WTF?! Histórias de pessoas vendendo itens eletrônicos no eBay sem primeiro limpar seu armazenamento não são incomuns. No entanto, ninguém esperaria comprar um dispositivo militar no site de leilões e descobrir que ele contém dados biométricos confidenciais de milhares de indivíduos. No entanto, foi isso que um pesquisador de segurança alemão descobriu depois de pagar apenas US$ 68 por uma das máquinas.
O New York Times relata que Matthias Marx, chefe de um grupo de pesquisadores europeus chamado Chaos Computer Club, comprou seis dispositivos de captura biométrica no eBay, a maioria deles por menos de US$ 200. O grupo pretendia analisar as máquinas para procurar vulnerabilidades após um relatório de 2021 do The Intercept sobre o Talibã apreendendo equipamentos semelhantes. Um dos itens, uma máquina portátil projetada para capturar impressões digitais e realizar varreduras de íris, Marx conseguiu garantir por apenas US$ 68, muito menos do que o preço listado de US$ 149,95.
Os pesquisadores ficaram chocados ao descobrir que o dispositivo, chamado Secure Electronic Enrollment Kit, ou SEEK II, continha um cartão de memória que armazenava os nomes, nacionalidades, fotografias, impressões digitais e varreduras de íris de 2.632 pessoas, a maioria das quais eram indivíduos do Afeganistão e Iraque. Muitos eram terroristas conhecidos e indivíduos procurados, e também havia detalhes de pessoas que trabalharam com o governo dos Estados Unidos e cidadãos comuns que simplesmente foram parados em postos de controle.
Matthias Marx e sua @ccc parceiros compraram seis dispositivos de captura biométrica no eBay. Um deles, um SEEK II, tinha impressões digitais e varreduras de íris de 2.632 pessoas do Afeganistão e do Iraque. Quando Marx o usou para capturar suas próprias informações biométricas, ele pediu para carregá-lo em um @USSOCOM servidor. pic.twitter.com/9RSKOfdKaz
— Colina da Caxemira (@kashhill) 27 de dezembro de 2022
Outro dispositivo que continha impressões digitais e varreduras de íris de um militar dos EUA foi usado na Jordânia em 2013.
Os dados também incluíam descrições detalhadas de indivíduos junto com suas fotografias e informações biométricas, o que poderia ter colocado membros das forças armadas e aqueles que os ajudaram em risco de serem identificados e rastreados pelo Talibã.
Exatamente como o dispositivo acabou no eBay não está claro, assim como o número de vezes que ele passou entre os proprietários desde a última vez que foi usado em 2012 perto de Kandahar, no Afeganistão. Por que os militares nunca removeram/destruíram o cartão de memória também é um mistério. Um dos vendedores disse que não sabia que continha informações confidenciais, acrescentando que adquiriu o SEEK II em um leilão de equipamentos do governo. Outro se recusou a dizer onde obteve o dispositivo.
“O manuseio irresponsável dessa tecnologia de alto risco é inacreditável”, disse o pesquisador ao Times. “É incompreensível para nós que o fabricante e os ex-usuários militares não se importem com o fato de dispositivos usados com dados confidenciais serem vendidos online”, acrescentou.
O secretário de imprensa do Departamento de Defesa, Brig. O general Patrick S. Ryder disse ao Times: “Como não revisamos as informações contidas nos dispositivos, o departamento não pode confirmar a autenticidade dos dados alegados ou de outra forma comentá-los. O departamento solicita que quaisquer dispositivos considerados como contêm informações de identificação pessoal sejam devolvidas para análise posterior.”
Cabeçalho: foto do Corpo de Fuzileiros Navais por Cpl. Briauna Birl
