Cyberwpadka na granicy USA. Hakerzy zrabowali zdjęcia i dane podróżnych

Zdjęcia osób legalnie przekraczających amerykańską granicę przez przejście lądowe mogły paść łupem cyberprzestępców. I być może też inne poufne dane. Służby celne i ochrony granic  (Customs and Border Protection, CBP) obwiniają za to swojego podwykonawcę i jednocześnie bagatelizują incydent. Według oficjalnych oświadczeń w ręce hakerów mogły trafić dane ,,mniej niż 100 tysięcy osób, które przekraczały granicę USA kilkoma pasami ruchu na jednym tylko przejściu granicznym przez okres przekraczający półtora miesiąca. Chodzi o zdjęcia osób i rejestracji samochodowych. Nie jest jasne, jak wielu podróżnych to obywatele USA. Agencja zapewnia też – w co z kolei wątpią eksperci – iż nie doszło do wycieku danych paszportowych. Winny się znalazł, ale... Według oświadczenia przekazanego dziennikarzom przez CBP, za wyciek danych odpowiada jeden z nieujawnionych przez służby graniczne podwykonawców, który łamiąc obowiązkowe procedury bezpieczeństwa wrzucił do własnej sieci wewnętrznej kopie zdjęć podróżnych oraz rejestracji samochodowych. Późnej ten podwykonawca stał się obiektem ataku hakerskiego i kradzieży danych. Według CBP serwery samej agencji federalnej pozostały bezpieczne, a w ręce hakerów nie dostały się dane pozwalające na identyfikację fotografowanych. Prawda może jednak być nieco inna niż oficjalna wersja podana w komunikacie. CBP nie wymienia nazwy podwykonawcy, ale według „The Washington Post” agenci federalni „inteligentnie” opatrzyli oficjalny e-mail z komunikatem tytułem ,,CBP Perceptics Public Statement”, co pozwala sądzić, że chodzi o firmę Perceptics, dostarczającą czytniki  rejestracji samochodowych dla 43 punktów odprawy granicznej w Teksasie, Nowym Meksyku i Arizonie. Firma ta już w maju przyznała się do włamania i prawdopodobnie chodzi o ten sam incydent. Niejasne fakty i ciemny internet Według CBP ukradzione zdjęcia nie pojawiły się na razie w Dark Necie, czyli w „ciemnej” części internetu, niedostępnej dla ogólnodostępnych przeglądarek, takich jak Chrome czy Mozilla Firefox. Ta część ogólnoświatowej sieci umożliwia maksymalną anonimowość i prowadzenie nielegalnych interesów, w tym handel dokumentami tożsamości, sprzedaż narkotyków lub broni, uprawianie hazardu, czy dystrybucję nielegalnej pornografii. Jednak dziennikarze brytyjskiego „The Register” oraz „Vice” utrzymują, że w ciągu kilku godzin po cyberataku w Dark Necie można było znaleźć dane dotyczące podróżujących, włączając w to zdjęcia, informacje finansowe i dane o miejscu pobytu. Dark Net to, co prawda, przestrzeń wyróżniająca się zupełnie inną strukturą oraz zawartością, niż znany i używany przez nas na co dzień internet, ale dla zwykłego, legalnego użytkownika poruszanie się po tej sieci nie jest wcale takie trudne, jak się wydaje. Wielu dziennikarzy, zwłaszcza zajmujących się problemami IT, penetruje ciemną strefę sieci w poszukiwaniu interesujących informacji. Nie trzeba też przypominać, że Dark Web jest nieustannie obiektem zainteresowania służb wielu krajów. Rząd gromadzi, ale nie chroni Eksperci od spraw cyberbezpieczeństwa od dłuższego czasu ostrzegają, że „wchłanianie” przez organa ścigania informacji bez legalnych ograniczeń będzie coraz częściej kończyć się takimi incydentami. To nie kwestia „czy”, ale „kiedy” dojdzie do włamań. Jak widać, mają absolutną rację. „Byłbym ostrożny w wyrażaniu opinii, że w tym włamaniu chodzi tylko o