Ein deutscher Sicherheitsforscher kaufte versehentlich die Fingerabdrücke und Iris-Scans von etwa 2.632 Personen, nachdem er bei eBay erfolgreich für ein tragbares biometrisches Erfassungsgerät geboten hatte. Die New York Times Berichte(Öffnet in einem neuen Fenster).
Matthias Marx aus Hamburg, Deutschland, entdeckte, dass das Gerät, das ihn nur 68 Dollar kostete, tatsächlich eine vom Pentagon gebaute biometrische Maschine ist, die in Afghanistan und im Irak eingesetzt wurde. Es enthält mehr als 2.000 Fingerabdruck- und Iris-Scans sowie Namen und Nationalitäten von Personen auf seiner Speicherkarte.
Marx, der erlaubte a Mal Reporter, der die auf dem Gerät enthaltenen Informationen überprüfte, stellte fest, dass die Mehrheit der Fingerabdrücke und Iris-Scans von Menschen aus Afghanistan und dem Irak stammen, wobei viele bekannte Terroristen und gesuchte Personen sind. Einige scheinen jedoch Personen zu sein, die mit der US-Regierung zusammengearbeitet haben oder die an von den USA besetzten Kontrollpunkten in den Ländern angehalten wurden.
Das Gerät war Teil eines vom Pentagon geleiteten biometrischen Registrierungsprogramms, das Berichten zufolge dazu beitragen sollte, mögliche Taliban-Agenten in afghanischen Armeestützpunkten zu stoppen und zu identifizieren, nachdem a Flut von Schießereien(Öffnet in einem neuen Fenster) gegen amerikanische Soldaten durch afghanische Truppen und Polizei.
Die Maschine mit dem Namen Secure Electronic Enrollment Kit (SEEK II) wurde Berichten zufolge zuletzt im Sommer 2012 in der Nähe von Kandahar, Afghanistan, eingesetzt. Es verfügt über einen winzigen Bildschirm und eine Tastatur, ein kleines Mauspad sowie einen Fingerabdruckleser. Für Iris-Scans klappt das Gerät auf, um Fotos zu machen. Marx erzählt die Mal dass, als er das Gerät an sich selbst verwendete, eine Nachricht auftauchte, in der er aufgefordert wurde, sich mit einem US Special Operations Command-Server zu verbinden, um die neuen „gesammelten biometrischen Daten“ hochzuladen.
In einer Erklärung an die Mal, Brigg. General Patrick S. Ryder, Pressesprecher des Verteidigungsministeriums, sagte: „Da wir die auf den Geräten enthaltenen Informationen nicht überprüft haben, kann die Abteilung die Echtheit der angeblichen Daten nicht bestätigen oder anderweitig kommentieren. Die Abteilung fordert, dass alle Geräte, von denen angenommen wird, dass sie personenbezogene Daten enthalten, zur weiteren Analyse zurückgegeben werden.“
Marx gehört zu einer kleinen Gruppe von Forschern des Chaos Computer Club, einer europäischen Hackervereinigung, die sechs biometrische Erfassungsgeräte bei eBay gekauft hat, um Schwachstellen oder Konstruktionsfehler zu erkennen. Das Projekt wurde danach initiiert Berichte(Öffnet in einem neuen Fenster) dass die Taliban solche Geräte beschlagnahmt hatten, nachdem die USA letztes Jahr Afghanistan evakuiert hatten. Sie hatten versucht zu verstehen, ob die Taliban in den Besitz biometrischer Daten von Menschen gekommen sein könnten, die den USA geholfen hatten. Die Forscher kauften sechs Geräte – vier der oben genannten SEEKs und zwei Handheld Interagency Identity Detection Equipment (HIIDE).
Von unseren Redakteuren empfohlen
Es wurde festgestellt, dass zwei der SEEKs sensible Daten enthielten, wobei der zweite Berichten zufolge die Fingerabdrücke und Iris-Scans einer „kleinen Gruppe von US-Soldaten“ enthielt. Es war zuletzt 2013 in Jordanien verwendet worden Mal Berichte.
Das Gerät mit den 2.632 Fingerabdruck- und Iris-Scans wurde von einer texanischen Ausrüstungsfirma namens Rhino Trade an Marx verkauft. Das teilte der Schatzmeister des Unternehmens, David Mendez, mit Mal dass sie es bei einer staatlichen Ausrüstungsauktion gekauft hätten, und sagte, er habe nicht gewusst, dass ein außer Dienst gestelltes Militärgerät sensible Daten enthalten würde.
Das zweite SEEK II-Gerät mit den Fingerabdrücken der amerikanischen Truppen stammte von einem eBay-Verkäufer in Ohio namens Tech-Mart, der sich weigerte zu sagen, wie das Gerät und die beiden anderen an die Forscher verkauften Geräte erworben worden waren. Das teilt ein eBay-Sprecher mit Mal Diese Unternehmensrichtlinie verbietet den Verkauf und die Auflistung von elektronischen Geräten, die sensible personenbezogene Daten enthalten.
Gefällt dir, was du liest?
Melden Sie sich an für Sicherheitswache Newsletter für unsere wichtigsten Datenschutz- und Sicherheitsgeschichten, die direkt in Ihren Posteingang geliefert werden.
Dieser Newsletter kann Werbung, Angebote oder Affiliate-Links enthalten. Das Abonnieren eines Newsletters erklärt Ihr Einverständnis mit unseren Nutzungsbedingungen und Datenschutz-Bestimmungen. Sie können die Newsletter jederzeit abbestellen.