Хакеры купили секретную базу данных армии США на eBay. Какие еще военные тайны можно найти во время онлайн-шопинга

Что произошло

Немецкие «белые хакеры» купили на eBay устройства с секретной базой данных Минобороны США, пишет The New York Times. Там оказались сведения о биометрии тысяч людей, включая военнослужащих США, а также жителей Ирака и Афганистана.

• Специалисты по кибербезопасности из Chaos Computer Club приобрели на маркетплейсе шесть устаревших сканеров для сбора биометрии. Два из них, под названием Secure Electronic Enrollment Kit (SEEK II), содержали конфиденциальные данные. 
• На первом хранились сканы радужной оболочки глаза и отпечатки пальцев небольшой группы американских солдат. Метаданные показали, что последний раз устройство активировали в Иордании в 2013 году.
• На втором, который специалисты купили всего за $68, оказалось гораздо больше информации. На его карте памяти обнаружили не только биометрию, но и имена, данные о национальности и даже фотографии 2632 человек. Большинство из них оказались уроженцами Афганистана и Ирака. Некоторые из них — известные террористы, а другие — гражданские, которые работали на правительство США. Последний раз устройство использовалось в Афганистане недалеко от Кандагара в 2012 году. 
• База данных, хранящаяся на устройстве, была собрана в интересах Командования специальных операций ВС США. По крайней мере, сканер предлагал подключиться к серверу именно этого подразделения Минобороны США, чтобы выгрузить данные.
• Как пишет NYT, собирая данные, военные надеялись выявить возможных агентов «Талибана»* на собственных базах.
• Специалисты намерены удалить данные, которые они скачали себе с купленных устройств, после того как проведут полный анализ содержимого. 

Контекст

Купив эти устройства, хакеры из Chaos Computer Club намеревались проверить, насколько легко получить доступ к таким конфиденциальным данным, — в 2021 году появились сообщения о том, что подобные гаджеты захватили талибы*.

• Они заполучили биометрические устройства наподобие SEEK II, когда США выводили свои войска из Афганистана в августе 2021 года. Об этом писало издание Intercept со ссылкой на американских военных чиновников. 
• В их памяти также содержатся сканы радужной оболочки глаза, отпечатки пальцев, биографические сведения. Кроме того, устройства используются для доступа к большим централизованным базам данных.
• Американские чиновники опасаются, что представители экстремистской организации используют эти данные для преследования тех, кто сотрудничал с США. 
• В разведывательном управлении Минобороны рассказали The Intercept, что хотя у талибов* и нет нужного оборудования для расшифровки данных, им в этом может помочь пакистанская разведка.

Что говорят

Как именно устройства с Ближнего Востока и из Азии попали на eBay, неясно. Известно, что продавцы маркетплейса купили их у торговой фирмы Rhino Trade. Компания, по словам ее менеджеров, приобрела эти сканеры на аукционе, на котором распродавалось старое правительственное оборудование. В eBay заявили, что продажа устройств, содержащих личные данные, на платформе запрещена, и пообещали разобраться с этим. 

• В своем блоге члены Chaos Computer Club назвали получение этих конфиденциальных данных «исключительно скучным» из-за того, как легко им это удалось. Зато, по мнению руководителя исследования Маттиаса Маркса, сами сведения были отнюдь не скучными. «Беспокоит, что они даже не попытались защитить данные, — заявил Маркс, имея в виду американских военных. — Их не заботил риск или они просто игнорировали его».
• Бывший сотрудник Агентства нацбезопасности США, а ныне юрист Стюарт Бейкер подчеркнул, что такая утечка — это «катастрофа» для тех, кто помогал правительству США и все еще находится в Афганистане.
• По крайней мере, один из высокопоставленных военных США в интервью изданию Wired в 2007 году заявил, что база данных, которая попадает «не в те руки», мгновенно становится «расстрельным списком».
• В правозащитной организации European Digital Rights призвали США проинформировать всех людей, чьи данные были раскрыты, несмотря на то, что их собирали 10 лет назад. По мнению советника по биометрии Эллы Якубовски, ключевой момент именно в том, что биометрия позволяет идентифицировать человека даже спустя десятилетия.
• В Минобороны США не подтвердили подлинность найденных данных и потребовали вернуть им устройства для «проведения анализа».

Прецедент 

• В 2020 году специалисты по кибербезопасности из G Data купили на eBay за €90 ноутбук на Intel Pentium III, списанный в бундесвере. В нем они нашли засекреченную информацию по управлению и самоуничтожению зенитного ракетного комплекса, который стоит на вооружении немецкой армии. Специалисты без труда попали в систему, а затем и нужную программу, введя guest и в имени пользователя, и в пароле. В Минобороны Германии признали, что при списании ноутбука, вероятно, произошла ошибка.
• В 2019 году лесник из Германии купил четыре ноутбука, предназначенных для работы в тяжелых полевых условиях. На одном из них он обнаружил руководство по эксплуатации ракетной установки MARS, которая используется в армиях многих стран. 
• На онлайн-аукционе eBay какое-то время продавался компьютер Джулиана Ассанжа, на котором он готовил для публикации материалы с секретной перепиской американских дипломатов (это один из эпизодов обвинения, из-за которых ему теперь грозит 175 лет тюрьмы в США за шпионаж). Устройство, как и другие личные вещи журналиста, разместил сайт WikiLeaks, чтобы собрать деньги на собственное финансирование. При этом, как утверждается, всю секретную информацию с компьютера заранее удалили.

*«Талибан» признан экстремистской организацией. Запрещен в РФ.