国土安全部承认面部识别照片被黑客入侵,在Dark Web上发布

2020-09-25 03:03:35

国土安全部(DHS)周三终于承认,属于面部识别试点项目一部分的照片是从海关和边境管制分包商那里被黑客窃取的,并于去年在暗网上泄露。

这些数据是由一家名为“感知”的公司收集的,其中包括大量的旅客面孔、车牌和护理信息。尽管国土安全部声称没有,这些信息还是传到了黑暗网络。在最新发布的一份关于这起事件的报告中,国土安全部监察长办公室承认有18.4万张图片被盗,其中至少有19张被发布到了黑暗网络上。

报告发现:“CBP没有充分保护其面部识别技术试点期间使用的未加密设备上的敏感数据。”“这一事件可能会损害公众对政府保护生物特征数据能力的信任,并可能导致旅行者不愿允许国土安全部在美国入境口岸捕获和使用他们的生物特征。”

CBP使用大量技术来识别和跟踪穿越美国边境的人。摄像头捕捉每一辆经过边境的汽车和面孔,计算机收集并处理这些数据,寻找被指控的罪犯和恐怖分子。根据这份新的报告,国土安全部的生物特征数据库“包含了超过2.5亿人的生物特征数据库,每天可以处理30多万笔生物特征交易。它是联邦政府中最大的生物识别储存库,国土安全部与司法部和国防部共享这个储存库。“。

这种规模的生物特征扫描项目耗资巨大,需要一个由承包商和分包商组成的复杂网络。其中一家承包商是Perceptics,一家处理在收费站、高速公路摄像头和边境口岸捕捉到的人脸和汽车图像的公司。根据国土安全部的报告,人们的脸和车牌最终出现在黑暗网络上,这是感知器的错。

报告发现:“从事这项工作的分包商感知有限责任公司(Perceptics,LLC)将CBP的生物特征数据(如旅行者图像)的副本转移到了自己的公司网络中。”

国土安全部的一份报告声称,感知者在其不知情的情况下访问了这些数据,并且“在2019年晚些时候,国土安全部经历了一次重大的隐私事件,因为分包商的网络受到了名为鲍里斯·子弹道奇(Boris Bullet-Dodger)的黑客的恶意网络攻击”。当时,国土安全部向主板和其他机构否认人们的面孔和车牌最终出现在黑暗网络上。

但他们确实做到了。根据这份报告,一名感知公司的员工通过提交IT工单获得了德克萨斯州安扎尔杜阿斯的CBP网站的访问权,请求CBP允许他们进入摄像头进行维护。入侵事件发生在2018年8月至2019年1月之间。一旦进入,感知公司的员工将一个外部硬盘连接到CBP计算机上,下载图像,然后将它们上传到感知服务器。

2019年5月,感知者收到了鲍里斯·子弹道奇的赎金纸条。报导称:“Perctics通过一封名为‘Boris Bullet Dodger’的黑客电子邮件收到一封赎金纸条,要求在72小时内获得20枚比特币。”“赎金纸条说,如果没有比特币,被盗的数据将被上传到黑暗的网络上。感知者没有支付赎金,黑客向黑暗网络上传了9000多个独特的文件。

在得知黑客攻击后,CBP取消了感知凭证,并禁止其再与国土安全部合作。报告称:“然而,暂停于2019年9月26日解除,使感知者有资格作为承包商参与联邦采购流程。”“作为解除暂停的一部分,CBP和感知者达成协议,努力纠正CBP对数据泄露事件的调查中发现的风险.”

国土安全部OIG在其报告中提出了几项建议,这些建议都可以归结为“加强安全,确保这种情况不会再发生”。但无论IT安全有多好,潜在的问题都将依然存在-只要边境巡逻队正在拍摄每个穿越边境的人的照片,并将它们存储在机器上,这些机器就会容易受到攻击。确保这种情况不会再次发生的唯一方法是根本不收集和存储数据。

签署“色情通讯”,即表示您同意接收来自“色情通讯”的电子通讯,其中有时可能包括广告或赞助内容。