fotografie” – uważa Chad Loder, szef firmy Habitu8, prowadzącej szkolenia w dziedzinie cyberbezpieczeństwa. Jego zdaniem szkody mogą być dużo poważniejsze, zważywszy, że CBP gromadzi dużo więcej danych dotyczących podróżnych, włącznie z informacjami zawartymi w dokumencie podróży, odciskami palców czy biometrycznym obrysem twarzy. ,,Jeśli był to bezpośredni atak na podwykonawcę, jest mało prawdopodobne, że hakerzy ograniczyli się tylko do zdjęć” – powiedział Loder portalowi „The Atlantic”. Biometryczne plany Zdaniem ekspertów, zależność jest prosta: im więcej informacji będą gromadzić agencje federalne, tym więcej podmiotów  i osób będzie zaangażowanych w ich przechowywanie. Jednocześnie bazy danych stawać się będą coraz bardziej atrakcyjne dla „ciemnej strony mocy”.  Na przykład do roku 2023 Departament Bezpieczeństwa Krajowego chce używać technologii biometrycznej identyfikacji twarzy w przypadku 97 proc. pasażerów opuszczających USA drogą powietrzną. Andrew Ferguson, profesor prawa na University of the District of Columbia, ostrzega, że ciągle brakuje odpowiednich uregulowań prawnych, które zapobiegłyby nadużyciom. Do tego system identyfikacji twarzy nie jest w pełni doskonały. „Nie jesteśmy na to gotowi pod względem technologicznym, a ostatni atak hakerski dowodzi, że także systemy zabezpieczeń pozostawiają wiele do życzenia” – uważa profesor Ferguson. Przed tym samym niebezpieczeństwem ostrzegają organizacje walczące o prawo do prywatności i prawa obywatelskie. „Ostatni incydent wskazuje na konieczność powstrzymania wysiłków (CBP) oraz dokonania przez Kongres dokładnego przeglądu praktyk agencji. Najlepszym sposobem na uniknięcie wycieku wrażliwych danych personalnych jest po prostu zaprzestanie ich gromadzenia” – uważa Neema Singh Guliani, radca prawny Amerykańskiej Unii Wolności Obywatelskich (American Civil Liberties Union – ACLU). (Nie)bezpieczna identyfikacja Incydent w CBP odnotowano zaledwie w dwa tygodnie po przesłuchaniu w Komisji Nadzoru i Reform w Izbie Reprezentantów, dotyczącym zagrożeń związanych z systemem identyfikacji twarzy. Wielu ekspertów wzywało do całkowitej rezygnacji z tej technologii m.in. w związku z ryzykiem masowego wycieku danych. Z kolei przedstawiciele rządu federalnego argumentują, że system elektronicznej identyfikacji twarzy wpłynie na poprawę bezpieczeństwa granic i pomoże w łapaniu osób podejrzanych o przestępstwa kryminalne. Demokratyczny senator z Oregonu Ron Wyden domaga się, aby władze federalne poinformowały wszystkie osoby, których dane wyciekły. Według niego, rząd powinien dokładnie wytłumaczyć, w jaki sposób zamierza przeciwdziałać tego rodzaju incydentom. Rządowi nie odpuści na pewno Izba Reprezentantów, gdzie Demokraci mają większość. Przewodniczący Komisji Bezpieczeństwa Krajowego Bennie Thomson głośno przypomniał, że jest to już druga poważna wpadka administracji w ciągu zaledwie trzech miesięcy. W marcu inna agencja podlegajaca Departamentowi Bezpieczeństwa Krajowego – Federal Emergency Management Agency (FEMA) przez pomyłkę przekazała jednemu z podwykonawców dane osobowe 2,3 mln ofiar huraganów, pożarów i klęsk żywiołowych z 2017 roku, narażając te osoby na kradzież tożsamości. Na pewno kierowana przez Thompsona komisja weźmie pod uwagę te naruszenia prywatności, kiedy zacznie w przyszłym miesiącu przesłuchania na temat przyszłości gromadzenia danych biometrycznych. Jolanta Telega [email protected] fot.MARIA DE LA LUZ ASCENCIO/EPA-EFE/Shutterstock