欧洲最大黑客协会混沌计算机俱乐部捕获美国军事生物特征数据库
美国军方大量使用生物识别设备在阿富汗抓捕人员。在北约部队仓促撤离期间,一些设备被遗留下来。欧洲最大黑客协会混沌计算机俱乐部(英语:Chaos Computer Club,缩写CCC)?研究人员在分析此类设备时发现了大量军事生物特征和其他个人数据。如果落入坏人之手,这些数据将危及阿富汗和伊拉克人民的生命。
生物识别设备用于识别个人,例如在检查站筛查通缉犯,在使用过的美国军事设备上,研究人员发现了一个未受保护的生物识别数据库,其中包含 2,600 多名阿富汗人和伊拉克人的姓名、指纹、虹膜扫描和照片。
背景故事:阿富汗人口的生物统计普查
在德国联邦国防军的支持下,阿富汗的全部人口都进行了生物特征分类。这种系统地收集指纹、虹膜、面孔和 DNA 的动机是为了区分好人和坏人。自动生物特征识别系统 (ABIS)等程序旨在随时识别已知的罪犯以及当地合作者或阿富汗安全部队。
任何生物识别数据库都是一颗定时炸弹。当塔利班夺取生物识别设备时,人们担心这些设备可能被用来识别前当地合作者。因此,人权第一组织发布了避免滥用生物识别数据的指南。
风险众所周知
无法逃脱生物识别监控。这种危险是那些负责人所熟知的。早在 2007 年,美国军方的一名成员就伊拉克的一个类似生物识别数据库发出警告:“这个数据库……如果落入坏人之手,就会成为黑名单。?”
数据不受保护
据称,如果没有进一步的技术,应该不可能访问生物识别数据库。但即便如此,塔利班当然仍然可以简单地使用这些设备。不幸的是,研究表明,移动生物识别设备上的所有数据都完全没有受到保护。我们能够毫无困难地阅读、复制和分析它们。
在线拍卖使用过的设备
对有关塔利班手中的生物识别设备的新闻报道感到震惊,Matthias Marx、snoopy、starbug、md 和其他 CCC 成员开始收集有关这些设备的信息。在这样做的过程中,他们在一家在线拍卖行看到了几个报价。他们总共获得了
- 四个SEEK II 类型的设备(安全电子注册工具包)
- 两个HIIDE 5 型设备(手持跨机构身份检测设备)。
这些设备经过了法医检查。
从技术角度来看,分析非常无聊:所有存储介质都未加密。一个记录良好的标准密码是获得访问权限所需的唯一东西。此外,该数据库是具有标准数据格式的标准数据库。它不费吹灰之力就完全导出了。
2,632 个人高度敏感的生物识别数据
提取的数据更加令人印象深刻:在线购买的各种设备包含两名美国军人的姓名和生物特征数据、过去部署地点的 GPS 坐标,以及一个包含 2,632 人的姓名、指纹、虹膜扫描和照片的庞大生物特征数据库。包含该数据库的设备最后一次在喀布尔和坎大哈之间的某个地方使用是在 2012 年年中。
制造商、美国和德国军方缺乏风险意识
CCC 随后将此漏洞通知了SEEK设备的制造商Crossmatch Technologies(现:HID Global)以及该设备的两个已知用户,即美国国防部和德国联邦国防军。负责人还获悉,可以很容易地在互联网上订购具有高度敏感数据的二手设备。然而,似乎没有人关心数据泄露:
CCC研究人员收到了德国联邦国防军的回执,国防部好心地将其转介给制造商,但制造商什么也没做。在报告后两个半月,他们还能够在线订购另一台生物识别设备。“
漠视生命的不负责任行为
“对这种高风险技术的不负责任处理令人难以置信,”CCC 研究小组负责人马蒂亚斯马克思说。对于被西方势力遗弃的阿富汗许多人来说,其后果是危及生命的。“我们无法想象制造商和前军事用户不关心带有敏感数据的旧设备正在网上兜售”。
然而所有这一切都是可以预见的,因为生物识别数据库无法有效或永久地防止非法利益。总之集中批量收集此类数据潜在风险巨大。
版权声明:除特殊说明外,本站所有文章均为 字节点击 原创内容,采用 BY-NC-SA 知识共享协议。原文链接:https://byteclicks.com/44696.html 转载时请以链接形式标明本文地址。转载本站内容不得用于任何商业目的。本站转载内容版权归原作者所有,文章内容仅代表作者独立观点,不代表字节点击立场。报道中出现的商标、图像版权及专利和其他版权所有的信息属于其合法持有人,只供传递信息之用,非商务用途。如有侵权,请联系 gavin@byteclicks.com。我们将协调给予处理。
赞