondamentale per ridurre i rischi di attentati alle truppe e di infiltrazioni di terroristi negli obiettivi sensibili. I SEEK potevano confrontare i dati raccolti ai posti di blocco con quelli dei maggiori ricercati presenti nella loro memoria, anche in zone in cui l’accesso a Internet era limitato. Un manuale del 2011 li descriveva come strumenti necessari per «identificare in modo sicuro possibili insorti, ma anche risorse locali e di paesi terzi che dovessero avere accesso alle basi».
Hanno un piccolo schermo, una piccola tastiera e anche un piccolo mouse, oltre ai lettori per le impronte digitali e per l’iride. Si ritiene che durante l’operazione che ha portato all’uccisione di Osama bin Laden l’identità dell’obiettivo a operazione conclusa sia avvenuta proprio utilizzando uno di questi dispositivi.
Le informazioni contenute all’interno dei due dispositivi acquistati dai ricercatori tedeschi sono potenzialmente pericolose. I dati contenuti potrebbero permettere, ad esempio, di riconoscere un ex agente di polizia o un ex collaboratore dell’esercito americano anche se questo avesse cambiato nome. Il New York Times, che ha avuto accesso al dispositivo in presenza di Marx, ha poi contattato fonti della Difesa: secondo le procedure, si dice, i SEEK non più utilizzati avrebbero dovuto essere distrutti. Quello contenente 2632 profili era invece in vendita presso un rivenditore del Texas, che a sua volta ha detto di averlo acquistato in un lotto di strumentazioni dismesse dall’esercito, senza ispezionarlo ulteriormente.
Marx intende presentare il caso in un prossimo evento per hacker sulla sicurezza in programma a Berlino, e poi distruggere i dati sensibili una volta completata l’analisi del dispositivo biometrico.