Logo mybusinessculture.com

Hacker Haben Eine Border Agency-Datenbank Mit Reisefotos Gestohlen

Hacker Haben Eine Border Agency-Datenbank Mit Reisefotos Gestohlen
Hacker Haben Eine Border Agency-Datenbank Mit Reisefotos Gestohlen

Video: Hacker Haben Eine Border Agency-Datenbank Mit Reisefotos Gestohlen

Video: Hacker Haben Eine Border Agency-Datenbank Mit Reisefotos Gestohlen
Video: WorldView: Microsoft says Russian hackers broke into email system used by U.S. aid agency 2023, Dezember
Anonim

In seiner Eile, biometrische Daten von Reisenden in den USA zu sammeln, hat der Zoll- und Grenzschutz offenbar grundlegende Schutzmaßnahmen vernachlässigt. Einer seiner Subunternehmer wurde kürzlich verletzt und hinterließ Fotos von Reisenden und Nummernschildern in den Händen von Hackern.

Die Washington Post berichtete zuerst über den Vorfall, dessen Umfang noch unklar ist. Aber der Hack hat scharfe Fragen über den bereits kontroversen Vorstoß der Agentur für Biometrie aufgeworfen. Gesichtserkennungsscans sind auf Flughäfen zur Routine geworden. CBP will es bis 2021 in den Top 20 der US-Flughäfen haben.

"Das CBP-Programm sollte bis zu einer Untersuchung ausgesetzt werden", sagt Jeramie Scott, Senior Counsel im Electronic Privacy Information Center. "Die Agentur sollte diese sensiblen persönlichen Daten einfach nicht sammeln, wenn sie nicht geschützt werden können."

Der Hack

CBP lehnte es ab, den verletzten Subunternehmer für die Post zu benennen, schickte der Nachrichtenagentur jedoch anscheinend ein Microsoft Word-Dokument mit dem Titel „CBP Perceptics Public Statement“. lange Beziehung mit CBP, ist der betreffende Anbieter.

Das ist umso sinnvoller, wenn man bedenkt, dass ein Hacker, der sich "Boris Bullet-Dodger" nennt, im Mai Hunderte von Gigabyte an Daten, die Perceptics gestohlen wurden, im dunklen Internet abgelegt hat. Es ist unklar, ob dieser Verstoß, der zuerst von The Register gemeldet wurde, derselbe ist wie der, der auf Montag eingestellt wurde. Ersteres wurde am 23. Mai öffentlich; CBP sagte, es habe herausgefunden, dass seine Datenbank über eine Woche später kompromittiert worden sei.

"Am 31. Mai 2019 erfuhr CBP, dass ein Subunternehmer, der gegen die Richtlinien von CBP verstößt und weder die Genehmigung noch das Wissen von CBP besitzt, Kopien der von CBP gesammelten Kennzeichenbilder und Bilder von Reisenden an das Unternehmensnetzwerk des Subunternehmers übertragen hat", sagte die Agentur in einem Erklärung. „Das Netzwerk des Subunternehmers wurde anschließend durch einen böswilligen Cyberangriff kompromittiert. Es wurden keine CBP-Systeme kompromittiert. “

Perceptics antwortete nicht auf eine Anfrage nach einem Kommentar. Unabhängig davon, von welchem bestimmten Anbieter der Verstoß stammt, ist das Ergebnis dasselbe.

Wer ist betroffen?

CBP hat nur wenige Informationen darüber geliefert, wie viele Menschen betroffen waren, was zu einem beunruhigenden Mangel an Offenlegung führte. Es ist nicht einmal klar, welche Art von Daten - und ob sie sich über Fotos hinaus auf biometrische Daten erstrecken - in der Datenbank enthalten sind. Während CBP sagt, dass "keine der Bilddaten im Dark Web oder im Internet identifiziert wurden", gibt der Speicherauszug der gehackten Perceptics-Daten vor wenigen Wochen nicht viel Vertrauen, dass diese Verletzung enthalten ist oder so bleiben wird.

Kurz gesagt, die einzigen Personen, die den vollen Umfang dieses Verstoßes kennen, sind CBP, ein namentlich nicht genannter Subunternehmer, und derjenige, der den Hack ausgeführt hat.

Wie ernst ist das?

Ohne mehr Klarheit über den Inhalt der fraglichen Datenbank ist es schwer zu sagen, welche Auswirkungen dies auf individueller Ebene hat. Wahrscheinlich ziemlich schlimm! Und im Prinzip kommt es einem Worst-Case-Szenario sehr nahe.

Dass CBP selbst nicht direkt gehackt wurde, macht die Situation nicht besser. In der Tat macht es die Dinge wohl noch schlimmer; Die Agentur ließ einen Dritten auf unglaublich sensible Daten zugreifen und stellte nicht sicher, dass geeignete Sicherheitsmaßnahmen ergriffen wurden. Dass eine Bilddatenbank von Privatpersonen mit der gleichen Sorgfalt behandelt wird, wie ein Microsoft Word-Dokument, sollte sehr laute Alarmglocken auslösen.

"CBP verlangt, dass alle Auftragnehmer und Dienstleister angemessene Datenintegritäts- und Cybersicherheitskontrollen durchführen und alle Verfahren zur Benachrichtigung und Behebung von Vorfällen einhalten", heißt es in der Erklärung der Agentur. "CBP nimmt seine Verantwortung für Datenschutz und Cybersicherheit sehr ernst und fordert von allen Auftragnehmern, dasselbe zu tun." die Tatsachen des Falles glauben es.

Die Lücke kommt auch zu einer Zeit, in der die Regulierung der Gesichtserkennung überparteiliche Unterstützung gefunden hat, nachdem sie jahrelang sowohl im öffentlichen als auch im privaten Sektor relativ unkontrolliert geblieben ist.

Empfohlen:

Tipp Der Redaktion