去年美军从阿富汗匆忙撤离,留下大批军用物资设备,其中包括含有敏感生物识别数据的设备,恐危及曾经协助美军的阿富汗人生命安全。(美联社)
27日在柏林举行的一场黑客活动上,德国安全研究员麦克斯(Matthias Marx)展示了他从eBay拍卖网站以68美元购得的指纹采集和虹膜扫描设备。此鞋盒大小设备惊人地存储了2632人的姓名、国籍、照片、指纹和虹膜扫描数据;他们全都是美国国防部在2001年911攻击事件后数年内置立的生物识别收集系统的一部分。这样的设备如何流出、为何美军毫无防范或风险意识,已成关注焦点。
纽约时报在麦克斯通报下,于德国查看了设备内容,发现这些数据多数来自阿富汗和伊拉克,许多是为人所知的恐怖分子和通缉犯,但有些似乎是曾与美国政府合作过或只是在检查哨被拦下的人。设备上的数据显示,这个被称为“安全电子注册工具包”(Secure Electronic Enrollment Kit,SEEK II)的设备,最后一次使用是2012年夏天在阿富汗坎达哈附近。
究竟该设备如何从中亚流入拍卖网站尚不清楚;过去一年来,麦克斯和欧洲黑客组织Chaos Computer Club少数研究人员在eBay购买了六部生物识别设备,大多数价格不到200欧元(约合212美元)。
这些设备中除了包含个人照片和生物识别数据外,还提供了详细个人描述,研究者分析这些设备,主要是想了解去年美军从阿富汗撤离后、神学士是否可以从没收的此类设备中获取曾协助美方人士的生物识别数据,导致他们处于危险之中。
麦克斯说:“令人不安的是,美军甚至没有尝试保护数据,他们显然并不关心或忽略了风险。”
华府律师、前国安官员贝克(Stewart Baker)表示,生物识别扫描在战区是很有价值的工具。他预料数据泄露将让很多帮助过美国但仍在阿富汗的人“坐立难安”。贝克说:“对于那些数据被泄露的人来说,这是一场灾难。最坏的后果可能是致命。”
根据每年处理国防部数以百万元的剩余物资的国防后勤局(Defense Logistics Agency),像SEEK II这样的设备永远不该进入公开市场,更不用说像eBay这样的拍卖网站。当军方不再需要这些数据时,所有生物识别收集设备和任何曾保存敏感信息的电子设备,都应该现场销毁。
出售这个设备的德州剩余设备公司Rhino Trade财务主管曼德斯(David Mendez)表示,该公司是在一场政府设备拍卖会上买下SEEK II,并没有意识到这些退役军用设备会有敏感情资。“我希望我们没有做错任何事,”曼德斯说。
